25 « Июль « 2008 « Электрофатера Евгения Прыгова
  • Начало


    • 25 июля 2008 г.

    Мда… вот так я, в принципе, узнал, насколько быстро гугль индексирует мой скромный кондуит. За минуты, практически. И уже куча народу набежала читать про злых вирей. Ещё одна благодатная тема, это тэг «современные цитаты» в моем блоге. Почему-то в день это привлекает 2-3 визитёров. Часть ищут «девушек в колготках» в яндекс картинках, это я в воспоминаниях о Хайнане писал и вывешивал фото. Был даже запрос такой: «что происходит на бурятия.орг?». Если поисковый вопрос имеет осмысленную мотивацию, то отвечу: «фигня происходит». Не везде наверное, но у предводителей – точно. Кстати, вопрос из Японии был. О! А не зачать ли мне сегодня новую инициативу? Как-то надо её назвать подходяще… антиреспект, чтоли… Или антибрендинг. Ведь шутки-шутками, а все мои жалобы на банки ли, на хостинговые компании ли, имели свой живой фидбэк. Мне даже писали в мыле: «только не надо это публиковать в своем блоге, хорошо?». Вот… Да-да, сегодня и займусь.

    Тема: Нуделки @ 21:23

    Trojan.PWS.Gamania.9247 (Win32/AutoRun.SJ worm) removal intructions

    1. Search and download the following software. Programms should be located on the flash drive unpacked and ready to run:

    - far portable
    - file monitor (Filemon.exe)
    - process viewer (PrcView.exe)
    - ATF-Cleaner.exу
    - Flash_Disinfector.exe
    - CureIT
    - BV Soft Run Edit
    - Unlocker

    2. Reboot, go safe mode and do scan by CureIT. While scanning do not open new windows (i.e. explorer exe);
    3. Remove all records with c.cmd from system registry;
    4. Clean everything with ATF cleaner and keep program running to perform cleaning after every operation;
    5. Perform monitoring on the programs / processes running by FileMon (filter «autorun») and PrcView;
    6. Search and destroy virus traces and files: fool0.dll, ies0.dll, kxvo.exe in the system32 folder;
    7. Install Run Edit locally and check for kxvo.exe autorun parameter. It should be removed;
    8. Check option to delete files immideately in the Recycle bin;
    9. Put fake autorun.inf to the flash drive using Flash Desinfector;
    10. Kill hkmd system process;
    11. Open Recycler in the flash drive and check indataset.exe inside? Is it there?
    12. indataset.tlb and indata.dat located in system32 should be deleted, do full cleaning of temporary files again after;
    13. Put «indataset» filter to the FileMon and play with flash drive by deleting indatast, indata files, pluging and unpluging drive;
    14. If some processes attempting to copy files to the flash, kill processes and hkmd, do cleaning;
    15. Go c:\windows\temp do unlock (unlocker should be installed) hlktmp file, delete it, put empty file with the same name;
    16. Reboot. Check virus traces. Try different sequence if no success.

    Note that virus hiding its parts, so files should be visible in the far only while the «Unhide system files» function of explorer.exe is blocked by the virus. Cured system should not create Recycler folder in the flash drive as well as any files there.

    Eugene Prgoff, July 25, 2008.


    PS. Looks like it was two viruses instead of one. Laptop is clean now but there is an empty RECYCLED directory apears in the flash drive every time after its deletion. I have killed all MountPoints2 sub forlders in the registry but no result. Could someone suggest me how to deal with this fucking fake trash can? skype: vedeney




    During that “disinfection campaign” I found I am not alone in my unprofessional attempts, so here is the more accurate and consistent instruction from Farmosi, a man who also annoyed with operating system running out control. There is nothing to say more except of a big thanks and best wishes to Farmosi. We both hope that information will be helpful against viruses. As he did, I warning unskilled users from even following the instruction above since it potentially may cause a system damage etc.





    Кто не сумеет это прочесть, тому в принципе, оно и не нужно.

    Тема: Рекомендую,Софт @ 17:16

    Вирусное.

    По флешкам ползет Trojan.PWS.Gamania.9247, ищу пути зачистки инфицированных лаптопов. Spyware Doctor starter edition из Googlepack оказался, как и большинство таких же программ с модным интерфейсом, полным фуфлом, верю, что полня версия такая же импотентская. Где-то в очередной базе по угрозам было написано что ловит. Лжецы. Серьезный NOD просто не опознал – не знаю, кто там сидит на анализе, но за сутки можно было выпустить обновление, отсылал им. Каспера не ставил, мне незапуск емких приложений не нужен, а операционка называется Windows XP, а не Касперский Антивирус. Единственное, что идентифицировало вирус, это DrWeb CureIt (молодцы ребята, в очередной раз, спасибо вам). Вирус азиатский, описания в основном на корейском и китайском. В прошлый раз, ручное убиение аналогичной заразы заняло полдня. Антивирусникам для этого класса троянов нужно менять сам подход и думать над этим чаще, чем над маркетинговыми бла-бла-бла. Убью я его руками конечно, заодно проработаю себе алгоритм почетче. Времени жалко, но что делать?

    Окей. Сколько я в интернете ответов нашел по свои надобностям – несчесть. Нужно быть благодарным, следующим постом инструкция по удалению.

    Тема: Рекомендую,Софт @ 11:51
    
    

    Издается с прошлого века, как, когда попало и часто по недоразумению. Украдёте текст или графику - обоcрётесь и воды не будет! Если взяли, сделали ссылку - пользуйтесь на здоровье, будет вам вода. Не регулируется никакими законами Российской Федерации, потому что там не находится. Электрофатера Евгения Прыгова © 1993-2012. Пишите е-письма. Работает на WordPress. Размещено: Gandi. No Bullshit™