sok’s page

Od kilku dni męczyłem się z wirusem o nazwie OnLineGames jak i “podróżującymi” z nim innymi Trojanami. Co on takie robi? Otóż na początku nic wielkiego, ponieważ ukrywa on pliki ukryte. Nie ma możliwość ich podglądania w systemie blokuje do nich dostęp. Co więcej zauważyłem również mały szczegół, że otwierając jakikolwiek dysk otwierał się w nowym oknie mimo innych ustawień systemowych. No niestety z czasem wirus ten zablokował mi dostęp do wszystkich dysków. Nie mogłem wykonać operacji “Otwórz” ani też “Exploruj”. Jedynym sposobem dostania się do dysku było: Start -> Uruchom -> Nazwa dysku. Nie wspomnę już o tym jak bardzo spowalniał system i pracę dysków.

Niestety z własnego doświadczenia wiem, że wirus ten przenosi się z poprzez PenDrive lub inne dyski przenośne a dokładnie w pliku Autorun.inf. Tworzy on później własne pliki między innymi: na dysku systemowym C:\3o.exe, C:\cfdflx.com, C:\yo2mq6.exe, C:\v.cmd, C:\b.com, oraz na dyskach nie systemowych innych partycjach bądź dyskach wymiennych: H:\cfdflx.com, H:\v.cmd, H:\Autorun.inf.

Wiemy, gdzie infekuje co robi, ale najważniejsze jak go usunąć? Otóż niestety na dzień dzisiejszy programy antywirusowe nie wykrywają wszystkich zainfekowanych plików tylko jeden, bądź dwa z nich i to po kilku dniach gdy baza wirusów została zaktualizowana w programie Avast. Trochę szybciej i lepiej, ale jednak nie do końca skutecznie sprawdził się Kaspersky. Jeśli jednak chcemy na 100% oczyścić nasz komputer z tego Wirusa musimy zaopatrzyć się w darmowy program ComboFix. Następnie należy stworzyć plik txt o nazwie CFScript.txt i wpisać w nim następujące polecenia:

• File::
• C:\3o.exe
• C:\cfdflx.com
• C:\yo2mq6.exe
• C:\v.cmd
• C:\b.com
• H:\cfdflx.com
• H:\v.cmd
• H:\Autorun.inf
• Registry::
• [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
  {4b0354d4-ed17-11dc-a79d-001a4d98b7a1}]
• [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\
  {5274b0a0-f019-11dc-a7a1-001a4d98b7a1}]

Gdzie dysk C to oczywiście systemowy a dysk H to dysk przenośny (jeśli posiadamy inne partycje bądź dyski zewnętrzne należy je dodać do tej listy jak dysk H). Jeśli taki plik już stworzymy i zapiszemy to należy przeciągnąć i upuścić plik CFScript.txt na plik ComboFix.exe. Jeśli wszystko jest dobrze wykonane powinno rozpocząć się usuwanie (i powstanie log). Po restarcie komputera należy ręcznie usunąć foldery C:\Qoobox na każdym dysku. A PenDrive najlepiej sformatować.

Jak co dzień odbierając pocztę tydzień temu napotkałem się na e-mail “rzekomo” od fotka.pl z treścią, że otrzymałem wiadomość od użytkownika … (szczerze nie pamiętam jakiego ponieważ ta wiadomość poleciała od razu to kosza). Na samym początku wydawało mi się to podejrzane, ponieważ nie posiadam konta na fotka.pl, ale zignorowałem to usuwając wiadomość. Po kilku dniach ten sam e-mail… ale już od innego użytkownika fotka.pl. Co się okazało w sieci krąży wirus właśnie w takich wiadomościach. Klikając na link w wiadomości otwiera nam się strona http://www3.fotka.pl.cookie7996.kdiwr5.hk… która wyświetli nam komunikat, iż nie mamy aktywnej usługi Flash i należy pobrać oraz zainstalować plik install_flash_player.exe który zawiera niestety wirusa. A dokładnie “Backdoor.Win32.Agent.cri”.

A cała treść wiadomości wygląda tak:

Te osoby, które mają konto na fotka.pl wiedzą, że treść wiadomości niczym się nie różni od oryginału. Jeśli niestety ktoś dał się złapać pozostaje natychmiastowe skanowanie systemu. Zadaniem wirusa jest zmodyfikowanie systemu operacyjnego w celu otwarcia zaatakowanego komputera na zdalny atak. Bądźcie ostrożni!

Od dwóch dni męczyłem się Wirusem PATRON. Co on takiego robi? Zaczyna od atakowania pliku systemowego activexdebugger.exe w katalogu c:\windows\system32. I chcąc czy nie chcąc udostępnia nasze dyski. Głównie dysk C oraz napęd CD/DVD pod nazwa PATRON1 oraz dla drugiego dysku PATRON2. Niestety co się okazało z własnego doświadczenia Wirus przenosi się przez PenDrive. Jak go usunąć?
Read the rest of this entry »