Попала ко мне в руки на днях "флэшка", зараженная вызвавшим мое уважение вирусом (или модификацией известного вируса). При его описании и моих наблюдениях буду максимально объективным. На работе стоит Windows XP SP3 + последние обновления + KIS 2009 (8.0.0.506) с базами от 12.05.2009 (все лицензионное). Так вот - KIS при проверке этой "флэшки" никак не отреагировал (я сам приверженец этой компании и их продуктов), "аутуран" у меня отключен, поэтому для чистоты эксперимента пришлось его задействовать. Процесс с "флэшки" активизировался и KIS высказал свои предположения, что это странная и жутко подозрительная активность, и попытался поместить "тело вируса" в карантин. В итоге это у него не получилось и он (KIS) начал меня мучить сообщениями, что "карантин" невозможен... И так до бесконечности, пока *.log не занял все дисковое пространство. (смайл)

Итог: вирус запуститься не смог, но и антивирус себя проявил как-то слабовато. На машине с Windows XP SP2, без обновлений, базы той же версии KIS от 07.05.2009 - вирус не прошел, но KIS был введен в ступор, ведет себя неадекватно (если кому нужны симптомы - это потом). А как я решил, что это вирус на флэшке? По стандартным симптомам - пропали скрытые файлы и папки, на дисках компьютера появились файлы autorun.inf. И так, что это за зверь? Вирус создает в корне диска ("флэшки") папку Driver и файл autorun.inf, при заходе в папку Driver через Проводник Windows (на незараженной машине это возможно) внутри папки лежит "Корзина Windows" и при открытии ее вы попадаете на свои удаленные файлы, т.е. в Корзину.
Отрыв эту папку в Total Commander вы видите реальную картину - внутри папки Driver два файла: Desktop.ini и DT.exe, причем последний прикидывается "Калькулятором" Windows (KIS и начал ругаться на странные действия "Калькулятора"). Причем иконки вирус подбирает в зависимости от установленной версии Windows (на Windows'7 была иконка ее Калькулятора). Ну а чего этот вирус делает - скорее всего это так называемый "бэкдор" - открывашка вашего компьютера, и вы становитесь счастливым участником зомбированной "бот-сети". Испугались? Как пытался лечить - обычным форматированием "флэшки" в Windows XP SP3 эту заразу удалить не получилось. При включении "флэшки" файлы вируса опять появились - спасло только низкоуровневое форматирование...

Ну, что - принес я этого "котенка" домой - будем тестировать его на Windows'7 - будем? Ну давайте. Так вот - на W'7 эта гадость вообще отказалась себя как либо проявлять деструктивно - видимо вирус оптимизирован именно под Windows XP. И, о чудо, обычное форматирование "флэшки" изничтожило заразу. Я как добросовестный пользователь KIS сразу начал писать им письмо с предложением выслать вирус. Предварительно просканировав "он-лайн" на сайте Касперского папку с вирусом - было получено одобрение, что вируса в папке нет. Писал прямо с "вэб-страницы" Яндекса - и чего!? Яндекс отказался вирус посылать - говорит "заражено" твое послание (интересно каким антивирусом они пользуются?). Пришлось станцевать с бубном и вложение с вирусом было послано... Для чистоты эксперимента попозже просканирую нашего общего, надеюсь уже полюбившегося вам, вируса утилитами AVZ и СureIT со свежими базами (пока не было времени) и если вам не надоело меня читать - сообщу о результатах...

Выводы: это моё личное мнение, прислушиваться к нему вам или нет - решайте сами. Я могу допустить, что подобные "произведения искусства" пишут сами разработчики Windows и антивирусных программ, но результаты следующие:
1) Windows стоит обновлять.
2) Антивирусное обеспечения стоит обновлять.
3) Учиться никогда не поздно.

На этот процесс выделялось более 54000 Кб памяти.
Выводы:
Процесс cmd.exe - существует, и понятное дело, эт командная строка. Допустим, ладно, запускался в фоновом режиме, что его даж видно не было, но процесса net.exe - НЕ СУЩЕСТВУЕТ!!!
Есть стандартный похожий процесс - csrss.exe. Может думали, что люди отличия не увидят? Кто знает....
Вот примерно, недели 2 назад купил игру. "Prototype". Игра, кстати, в нашем регионе новая, и тысячу раз зарекался обалденное, и в то же время, новое не брать, ибо постоянно там подвох. Но опять же... грешить не буду, точно не знаю. Игра после перемещения в карантин идёт, проги идут, глюков нет, а антивирус лучше лицензионный, и лучше NOD32 и интернет, ибо только тогда это антивирус, а если вы его не обновляете, на этом и закончится Ваша безопасность.

