Опять вызывают на борьбу с красивыми девочками, расположившимися на рабочем столе поверх всех окон. Что ж, наверное ничего нового я не увижу, так что за часок управимся. Посмотрим, что тут у вас. Ага. Три картинки посреди экрана, отправьте СМС с кодом, загружается сразу после запуска Windows. Начнем с легкого осмотра. Запускаем Hijack. Оп-па! Не запускается!

Во все времена, в любых ситуациях Hijack был единственной программой, которая всегда запускалась без проблем, и ни один вирус при этом не сопротивлялся. Иногда даже одним Hijack'ом можно было "вылечить" болезнь, а потом отправить пациента на процедуры в других программах. Но тут почему-то не получилось. Что ж, попробуем сразу AVZ. А вот тут интересно, AVZ запустился, компьютер не повис и не перезагрузился. Что-то тут не так. Пробуем включить стандартный скрипт №3. Вот и первая "засада". Окошко с подтверждением запуска осталось под баннером и запустить скрипт не удается. Попробуем перезагрузиться в безопасном режиме и пролечиться сначала свежим AVPTools'ом.

Загрузка, жму F8, выбираю безопасный режим. Что-то все сразу остановилось на первой же строчке. Походу, безопасный режим заблокирован. Загрузимся в обычном, на всякий случай приготовим LiveCD. Картинка вылезла почти сразу же. Открываю папку Rename на флешке и запускаю оттуда game.exe. Отлично! Здравствуйте, господин Hijack, простите за такую конспирацию, но по-другому встретиться с вами не получается. Сделаем лог. Посмотрим внимательно. Баннер занимает центр экрана, но сверху и сбоку достаточно места, чтобы просмотреть в блокноте то, что нам нашел Hijack.

Подозреваемых на редкость много. Не может столько процессов держать один баннер. Начинаю выписывать в блокнотик.

c:\Documents and Settings\Администратор\Application Data\netprotocol.exe
c:\Documents and Settings\Администратор\advantage\Advantage.exe
c:\Documents and Settings\All Users\systems.exe

И до кучи интересная служба:

O23 - c:\windows\system32\admparseh.exe

Что ж, хорошо, круг подозреваемых определен. Сворачиваем пока что Hijack. Посмотрим на список активных процессов. Удобнее всего это сделать в AVZ, тем более что она запускается без проблем. Открываю диспетчер процессов в AVZ и начинаю удалять то, что не прошло проверку по базе безопасных. К счастью, подтверждение на удаление тут не запрашивается. Убиваем netprotocol - ничего не изменилось. Листаем дальше. На очереди systems.exe. Нажимаем крестик - ух-ты, баннер пропал. Получается со второго патрона без штрафных кругов был убит основной враг. Теперь можно спокойно пролечиться, экран свободен.

Начинаем со стандартного скрипта №3. Оказывается, интересного тут много. Вирусов сидит куча, обнаружены отладчики системных процессов и Подозрение на маскировку ключа реестра службы\драйвера "zafigss". Но виновник торжества - systems.exe - обнаружен не был. Перед перезагрузкой отключаю автозапуск с жестких дисков и флешки, устраняю отладчики системных процессов, а также восстанавливаю загрузку в безопасном режиме. В безопасном режиме теперь можем запустить AVPTools. Касперыч пыхтел минут двадцать, сканируя диск С и тоже нашел много интересного, что не обнаружил AVZ. Самым интересным мне показался c:\Documents and Settings\Администратор\Local Settings\Temp\xEER.exe, который был определен как Packed.Win32.Krap.gx. Вспоминаю, что Krap'ы подменяют параметр shell в реестре, запускаясь вместо explorer.exe. Спрашиваю об этом хозяина компьютера. Оказывается, винлокер был полгода назад, и была переустановлена операционная система. Что ж. Значит, скорее всего это неопасный хвост.

