मैनुअल हटाने Smitnyl.A की

सभी को नमस्कार!

पहले के बाद से, पहले भाग में , Smitnyl.A के मैनुअल हटाने के लिए सामान्य सिद्धांतों को इंगित करने के लिए एक वादा किया गया था। मैं वादा पूरा करता हूं। हां, टिप्पणी में 20 प्लस नहीं थे, लेकिन मुझे लगता है कि 14 लोगों को क्या ब्याज मिलना चाहिए। इसके अलावा, हटाते समय, इस मैलवेयर की कुछ विशेषताएं पता चलीं।

तो, हमारे सिस्टम को ड्रॉपर Smitnyl.A द्वारा तैयार और संक्रमित किया गया था (आकार 37 076 बाइट्स, MD5 A6E5BAAEAB6C506CB5A08755B025F6A5)। संक्रमण के बाद, ड्रॉपर (किसी भी स्वाभिमानी ड्रॉपर की तरह) सेल्फ-डिस्ट्रक्टेड, सिस्टम में कोई और संशोधन नहीं हुआ, केवल एमबीआर ( मूल , संक्रमित ) में बदलाव को छोड़कर। मैं जोर देता हूं: इस स्तर पर userinit.exe संक्रमित नहीं था ।

और यह संक्रमण एक सिस्टम रिबूट के बाद हुआ, जब दुर्भावनापूर्ण कार्यक्षमता का तुरंत पता लगाया जाने लगा (सभी तस्वीरें क्लिक करने योग्य हैं)



जैसा कि वादा किया गया है - मैलवेयर एक डाउनलोडर के रूप में काम करता है और हमारे मामले में यह अपने पिछले दरवाजे घटक को डाउनलोड करता है।

और फिर दिलचस्प खुलासा हुआ है। वास्तव में, नकली explorer.exe बूट पर एक बार चलता है, सिस्टम ड्राइव के रूट पर डाउनलोड होता है और सामग्री को लॉन्च करता है, जिसके बाद यह अनलोड होता है और आत्म-विनाश होता है:

> C:\Documents and Settings\1\> ** New Command Shell [PID:1996]
> del C:\DOCUME~1\1\LOCALS~1\Temp\explorer.exe
> ** New Command Shell [PID:3144]
> del C:\2008.exe

कुल मिलाकर, सिस्टम में एक बैकडोर है, लेकिन कुछ भी इसके स्रोत को इंगित नहीं करता है - Smitnyl.A! AVZ सिस्टम को स्कैन करना एक सेवा के रूप में चलने वाले पिछले दरवाजे के मॉड्यूल की उपस्थिति का पता लगाता है, आपको इसे हटाने की अनुमति देता है, हालांकि, एक नया रिबूट अपनी जगह पर सब कुछ लौटा देगा:






आप स्मरनिल का पता लगा सकते हैं। लक्षण केवल तभी यदि आप लॉग के निम्नलिखित भाग पर ध्यान से विचार करें:




यहां यह स्पष्ट हो जाता है: सिस्टम ने सीआरसी डेटाबेस से संक्रमित userinit.exe को नहीं पहचाना, और इसलिए इसे सिस्टम द्वारा संदिग्ध रूप से प्रदर्शित किया गया था (सिस्टम ने cmd.exe को भी नहीं पहचाना - लेकिन यह सच है: मैंने खुद शेल में संचालन लॉगिंग के लिए इस फाइल को बदल दिया है)।

तो क्या इलाज था?

1. चूंकि userinit.exe सक्रिय सिस्टम के साथ शामिल नहीं है, हम बस इसे वितरण किट या एक असंक्रमित प्रणाली से मूल फ़ाइल के साथ अधिलेखित कर देते हैं।
2. यदि आप इस स्तर पर रिबूट करते हैं, तो userinit.exe फिर से संक्रमित हो जाएगा। इसलिए, हम MBRFix रिकवरी करते हैं, हालांकि इसका मतलब यह नहीं है कि अन्य विकल्प काम नहीं करेंगे।
3. हम AVZ स्क्रिप्ट का उपयोग करके मानक उपचार का उत्पादन करते हैं:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\tjmitrd.dll','');
DeleteFile('c:\windows\system32\tjmitrd.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
(स्क्रिप्ट डाउनलोड करने और डाउनलोड करने वाले के आधार पर भिन्न हो सकती है)।

रिबूट करने के बाद, सिस्टम पूरी तरह से साफ हो गया था।