FlyElf
Сообщений: 39
Оценки: 0
Присоединился: 2006-09-14 19:13:53.856666
|
Вернемся к нашим баранам. itunesff перерождается заново. Я не знаю какая прорамма его создает заново. Но если его в принципе я вроде убил удалив все, что тока можно (посоветвали удалить папочку Windows - терь ниче не вылезает) Но всплывающие окна на порнуху меня просто вымораживают… Пытался засечь в СtrlАltDel процесс - нифига не выходит.. во первых они рандомно открываются, то есть если открывешь страницу - могут открыться а могут и нет. А если открываются то я не успеваю поймать процесс.. Что сделать чтобы убить этот вирус или что у мя за дрянь засела?. Я вот думаю - это вроде появилось после того как itunesff у мя засел. Но после его удаления (надеюсь все-таки с концами) всплывающие окна все равно остаются. Хотя вполне возможно что это вытворяет та же гадская прога которая перерождает itunesff. Вот: Trojan.Win32.LipGame.a Обновление выпущено 18 янв 2006 02:57 MSK Технические детали Троянская программа. Является приложением Windows (PE EXE-файл). Написана на языке C++. Размер зараженного файла — 49152 байта. Программе соответствует прозрачный значок, вследствие чего её трудно заметить в некоторых файловых менеджерах. Инсталляция Инсталляция троянца производится при запуске на выполнение файла с вредоносной программой и выполнении следующих условий: в командной строке присутствует параметр «-install»; программа установлена более 21 дня назад или не установлена вообще (определение даты последней установки производится по дате последней записи в файл %WinDir%\imsins_.bin, в который при каждой инсталляции производится запись 1 байта); в системе отсутствуют следующие объекты: %Program Files%\0190 Warner %Program Files%\a2 %Program Files%\CoolspotD\ialer Control %Program Files%\Popupkiller %Program Files%\MicroSoft AntiSpyware %System%\DRIVERS\vmx_svga.sys %System%\DRIVERS\vpc-s3.sys При инсталляции некоторые параметры троянец может получать из cookie со строкой «websitesign». Программа получает по запросу к URL http://xdl.www2.******.com/kb2.php свои настройки в зашифрованном виде и сохраняет их в файле %WinDir%\KB842252.log. Также программа получает данные с этого же сайта и сохраняет их в файле %WinDir%\switchagreement.txt. В случае наличия при инсталляции в командной строке параметра «-s» запущенный файл копируется в файл %System%\itunesff.exe и регистрируется в автозапуске системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "itunesff"="%System%\itunesff.exe" Таким образом, данный файл будет автоматически запускаться при каждой загрузке ОС. После этого устанавливается следующее значение ключа реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings] "alternative"=1 Затем скопированный файл itunesff.exe запускается. В случае наличия при установке в командной строке параметра «-d», программа копирует себя в файл %WinDir%\internt.exe, затем пытается создать несколько ярлыков к нему:На рабочих столах всех пользователей: XXX NOW TheDoctor PORN JACK POT В меню «Пуск» всех пользователей: LipGame Dating WIN PORN DVD Троянская программа некорректно обрабатывает русскоязычные пути к файлам. Вследствие этого при запуске программы на русифицированных версиях ОС Windows ярлыки не создаются. Если в командной строке при установке присутствовала подстрока «installbf», то после завершения установки удаляется оригинальный файл программы. В противном случае удаляются следующие файлы: C:\explorer.cab C:\inst.hta C:\inst.exeДеструктивная активность При запуске без параметров программа выводит консольное окно, в котором выводит строку «FORMAT volume [/FS:file-system] [/V:label] [/Q] [/A:size] [/C] [/X]» и завершает своё выполнение. При запуске файла itunesff.exe с параметром «-go» программа пытается закрыть окна, содержащие в имени класса строку «#32770», получает данные об открытых телефонных соединениях и сохраняет их в следующем ключе реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Settings] "areacode" "phonenumber" "username" "domain" Затем программа у всех телефонных соединений изменяет имя пользователя и локальный номер телефона на значения, заданные в файле с настройками KB842252.log, загруженном из интернета при инсталляции. По прошествии 30 дней после времени, указанного в файле с настройками, полученном с http://xdl.www2.******.com/kb2.php, программа удаляет файл itunesff.exe и возвращает параметры соединений в исходные значения. Также удаляются созданные программой ключи реестра. При активации одной из иконок производится запуск файла internt.exe c параметром «-go», если на момент запуска нет другой, уже выполняющейся копии internt.exe. После запуска программа разрывает все активные телефонные соединения, затем несколько раз устанавливает и разрывает соединения с различными телефонными номерами, взятыми из файла с настройками. После этого производит HTTP-запрос к URL http://www.********.nu/members.asp?cat=, передавая в нём некоторые свои параметры. Общее число запусков программы в таком режиме указывается в файле настроек. После совершения данного числа запусков или по прошествии 30 дней после времени, указанного в файле с настройками, программа удаляет файл internt.exe и созданные ей ярлыки. Для сохранения числа уже произведенных запусков используется следующий ключ реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony] "cnt"Рекомендации по удалению Удалить следующий ключ реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "itunesff"="%System%\itunesff.exe" Завершить выполнение процесса с именем itunesff.exe. Удалить следующие файлы: %System%\itunesff.exe %WinDir%\internt.exe Исправить параметры всех телефонных соединений на первоначальные. Удалить ярлыки, созданные программой в меню и на рабочем столе. Произвести полную проверку компьютера Антивирусом Касперского *** В общем я сделал все кроме проверки каспером потому что не имею возможности поставить его себе на комп. (не спрашивайте почему. не могу и все.) Помимо этого я удалил все файлы с которыми контактировал вирусняк. Там написано что вроде после инстала он убивает сам себя оставляя тока itunesff и internt. И ещё. когда всплывают окна выскакивает теперь ошибка, и отчет об отправке. Но окно не закрывается. Что делать? McAfee ничего не находит (ваще тупой антивирь..)
|