Ознакомьтесь с нашей политикой обработки персональных данных
14:00 

e5188982.exe

zHz00
Описано исследование и удаление e5188982.exe

Жил-был один терминал оплаты. Достался он определённым людям, с которыми я в некотором смысле работаю. На нём была Windows Embedded. Потом её сменили на обычную хрюшу (Windows XP Professional SP3). Потом с терминалом начал трахаться я. В процессе выяснилось, что несмотря на то, что система новая, там уже поселился вирус. Предположительно получен он был с десктопа, стоящего рядом (Windows XP Professional SP??). Я с ним немного поразбирался, но потом мне надоело, ибо симптомы не приносили беспокойств. Разбираться с ним по-настоящему пришлось, когда я его забыл вычистить с флешки, принёс домой и заразил свой собственный десктоп (Windows 2003 Server Enterprise SP2). Это было вчера и немного сегодня. Про этот вирус написали уже пару статей, напишу и я.

Предварительное пояснение

Симптоматика
Анализ
Опыты

Процедура лечения флешек
Процедура лечения компа

Побочные эффекты (потенциальные)
Ошмётки
Благодарности/ссылки
UPD. Запись обновлена (пункт "Ошмётки")
>>

@темы: Вирусы, Вивисекция, Борьба с техникой, Статьи

URL
Комментарии
2012-04-17 в 17:24 

Я сделал чуток проще для борьбы с этой бякой, сначала при запуске(в safe mod'e) винды вырубается этот процесс и все тмпшки(если есть), удалять его сначала бессмысленно, потом в ключе Winlogon(а zaberg ставит себя в качестве оболочки, аподобии винлока, запускается он а следом explorer И ничего незаметно, как бы)))) переписывается на то что было.затем удаляется zaberg, просто убивается корзина, так проще, она создастся при старте заново затем удаляется sadrive или похожая лабуда, и в application data лежит его последний оплот, файл (у меня лично был divqrt.exe) затем перезагрузка(с выключенными ключами его автозапуска) и удаление этих ключей в реестре. все, ваш комп чист, да и напоследок эта бяка написана явно идиотом, никакой маскировки неиспользует, процессы не скрывает, и даже не склеивается с другим, ну а насчет его функций, вкратце судя по всему все TMP что он создает это отчеты и я по своему интернету заметил(резко возрос исходящий трафик) что он их куда-то пересылает, также, втихаря грузит вам на комп гадости, в system32 появляются exeшники с именами типа 69.exe, 70.exe и пр. судя по всему это версия дроппера, только крайне неумелая.

URL
2012-04-17 в 17:32 

zHz00
Гость,
а) ваше описание довольно сумбурно, хотя я его разобрал. не могу его проверить, т.к. не имею желания заново запускать это безобразие (лежит в вивисектарии).
б) может и написана она идиотом, но почему тогда от неё так тяжело избавиться?
в) скрываться необязательно. Многие пользователи вообще не подозревают, что у них в процессах висит.
г) а сейф мод-то зачем?
д) я не знаю, для чего он предназначен, но вырубание днс -- это серьёзно. согласен, что возможно я лечил сразу от двух вирусов -- от дропеера и от того, что он скачал.

URL
2013-01-31 в 01:44 

С вашими инструкциями разобрался не до конца так как не смог пройти по всем пунктам . Сделал по своему .

Заметил что действует через explorer.exe так что в реестре запретил его загрузку . Гад зашевилился и создал в aplication date свой экзешник , о чем мне своевременно сообщил фаервол , потому что тот пытался прописатся в автозагрузку . До всех этих событий я сделал снимок системы , а затем и после . Разницу удалил . Собственно больше я его не видел и компьютер повеселел .

Удача в том что ничего кроме моего стандартного набора устанавливать не пришлось . Так же как и шерстить по реестру .

Это такая упрощенная версия вашего способа , я думаю . А вобще много индивидуальных признаков .

URL
2013-01-31 в 08:43 

zHz00
Гость, да, подходов много, но с восстановлением системы самый правильный, конечно (в другом случае (с WAT на Win7) спас именно он). Проблема в том, что мало кто заботится о своевременном сохранении состояния. А у меня оно вообще отключено. "Пришлось, значит, чтобы... это... без топора" (С)

URL
2013-07-19 в 12:39 

Рад что здесь все есть

URL
2013-07-19 в 13:40 

Спасибо, что вы у нас есть!

URL
2013-07-20 в 23:29 

Нашел актуальную темку)) ураа
donfiles.pp.ua/smartfon-samsung-s2.php Смартфон samsung s2

URL
   

Untitled

главная