HTML код вместо сайта в браузерах

Posted in Windows от Comp-Master on 09.07.2012 No Comments yet

Это вирус такой новый. Причем некотрые сайты открывает (что и позволило нагуглить этот способ) а например заглавную страницу Яндекса и страницу входа в Мэйл пишет «кракозябрами» (это для пользователей это кракозябры, а для тех кто в курсе HTML код)
Решение: regeditHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windowsпараметр AppInit_DLLsи если видем там запись некой ДЛЛ то удаляем её — это и есть вирус!
Если записей несколько выполняем в AVZ вот этот скрипт:Function FirstAppInit_DLLs() : string;
var
AppInit_DLLs: string;
FirstDLL: string;
CommaPos: integer;
VirPath: string;
Sys32: string;

begin
AppInit_DLLs := Trim(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'));
if AppInit_DLLs = '' then
begin
Result := '';
exit;
end;

CommaPos := Pos(',', AppInit_DLLs);
if CommaPos = 0 then VirPath := AppInit_DLLs
else VirPath := Copy(AppInit_DLLs, 1, CommaPos-1);
VirPath := LowerCase(VirPath);
Sys32 := LowerCase(GetEnvironmentVariable('SystemRoot') + '\System32\');
if Pos(Sys32, VirPath) = 0 then
begin
Result := '';
exit;
end;
Result := VirPath;
end;

Function IsMayachok(DLL : string) : boolean; // Проверка по разнице времени создания файлов

var
CheckDll : TFileSearch;
CheckTMP : TFileSearch;
DllPath : string;
DllDir : string;

begin

if IsWOW64 then DllPath := StringReplace(DLL, 'system32', 'syswow64') else DllPath := DLL;
DllDir := ExtractFilePath(DllPath);

case CheckFile(DllPath) of
-1 : begin Result := False; exit; end;
3 : begin Result := False; exit; end;
2 : begin Result := True; exit; end;
end;

CheckDll := TFileSearch.Create(nil);
CheckDll.FindFirst(DllPath);

CheckTMP := TFileSearch.Create(nil);
if CheckTMP.FindFirst(DllDir + '*.tmp') then begin

repeat
if CheckTMP.FileName <> '' then begin

if Abs(StrToInt(Copy(DateTimeToStr(CheckTMP.FileTime), 7, 11)) - StrToInt(Copy(DateTimeToStr(CheckTMP.FileTime), 7, 11))) < 10 then begin
Result := True; CheckTMP.Free; CheckDll.Free; exit; end;
end;

until not(CheckTMP.FindNext);
end;

CheckTMP.Free;
CheckDll.Free;
Result := False;
end;

var
Kill : string;

begin
ExecuteAVUpdate;
if not IsWOW64 then SearchRootkit(true, true);
Kill := FirstAppInit_DLLs();
if IsMayachok(Kill) then begin
ShowMessage('После нажатия Ok вирус в файле ' + Kill + ' будет удалён и компьютер перезагружен!' +#13#10+'Когда компьютер перезагрузится, выполните в AVZ 2-й стандартный скрипт и выложите для проверки файлы virusinfo_syscheck.zip из папки LOG и quarantine.zip из папки с AVZ');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile(GetEnvironmentVariable('TEMP') + '\flash_player_update.exe', '');
DeleteFile(GetEnvironmentVariable('TEMP') + '\flash_player_update.exe');
QuarantineFile(Kill, 'Будет удалён, определён как зловред из семейства Trojan.Mayachok/Trojan-Ransom.Win32.Cidox');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile(Kill);
if not IsWOW64 then BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',3,3,true);
if not IsWOW64 then BC_Activate;
RebootWindows(true);
end;
ShowMessage('Не вижу Mayachok/Cidox!');
end.

или Способ №2:
создаем bat-файл следующего содержания и запускаем его:color 02
for /F "Tokens=*" %%A In ('Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /s^|Find /i "HKEY_"') Do (
For /F "Tokens=2*" %%B In ('Reg Query "%%A" /v AppInit_DLLs 2^>nul^|Find /i "REG_SZ"') Do Echo:%%C>"%~dp0virus.txt"
)
set /p virus= copy "%virus%" virus.dl_
"%programfiles%\WinRar\rar.exe" a -pvirus -dr -m5 virus.zip virus.dl_
"%programfiles%\7-Zip\7z.exe" a -tzip -pvirus virus.zip virus.dl_
del virus.txt /q
reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" backup.reg
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v "AppInit_DLLs" /t REG_SZ /d "" /f
shutdown -r -f -t 30
start Echo Cleaned
Батник действует так:
1. Считывает параметр AppInit_DLLs из реестра и вставляет его в текстовый файл (путь к вирусу)
2. Копирует файл вируса который прописан по ссылке выше в каталог откуда был запущен батник
3. С помощью архиваторов на ПК (Winrar или 7Zip) архивируется вирус (пароль на архив ставится virus)
4. Делает на всякий случай резервную копию ветки реестра — HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
5. Очищает этот параметр от вирусной записи
6. Перезагружает компьютер.
PROFIT!
PS даныый вирус может перенаправлять на internet.com и носит кодовые названия DrWeb: Trojan.Mayachok.* Kaspersky: Trojan-Ransom.Win32.Cidox.* NOD32: a variant of Win32/Kryptik.*

Поделиться в соц. сетях

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники