Вот и мне наконец то удалось «потрогать живьем» это чудо чудесное 
Просто как то раньше руки не доходили. А тут повод сам пришел. Родственница позвонила, говорит «Выручай! Ребенка к компьютеру подпускать нельзя, дрянь на пол экрана висит».
Подключился к ее компьютеру, смотрю и вправду «дрянь висит»…
вирус порно банер
Вот повод познакомится поближе и появился…
В принципе ничего интересного. Все старо как мир. В интернете есть сайт где первоначально определяется операционная система и браузер «жертвы». С этого сайта по ссылкам «жертву» выводят на страницу где находится скрипт для ее конфигурации. Кстати все разговоры про неэффективность антивирусов и дырявость windows в данном случае пустое балабольство. Сам вирус ставится в систему на законных правах. И никаких уязвимостей не используется. Пользователь сам кликает и подтверждает установку. Просто ему никто открытым текстом не говорит на что он соглашается. Ну и в системе эта гадость устанавливается очень глубоко. В моем случае антивирус касперского который стоял на страже системы, даже пытался не дать мне удалить пакость из системы, считая ее важным компонентом, а мои действия деструктивными
Далее хочу дать относительно универсальную инструкцию о том как удалять эту и любую другую дрянь из системы в два клика.
Для чистки windows от практически любой заразы которая прячется в системе ( включая «шпионские» штучки самой «виндовс» ) нам понадобится утилита в своем роде уникальная. Она является универсальным инструментом для иследования/диагностики/защиты/ системы от всяческой вредной пакости. Причем от той пакости которая уже есть и той которую еще даже не написали.
Но для того что бы ей пользоваться нужен мозг! Иначе AVZ убьет систему быстрее чем все вирусы вместе взятые. AVZ это «linux way» в «виндовс» Вы получаете инструмент с огромным потенциалом. Остается только научится его использовать…
Внимание!!! На 64-х битных ОС систему запускать НЕЛЬЗЯ!!!!!
Скачиваем архив и распаковываем его туда где с ним будет удобно работать, например на рабочий стол.
Заходим в папку с программой и запускаем ее. Если на вашем компьютере стоят антивирусные программы и/или аналогичные защитные утилиты, то необходимо их отключить перед запуском AVZ, и не забывайте отключать их после каждой перезагрузки системы пока вы лечите свой компьютер.
Изучение программы оставляю вам как задание на дом. А сейчас по шагам выполняем следующие действия.
Меню AVZPM пункт Установить драйвер расширенного мониторинга процессов Может появится окошко с предупреждением о необходимости перезагрузки. Кликаем «ОК». Независимо от того появилось окошко или нет, перезагружаем компьютер и запускаем AVZ снова ( незабываем отключать имеющиеся антивирусы). Если вы все сделали правильно, то в меню AVZGuard стал активен пункт «включить AVZGuard«, он становится доступен только после правильной установки драйвера мониторинга.
Теперь нам надо сделать так что бы дрянь от которой мы будет избавлять систему работала. Т.е. была запущена. У меня баннер загружался вместе с системой по умолчанию, но есть версии которые работают только в окошке браузера, после того как вы запуститите Internet Explorer. Если у вас такая версия то откройте браузер.
Теперь включаем AVZGuard ( менюAVZPM пункт включить AVZGuard) и выполняем исследования системы ( Меню Файл пункт стандартные скрипты. Далее ставим галочку «Скрипт лечения/карантина и сбора информации для раздела «Помогите!» virusinfo.info». Кликаем «Выполнить отмеченные скрипты» и ждем… По окончанию работы программы вы уведомительное окно как на картинке:
Теперь необходимо перезагрузить систему. Из за включенного AVZGuard это может быть не так просто, но я верю что вы справитесь
После перезагрузки в папке с AVZ мы видим новую папку «LOG» в ней находятся результаты иследования системы. Нам предстоит изучить virusinfo_syscure.html который открывается в интернет браузере.
Самый сложный этап. Нужно понять какие файлы принадлежать вашим программам, а какие «зловреды». Внимательно изучайте отчет. Читайте интернет. И все получиться. Зеленым цветом в отчете показываются те файлы которые знакомы AVZ и на них внимания можно не обращать. Смотрите остальное. Мне сразу не понравился раздел «процессов». AVZ в нем нашел два файла, один от антивируса касперского, он его знает, а второй неизвестный «C:\Users\User\AppData\Roaming\kdjrbzco.exe» Мне название папки сразу не понравилось, небыло в виндовсе раньше таких. Залез в Google и попробовал найти информацию о самом файле, просто набрав его имя в поисковой строке «kdjrbzco.exe» результат – «не одного совпадения». Еще один аргумент. То что такое имя никто и никогда не писал в интернете говорит о причастности к названию генератора случайных чисел. Обычным программам не нужны такие уловки. Время создания так же совпадало с временем когда предположительно был открыт вредный сайт. Изучение отчета дальше убедило меня в том что если это и не искомый вирус, то в системе этому файлу все равно не место.
Прямое чтение c:\users\user\appdata\roaming\kdjrbzco.exe
Анализатор – изучается процесс 2204 C:\Users\User\AppData\Roaming\kdjrbzco.exe
[ES]:Может работать с сетью
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI – возможно, может работать с дозвонкой ?
Прямое чтение c:\users\user\appdata\roaming\kdjrbzco.exe
Анализатор – изучается процесс 2316 C:\Users\User\AppData\Roaming\kdjrbzco.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Ну раз решил, то надо делать. Запускаем AVZ. Меню Файл пункт Выполнитьскрипт и в окно ввода добавляем вот такие строки ( подставьте свое имя файла)
begin
if SetAVZGuardStatus(True) then
AddToLog(‘AVZGuard ‘)
else
AddToLog(‘AVZGuard – ‘);
DeleteFile(‘c:\users\user\appdata\roaming\kdjrbzco.exe’);
BC_ImportDeletedList;
ExecuteSysClean;
SaveLog(‘kdjrbzco.exe’);
BC_LogFile(GetAVZDirectory + ‘boot_clr.log’);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта система сама перегрузится, и если вы правильно определили файлы вируса будет чистой.
Ну а если сами лечить систему боитесь или чувствуете что можете не справится то тогда советую обратится на форум вирусологов ссылка ведет сразу на страницу рекомендаций как правильно обращаться за помощью к обитателям.
