Еще в начале мая я нахватал вирусов на комп. Антивируса у меня на компе нет -имхо, они больше тормозят комп, чем его защищают. В общем, даже не знаю... Мне самому иногда не нравится моя точка зрения. Мне кажется, что если хорошо знать ту систему, на которой работаешь, то практически любого вируса можно поймать "ручками". А если не знать - то и антивирус не спасет. Хотя сервис он-лайн проверки на вирусы у Касперского или dr.web я использую почти всегда.
При таком подходе, конечно, только тех гадов можно отловить, кто себя как-то проявляет. Двух в этом году удалось поймать из-за того, что их создатели сделали их глючными. У первого текла память - совсем немного, но из-за того, что я комп не перезагружал несколько недель, это стало заметно. Меня заинтересовал процесс, который жрет столько памяти, и я решил его поискать(хорошо, что он назывался довольно странно - netprotocol.exe), нашел его, проверил на он-лайн сервисе и убил без проблем.
Со вторым было сложнее - он притворялся легальной службой lanmanserver и проявлял себя только при перезагрузке системы или выключении компа. При этом появлялось окно об ошибке в svchost.exe. Службу отрубил, файл перекинул в карантин, который (как выяснилось при он-лайн проверке) оказался трояном. Оригинальную службу восстанавливать даже не стал - мне оно пока не надо (но по закону подлости, млин, как напишу что не надо - так сразу и понадобится:) ).
И наконец, последний гаденыш, которого поймать оказалось сложнее всего. Этот себя выдал тем, что не дал мне зайти на страничку так любимого мной он-лайн сканера. Типа "страница недоступна". Но самое прикольное в том, что если зайти на любой из известных поисковиков и набрать в строке поиска "kaspersky.ru", окно браузера закроется без каких-либо сообщений об ошибках (у меня это происходило и в IE, и в Мозилле). Я его почему-то искал среди запущенных служб. В конце концов он нашелся: в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ реестра Userinit почему-то имел значение "C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\apppatch\\xofvgbi.dat"
Файл xofvgbi.dat и оказался тем самым вирусом, блокирующим доступ к сайтам по информационной безопасности. После его удаления и исправления ключа реестра (в XP его значение должно быть "C:\\WINDOWS\\system32\\userinit.exe,") доступ к сайтам появился. И вот тут меня ждало удивление. Собственно, этот мой пост - моя реакция на то, что произошло дальше. Он-лайн сканер Касперского не опознал этот файл как вирус!!! Можно сказать, я оказался его первооткрывателем! Хоть какая-то радость, блин! :) Зашел я на страничку "сообщить о вирусе", выбрал "запрос в вирусную лабораторию"(ссылка тут), заполнил поля , тип запроса выбрал "запрос на исследование вредоносного файла",
и написал вот такой текст:
-------------
Здравствуйте!
Симптомы:
Невозможно зайти на сайты по информационной безопасности (www.avp.ru, www.kaspersky.ru, www.drweb.com, www.z-oleg.com) без использования прокси-сервера.
На сайты с другим содержимым (newsru.com, echo.msk.ru) можно попасть без проблем, не используя прокси-сервер.
При попытке в поисковиках (google, yandex) выполнить поисковый
запрос по ключевому слову "kaspersky.ru" происходит завершение работы браузера без
каких-либо сообщений об ошибках(проверял в IE 7 и FireFox 3.6.16).
Попытки решения проблем:
При использовании прокси сервера удалось скачать антивирус Олега Зайцева avz,
но запустить его не удалось даже в защищенном режиме (процесс сразу завершался без
каких-либо сообщений об ошибках).
Если через диспетчер задач завершить процесс explorer.exe, то avz запускался, но
ничего не обнаруживал. При этом доступ на вышеперечисленные сайты без прокси-сервера
так же был невозможен.
Решение проблемы:
В реестре, в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
я обнаружил ключ:
Userinit="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\apppatch\\xofvgbi.dat"
Я изменил его значение следующим образом:
Userinit="C:\\WINDOWS\\system32\\userinit.exe",
а файл C:\WINDOWS\apppatch\xofvgbi.dat просто убрал в карантин.
После перезагрузки все сайты (www.avp.ru, www.kaspersky.ru, www.drweb.com, www.z-oleg.com)открываются нормально, при описанном выше поисковом запросе окно браузера не закрывается.
Этот файл я уже проверил на вирусы он-лайн на сайте kaspersky.ru, но получил сообщение,что файл в порядке.
По описанным причинам я считаю, что этот файл является вирусом, пока неизвестным
Лаборатории Касперского
С уважением,
Киселев Александр
-------------
В ответ мне пришло письмо (3.05.2011):
-------------
Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.
Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:
https://my.kaspersky.com/ru/support/viruslab.
Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.
Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.
Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.
xofvgbi.dat
Файл в процессе обработки.
С уважением, Лаборатория Касперского
123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru
-------------
С тех пор ни ответа, ни привета. Все бы ничего, но этот файл до сих пор не определяется он-лайн сканером касперского как вирус, хотя уже месяц прошел, как я им его послал...
Посему хоть опубликую "опознавательные знаки" этого файла:
размер - 187 392 байт
хэш MD5: 3fa6b041f3bbf8221cef36bc738eea93
хэш SHA1: 95aa6fa24fcf7bc318e5653be8d9a25f06256bfc
Блог csgpblog
месяц назад
1 коммент.:
Спасибо. Очень поучительно!
Света
PS У нас персональным компьютером дома занимается Кайл и не смотря на антивирус некоторые трояны тоже иногда руками отлавливаются.... А сколько вирусов, наверное, не отлавливается :(
Отправить комментарий