Удачи.

Хочу дополнить... Эта гадость продолжает жить! Корни у неё растут из:
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\HDWQQNCN\0DA6C4AF137D347E[1].da , и антивирусник говорит нам: "инфицирован Win32.HLLW.Autohit.3438"
и C:\WINDOWS\system32\cftuon.exe.
Лечение не помогло. Помогло только перемещение в карантин. Правда, подробностей пока не знаю, но, чувствую я, что это не конец...

Если вы завершите работу процесса Wuauclt.exe в диспечере приложений, он автоматически запустится снова, если включена система автоматического обнов ления. Процесс работает под пользователем SYSTEM, однако он также может быть запущен под именем текущего пользователя.

Вирусописатели часто используют имя Wuauclt.exe для распространения злонамеренных программ. В этом случае файл Wuauclt.exe будет расположен вне каталога %SystemRoot%\System32. Например троян Backdoor.Clt (W32.Cult) позволяет получить полный контроль над уязвимой системой. Если Wuauclt.exe пытается подключится к 6667 порту, это означает что ваш компьютер заражен Backdoor.Clt.

Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось замарочиться. Ибо о нём в интернете инфы было мало.

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором Я вроде ниче не блокировал.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я думаю данная тема многих беспокоила и беспокоит, поэтому думаю пойдмут меня правильно, если я в данной рассылке опишу несколько примеров удаления этой дряни!

1. ПУСК- программы-стандартные-служебные-востановление системы, выбираешь дату, когда появился банер(лучше за день до него).

2. Нужен второй комп, заходишь на докторВеб
http://news.drweb.com/show/?i=304&c=5
и там по номеру на какой должно отправится СМС находишь код,
или выбераешь свою заставку из предложенных и так же находишь код,
который потом вводишь и всё

3. Если реклама вылазитна компе даже не заходя в интернет, тогда вот несколько способов:

1. Если хотите убрать это своими руками, тогда так:

1.Пуск-Панельуправления-Оформление и темы-Свойствапапки-Вид-Поставить галочку возле"Показывать скрытые файлы и папки"-применить

2."DocumentsandSettings" > свое имяпользователя > Application Data>AdSubscribe > AdSubscribe.dat открываем блокнотом и меняем в 9-ойстрочке "ADSR=976(или то кол-во показов, которое у вас на счетчике)"на"ADSR=0" , затем запускаем там же uninstal.exe.

ВНИМАНИЕ! Вместо AdSubscribe может быть AdRiver

И ещё немного

Который требует СМС и липросмотра многих раз- тогда так- В меню Пуск->Выполнить->regedit В редакторе реестра ->Правка->Найти пишем Adsub ипоиск. Нафик удаляем ключ с Adsubscribe. Далее в правка жмем найти далее иповторяем процедуру. Поиск и удаление пока поиск в реестре не выдаст ни чего ненайдено. Все реклама больше не запустится. После в c:\Documents andSettings\Администратор\Application Data\ удаляем каталог AdSubscribe. Все,мысленно посылаем смамеров в легкую эротическую прогулку(на икс игрек икраткое) и забываем о рекламе.

Всем доброго времени суток. Сегодня сталкнулся с таким вирусом называющимся Розовый баннер . Очень неприятный, так как после перегрузки компьютера убивает винт к чертям собачьим. Ниж ея описал как его можно найти

Распространяется под видом обновления Flash Player install_flash-player_build2x1.exe с сайтов порнографического содержания. После запуска создает два файла - .dll и .exe с именами из случайных букв в папке C:\Documents and Settings\Имя пользователя\Local Settings\Temp. В папке Назначенные задания создается задание WindowsCheck, запускающее .exe-файл из папки Temp.
После запуска выводит на экран сообщение о том, что пользователь установил баннер для доступа на сайт и что баннер удалится через 30 дней. Также в сообщении присутствует предложение отправить SMS на номер 9800 для удаления баннера.

Удаление:
1. Следует попробовать ввести код 4243352762, затем 7393936297
2. Удалить все файлы из следующей папки:
C:\Documents and Settings\User\Local Settings\Temp
3. Удалить назначенное задание WindowsCheck

Существуют также другие варианты данного вируса.
Для удаления одно из них надо удалить файлы C:\WINDOWS\system32\syschk32.exe и C:\WINDOWS\system32\el32.dll, а также назначенное задание SystemCheck. Для удаления другого - удалить файлы C:\Program Files\plugin.exe и C:\WINDOWS\plugin.exe.

Также на зараженном компьютере может присутствовать файл C:\Program Files\Internet Explorer\svcnost.exe, который следует удалить.