• Некоторые компульсии по поводу околокомпьютерных обсессий.

    Wednesday, February 29, 2012

    Удаление вируса Cidox или Mayachok

    У клиентов случилось опять что-то непонятное: при заходе не почту mail.ru антивирус бесится и выдает сообщение, что заблокировал соединение с сайтом
    dnscloud4.com/phpbb/get.php?id=......
    и браузер выдает страничку "невозможно соединиться с сервером".  Некоторые сайты выдавали "сырой html", в котором отсутствовал полностью <header> и начало <body>
    Лишних процессов было не обнаружено, и было решено просканировать компьютер антивирусом до загрузки ОС. Антивирус ничего не обнаружил и проблема никуда не исчезла. Пришлось чинить руками.
    Сначала внимательно просмотрел реестр и вот что обнаружил:
    [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
    По умолчанию там 0
    [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = '<SYSTEM32>\jxktfrs.dll'
    По умолчанию там значения нет. Кстати, эта название dll может отличаться. Что ж, отключаем восстановление системы, перегружаемся в безопасном режиме, меняем 'LoadAppInit_DLLs' на 0,  'AppInit_DLLs' на пусто, т.е. удаляем наименование dll.
    Идем в %systemroot%\system32, сортируем файлы по дате модификации, находим эту dll. Рядом увидим еще один файл с такой же датой-временем, размером и  именем типа opera.tmp или firefox.tmp. Удаляем эти файлы.
    Проверяем файл C:\Windows\System32\drivers\etc\hosts на предмет  лишних записей. Если вы сами туда ничего не вписывали, то в нем должна быть только одна незакомментированая строка, она последняя в файле

    127.0.0.1       localhost
    а все предыдущие строки начинаются со знака решетки:
    # Copyright (c) 1993-2009 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    их можно удалить, а можно не трогать. Если там кроме
    127.0.0.1       localhost
    есть что-то еще и вы не знаете что это и для чего это, то закомментируйте эти строки или удалите.
    По классификации  DrWeb эта гадость называется Trojan.Mayachok.1, по McAffee Vundo!, по Касперскому и avast - Win32.Cidox. Но ни аваст ни ДрВеб-liveCD его не обнаружили. Это прискорбно.

    Post a Comment