После чистки Касперским загружаемся в обычном режиме, и баннер тут как тут. Но это не беда, я ведь уже знаю, как его выключить. Снова воспользовавшись диспетчером процессов AVZ, отрубаю netprotocol.exe и systems.exe, можно продолжать работать. Подключаем интернет, запускаем второй скрипт AVZ. Проходим проверку, смотрим логи. В списке драйверов вызывает подозрение usbser_lowerflt.sys, записываем его в скрипт. Не нашел, что такое msfeedssync.exe. На всякий случай попробуем засунуть его в карантин. Просматриваю оба лога целиком, заново получаю лог Hijack'а, пишу скрипт

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('upperdev');
StopService('Netprotocol');
StopService('Alerterlanmanworkstation');
DeleteService('Netprotocol');
DeleteService('upperdev');
DeleteService('Alerterlanmanworkstation');

QuarantineFile('c:\windows\system32\msfeedssync.exe','');
QuarantineFile('Alerterlanmanworkstation.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aujapfc2.SYS','');
QuarantineFile('L:\autorun.inf','');
QuarantineFile('C:\Program Files\AdStopper\AdStopperTrayApp.exe','');
QuarantineFile('C:\Documents and Settings\All Users\systems.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\aya2b6xp.SYS','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\advantage\AdVantage.exe', '');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\pdfupd.exe', '');
QuarantineFile('C:\WINDOWS\system32\admparseh.exe', '');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll', '');
QuarantineFile('C:\WINDOWS\system32\gbejkuox.dll', '');
QuarantineFile('C:\WINDOWS\system32\NeroCheck.exe', '');

DeleteFile('C:\Documents and Settings\Администратор\Application Data\netprotocol.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
DeleteFile('C:\Documents and Settings\All Users\systems.exe');
DeleteFile('L:\autorun.inf');
DeleteFile('Alerterlanmanworkstation.sys');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\advantage\AdVantage.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\pdfupd.exe');
DeleteFile('C:\WINDOWS\system32\admparseh.exe');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\WINDOWS\system32\gbejkuox.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагружается. systems.exe теперь удален через скрипт, так что баннер больше не будет нам мешаться. На всякий случай посканируем AVPTools'ом и снова получим логи AVZ. Система стала значительно чище. Теперь надо разобраться с маскировкой службы\драйвера "zafigss". А тут уже не обойтись без Gmer. Запускаю, он тут же обнаруживает нашего врага. Продолжаем сканирование, чтобы познакомиться поближе с руткитом. Наконец, нужные сведения получены. Создаем bat-файл, чтобы вычистить заразу:

gmer.exe -del service zafigss
gmer.exe -del file "c:\windows\system32\gbejkuox.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\zafigss"
gmer.exe -reboot

После перезагрузки остается только убедиться, что система чистая. Изучаем сегодняшний богатый улов. Обнаружены AVZ при первом сканировании.

C:\Documents and Settings\Администратор\Application Data\advantage\AdVantage.exe - AdvWare.Win32.Agent.otl
C:\Documents and Settings\Администратор\Local Settings\Temp\pdfupd.exe - Backdoor.Win32.Zdoogu.du
C:\WINDOWS\system32\admparseh.exe - Trojan.Win32.Agent.ckim
C:\WINDOWS\system32\digiwet.dll - Backdoor.Win32.Zdoogu.du
C:\WINDOWS\system32\gbejkuox.dll - Net-Worm.Win32.Kido.ih

Из корзины и файлов восстановления системы также были удалены: Backdoor.Win32.Zdoogu.du, Trojan.Win32.Genome.bnjd, AdvWare.Win32.SurfAccuracy.aq, WebToolbar.Win32.WhenU.j, AdvWare.Win32.WhenU.c, AdvWare.Win32.SaveNow.bo, AdvWare.Win32.Agent.otl.

msfeedssync.exe оказался чистым - это какая-то служба Microsoft для синхронизации RSS-потоков в Internet Explorer.

Попавший в карантин C:\Documents and Settings\Администратор\Application Data\netprotocol.exe оказался Packed.Win32.Krap.gx, а собственно сам порнобаннер C:\Documents and Settings\All Users\systems.exe на вирустотале детектируется только McAfee как Heuristic.LooksLike.Win32.SuspiciousPE.C. Но Касперский со свежими антивирусными базами определяет его как Trojan-Ransom.Win32.PinkBlocker.aws.