М..мм?Троянец?

[cufti]

Здравейте!Значи вчера дръпнах от нета едно клипче и нали изгледах го и излезнах навън.След 1 час си идвам отварям една папка, после друга, след това давам горния бутон "back", който ме връща в предишната папка и ми показва тази системна грешка:

 

http://img329.imageshack.us/my.php?image=57971051nd6.png

 

Хм, първоначално се парирах, но впоследствие се успокоих.Пуснах Nod32, хм странно, нищо не откри....пуснах Spybot, намери там разни неща, но грешката остана....разгледах грешката и реших да натисна yes дръпнах програмата, инсталирах я и тя намери 8 файла, дадой да ги изтрие, но за съжаление ми поиска лицензиран код, а аз нямах закупен лицензиран софтуер...

 

Разтърсих се в нета и намерих Remove IE AntiVirus..?Прочетох всичко и разбрах, че тази програма с някакви системни грешки като троянци влиза чрез дърпането на картинки или клипчета от нета, без нода да я засича, гледах там стъпките, в които се описват разни процедури и впоследствие дръпнах тази програма: XoftSpySE

 

Намерих лицензиран код и я пуснах в действие,намери 30 файла, но като ги изтри и реснах пц-то, грешката остана...?Странно?!?Разгледах в замунда програмите, и доколкото разбрах SpywareTerminator била доста добра програма и реших да запиша и нея.Тя също ми намери още 2 файла и ги изтри но грешката остана.Пуснах CCleaner, той намери някакви грешки и регистри изтри там някакви 100 мегабайта и пак си остана грешкта.

 

Моля, като по-компетентни в тази сфера, посъветвайте ме как да елиминирам тази досадна грешка.

Благодаря!

[Aquarius]

Проблемът с троянеца беше решен по Skype, но ще напиша тук по-детайлно как може да се справите с подобен проблем (като използвате само безплатни инструменти), за да може темата да е полезна и на други потребители със същия или подобен проблем.

 

1) Първото нещо, което трябва да се направи при подобен проблем, е да се разбере кой е процесът, който визуализира фалшивото съобщение. Това може да стане много лесно с помощта на инструмента Process Explorer.

 

а) Стартирате инструмента и в лентата с бутоните селектирате и задържате иконката, която прилича на мерник.

 

http://img365.imageshack.us/img365/2904/pewindowfinderqu5.png

 

б) Провлачвате мерника до фалшивия прозорец, докато прозорецът не бъде ограден с черни селектори. След това отпускате левия бутон. В примера съм използвал началният екран на приложението ImgBurn.

 

http://img365.imageshack.us/img365/3445/windowsselectorsdz0.png

 

в) Веднага след отпускането на бутона на мишката, Process Explorer ще визуализира в сив цвят процесът, който съдържа нишката(и), на които им принадлежи прозорецът.

 

http://img365.imageshack.us/img365/544/imgburnfoundof1.png

 

В зависимост от зловредния код - това може да бъде отделен процес или библиотека с динамично свързване (DLL), мапната в адреснотото пространство на друг процес (какъвто е троянецът, на който babaqga беше попаднал). Това е доста често срещаната тактика - зловреден код скрит в легитимен процес като например Rundll32, Svchost или както в този случай Explorer.exe. Oбикновено този тип зловреден код се зарежда автоматично при стартиране на операционната система. Конкретно този троянец се зареждаше като Browser Helper Object на Explorer. BHO за Explorer се дефинират в регистъра под ключа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects.

Ако е отделен процес нещата са по-лесни. С помощта на Process Explorer лесно можете да намерите пътя до файла, който изпълнява на твърдия диск. Този тип зловреден код също обикновено използва автоматично зареждане при стартиране на OS. Този път ключовете обикновено са HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

 

 

2) Втората стъпка е откриването и премахването на зловредният файл. Ще разгледам и двата сценария - когато отделен процес изпълнява файла и когато файлът е скрит зад легитимен процес като тези споменати по-горе.

 

а) Когато отделен процес изпълнява зловредния файл е нужно да се направи следното:

 

- Идентифициране на процеса (с помощта на функцията на Process Explorer за асоцииране на отворени прозорци с процеси, разгледана по-горе).

