Posts Tagged “drweb”

Pierwszy raz zaraziłem się w wieku lat 11. Miałem wtedy komputer 386sx 25mhz, a wirusem był niejaki Delwin. Przyjmowanie wielkich dziwnych tabletek przyniosło należny skutek – jestem zdrowy.

Wczoraj był ten drugi raz – 4500 zarażonych plików EXE + 16861 plików HTML i PHP z doklejonym szkodliwym kodem na moim lokalnym komputerze = oto efekt działalności wirusa Virut.51 na moim ukochanym laptopiku. Odrobaczywianie było długie i bolesne. Dla potomnych postaram się opisać jednak sposób na najszybsze pozbycie się tego wyjątkowo wrednego szkodnika…

Rozpoczęło się od tego, że postanowiłem zainstalować najnowsze aktualizacje Windows XP. Po instalacji komputer przestał się uruchamiać, zatrzymując się na ekranie „trwa ładowanie ustawień osobistych”. Przywracanie systemu w trybie awaryjnym nic (jak zawsze) nie dało). Po kilku godzinach wskrzeszania okazało się, że problemem był Avast Antyvirus, który widocznie pogryzł się z najnowszymi aktualizacjami. Po usunięciu Avasta w trybie awaryjnym komputer się uruchomił, jednak żadna z przeglądarek (Internet Explorer, Firefox, Opera, Chrome) nie działała poprawnie lub się nie uruchamiała (IE nie realizował wysyłania formularzy, interfejs Opery był cały czarny, Firefox uruchamiał się w tle, a okna nie było widać, Chrome wywalał krytyczny wyjątek). Po przeinstalowaniu wszystkich browserów działała JEDYNIE Opera, a moja ówczesna ulubiona przeglądarka – Maxthon przestała wyświetlać panel ustawień…

Jako, że piszę w PHP czasami, a akurat miałem trochę pracy – zdziwiło mnie, że żaden ze starych projektów nie chciał się uruchomić (parser php wywalał „unexpected ‚<’”). Zdziwiło mnie natomiast, że do każdego edytowanego przeze mnie pliku doklejała się AUTOMATYCZNIE ramka iframe 1x1px ze ścieżką do czeskiej strony z exploitami. TO MUSIAŁ BYĆ WIRUS.

Rozpisałem się już niemiłosiernie, więc przejdę do konkretów – nie usunie się tego wirusa żadnym z wypróbowanych przeze mnie free programów antywirusowych oprócz jednego…

Wejdź na XP w trybie awaryjnym z obsługą sieci, ściągnij DrWeb CureIt – przeskanuj dysk i zdziw się, że do prawie wszystkich plików EXE, DLL, CAB, ZIP, RAR na końcu dokleił się kod wirusa Virut.51 ;) Wybierz oczywiście opcje „leczenie”.

Pozostaje jednak zmiana tysięcy plików PHP, HTML z doklejnoną szkodliwą ramką. Do tego polecam trial Advenced Find And Replace do masowego wyszukiwania i zamiany ciągów znaków w plikach. Oczywiście szkodliwy ciąg iframe zamień na ciąg pusty przy pomocy trybu Batch.

Dziękuję, jesteś zdrowy.

Ps. Centrum ustawień Maxthona nie działało właśnie z powodu dodania iframe z czeskim exploitem.

Stay safe ;)

Tagi: , , , , , , , , , , , ,

Comments 4 komentarzy »