Исследования показали, что троян много чего попортил.
- В реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
после вызоваuserinit.exeчерез запятую прописал%windir%\system32\xylkfdj.exe. Это вызывало запуск еще одной вредоносной программы при каждом входе в систему.
- Удалил все точки восстановления системы. Стало невозможно откатиться на предыдущее состояние. Удалил сами файлы из
System Volume Information.
- При выключении компьютера вызывал BSOD - синий экран смерти с кодом 8e. Его вызывал процесс jqs.exe - Java Quick Start, который подгружал инфицированные библиотеки
sfc*.dll.
- Обеспечил IP для фишинга. Прописал 85.12.46.140 для вконтакта и одноклассников в
C:\WINDOWS\system32\drivers\etc\hosts.
- Заблокировал доступ к антивирусным сайтам. Прописал несуществующий шлюз в активных и постоянных маршрутах для них, что было видно по команде
route print.
- Создал DLL
setupapi.dllв каталогах всех браузеров. Эта библиотека с вирусом автоматически подгружалась при старте любого браузера.
Восстановление системы
- Почистил реестр: оставил только userinit.exe в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- Отключил службу Java Quick Start.
- Распаковал
sfc.exeиsfc*.dllиз файлов дистрибутива Windows, которые лежат вC:\i386и переписал их вC:\WINDOWS\system32.
- Удалил
setupapi.dllиз каталогов всех браузеров.
- Удалил все лишние сетевые маршруты с помощью команд
route delete ....
- Удалил лишние записи из
C:\WINDOWS\system32\drivers\etc\hosts.
- Поставил IE8.
- Поставил свежий антивирус.
Приветствуются любые вопросы по поводу этого случая. Пишите комментарии, отвечу пока не забыл.
А версия firefox какая была? Довольно продвинутый зверь попался, однако.
ОтветитьУдалить