 

- Убиване на процеса. В Process Explorer селектирате процеса и с клавиша DEL го убивате. Възможно е, ако зловредният код е по-сериозен и се разпространява като множество зловредни процеси, когато убиете един процес след няколко секунди да се появи пак със същото или различно име. Същото важи и за изтриването на записите в регистъра за автоматично стартиране например с Autoruns. При такава ситуация се налага използването на функцията Suspend, но в този пост няма да разглеждам такъв вариант.

 

- Изтриване на записите от регистъра за автоматично стартиране. Това може да стане лесно с инструмента AutoRuns.

 

- Изтриване на зловредния файл от твърдия диск. Това може да стане с помощта на Windows Explorer. Ако файлът се "пази" от друг процес може да използвате функцията на инструмента HiJackthis v2.0.2 за изтриване на файлове при рестарт на системата. Това може да стане така - стартирате HijackThis, на началният прозорец кликвате на бутона Open the Misc Tools section. След това кликвате на бутона Delete a file on reboot... и в стандартния диалогов прозорец Open, селектирате файла за изтриване.

 

- Рестартиране на системата.

 

б) Когато файлът е скрит зад легитимен процес под формата на DLL e нужно да се направи следното:

 

- Идентифициране на процеса (с помощта на функцията на Process Explorer за асоцииране на отворени прозорци с процеси, разгледана по-горе).

 

- Преглеждане на т.нар. memory mapped files в процеса. Това може да стане с два инструмента - Process Explorer и ЕSET SysInspector.

 

При Process Explorer е необходимо да селектирате процеса и да отворите изгледът Lower Pane и разбира се да го конфигурирате да показва memory mapped files. Това може да стане така - стартирате Process Explorer, от менюто View избиратe Show Lower Pane (Ctrl + L), след това от Lower Pane View избирате DLLs.

 

Как се разпознава зловреден DLL?

 

Обикновено по следните признаци:

 

---- Няма описание или производител.

---- Не е подписан. Можете да проверите това като кликнете с дясното копче и изберете Properties. След това кликвате на бутона Vefiry. Ако всичко е ОК, до Company Name ще видите надпис (Verified).

---- Намира се в Windows или System32 директория

---- Разпространява се като packed т.е. криптиран / компресиран (този вид файлове се визуализира в лилав цвят от Process Explorer). Това се прави с цел затрудняване на дефинициите на антивирусните и антишпионските програми.

---- Съдържа странни URLs в своите вътрешни низове. Можете да преглеждате вътрешните низове с помощта на Process Explorer. Когато сте в DLL режим на Lower Pane View, изберете даден DLL и с лявото копче кликнете Properties. След това преминете на страницата Strings. Внимание - ако динамичната библиотека е криптирана / компресирана (Packed image) ще трябва да селектирате радиобутона Memory, за да имате коректен изглед на низовете.

 

При ESET SysInspector нещата са малко по-лесни. След като го заредите просто в списъка на процесите кликвате два пъти върху желания процес. След това търсите същите признаци, за които споменах по-горе. Също така ESI визуализира в различен цвят непознатите и опасните файлове.

 

- След като откриете зловредния DLL е необходимо да изтриете записите в регистъра, които го стартират автоматично. Това може да стане с помощта на Autoruns или ръчно чрез Regedit.

 

- Сега вече е време да изриете файла от твърдия диск. Ако искате, можете да рестартирате и тогава с помощта на Windows Explorer да изтриете зловредният DLL или направо с опцията Delete a file on reboot на HijackThis (ако решите да го изтриете без да рестартирате - системата ще ви върне грешка, защото файлът се използва в момента).

 

Добри програми за премахване на зловреден код са: Malwarebytes Anti-Malware и SUPERAntiSpyware Free.

 

Spybot S&D беше добра програма за премахване на зловреден код, но последно време не се представя максимално добре. XoftSpySE пък е пълен боклук и определено не може да се разчита на него.

 

Ами това е. Надявам се краткото ми ръководство за премахване на такъв тип заплахи да е полезно.