Хаха. Японский браузер Lunascape не понимает разрешения 1440 на 900.
Ну и уроды.

Тумен установил Command & Conqer 3 и мы просмотрели видеобриф перед миссией, где обжектив зачитывает Грейс Пак (такая, очуметь какая). Такой диалог на русском:

- Дааа, смотри какая! Чума. Что характерно, сиськи есть.
- Да. Маленькие, зато фигурные (это Тумен сказал, я просто под стол упал… ох, умеет же он слово подобрать).

Ну что же, ручная борьба с вирусами успешно завершилась, не без помощи одного чудесного человека из Венгрии, который нашел мой блог по гуглю. Много работы. Прошлой ночью было дивно прохладно, даже накрывался одеялом. Утром нашел под раскладушкой ёжика, которого тут же несколько раз взяли в аренду – чтобы нагадил в других гэрах, ибо, это хорошо отпугивает змей. Парень отработал без вопросов и проявил недюжиный аппетит, смолотив кучу салями, молока и даже сырого мяса. Непуганный гобийский ёжик без комплексов, так и надо. Второй день ночами режусь в Сталинград. Ну, можно было бы лучше сделать, хотя, очень радует, что я вроде бы 1-2 человек, принимавших участие в создании игры знаю лично. Спасибо, ребят, извините, что игра у меня тыренная. Достаточно горько было обнаружить сходство игры с реальностью, когда в одной из миссий, после освобождения советских военнопленных, они передаются в руки НКВД. Ох, а сидеть мне здесь около полутора месяцев ещё. Первого поедем 17 км от лагеря в «энергетический центр» Намрийн Хид, каких в мире несколько штук – посмотреть затмение, ну и зарядиться немного. Такие дела.

1. Search and download the following software. Programms should be located on the flash drive unpacked and ready to run:

- far portable
- file monitor (Filemon.exe)
- process viewer (PrcView.exe)
- ATF-Cleaner.exу
- Flash_Disinfector.exe
- CureIT
- BV Soft Run Edit
- Unlocker

2. Reboot, go safe mode and do scan by CureIT. While scanning do not open new windows (i.e. explorer exe);
3. Remove all records with c.cmd from system registry;
4. Clean everything with ATF cleaner and keep program running to perform cleaning after every operation;
5. Perform monitoring on the programs / processes running by FileMon (filter «autorun») and PrcView;
6. Search and destroy virus traces and files: fool0.dll, ies0.dll, kxvo.exe in the system32 folder;
7. Install Run Edit locally and check for kxvo.exe autorun parameter. It should be removed;
8. Check option to delete files immideately in the Recycle bin;
9. Put fake autorun.inf to the flash drive using Flash Desinfector;
10. Kill hkmd system process;
11. Open Recycler in the flash drive and check indataset.exe inside? Is it there?
12. indataset.tlb and indata.dat located in system32 should be deleted, do full cleaning of temporary files again after;
13. Put «indataset» filter to the FileMon and play with flash drive by deleting indatast, indata files, pluging and unpluging drive;
14. If some processes attempting to copy files to the flash, kill processes and hkmd, do cleaning;
15. Go c:\windows\temp do unlock (unlocker should be installed) hlktmp file, delete it, put empty file with the same name;
16. Reboot. Check virus traces. Try different sequence if no success.

Note that virus hiding its parts, so files should be visible in the far only while the «Unhide system files» function of explorer.exe is blocked by the virus. Cured system should not create Recycler folder in the flash drive as well as any files there.

Eugene Prgoff, July 25, 2008.


PS. Looks like it was two viruses instead of one. Laptop is clean now but there is an empty RECYCLED directory apears in the flash drive every time after its deletion. I have killed all MountPoints2 sub forlders in the registry but no result. Could someone suggest me how to deal with this fucking fake trash can? skype: vedeney




During that “disinfection campaign” I found I am not alone in my unprofessional attempts, so here is the more accurate and consistent instruction from Farmosi, a man who also annoyed with operating system running out control. There is nothing to say more except of a big thanks and best wishes to Farmosi. We both hope that information will be helpful against viruses. As he did, I warning unskilled users from even following the instruction above since it potentially may cause a system damage etc.





Кто не сумеет это прочесть, тому в принципе, оно и не нужно.

По флешкам ползет Trojan.PWS.Gamania.9247, ищу пути зачистки инфицированных лаптопов. Spyware Doctor starter edition из Googlepack оказался, как и большинство таких же программ с модным интерфейсом, полным фуфлом, верю, что полня версия такая же импотентская. Где-то в очередной базе по угрозам было написано что ловит. Лжецы. Серьезный NOD просто не опознал – не знаю, кто там сидит на анализе, но за сутки можно было выпустить обновление, отсылал им. Каспера не ставил, мне незапуск емких приложений не нужен, а операционка называется Windows XP, а не Касперский Антивирус. Единственное, что идентифицировало вирус, это DrWeb CureIt (молодцы ребята, в очередной раз, спасибо вам). Вирус азиатский, описания в основном на корейском и китайском. В прошлый раз, ручное убиение аналогичной заразы заняло полдня. Антивирусникам для этого класса троянов нужно менять сам подход и думать над этим чаще, чем над маркетинговыми бла-бла-бла. Убью я его руками конечно, заодно проработаю себе алгоритм почетче. Времени жалко, но что делать?

Окей. Сколько я в интернете ответов нашел по свои надобностям – несчесть. Нужно быть благодарным, следующим постом инструкция по удалению.