nic-Lexei все записи автора
Что делает вирус: блокирует интернет эксплорер. При переходе на любой сайт открывается страница с порнушными картинками, причём адрес сайта не меняется(картинки отключены):
Вирус изменяет настройки прокси, перенаправляя все запросы браузера на 127.0.0.1:8600. Но изменив настройку прокси,
а если этого не получилось сделать (поля для ввода адреса и порта затенены) , то просто удалив параметр hkcu/software/microsoft/windows/currentversion/internet setting/proxyserver, будет та же страница с недетским содержимым.
Вредоносный процесс - zpx2.exe. Файл - \windows\system32\zpx2.exe. Служба - winsecquard. Процесс останавливаем. Файл удаляем. Службу останавливаем навсегда.
Удаляем из реестра сведения о службе и её компоненты. Папка компонентов - это та папка из дериктории \program files\common files\, на которую ссылается параметр ImagePath в разделе hklm\system\currentcontrolset\services\winsecquard:
Чтобы убрать сведения о службе, удаляем всю папку winsecquard из реестра.
Здесь следует учесть, что в controlset001, controlset002... будет то же, что и в currentcontrolset. По этому нужно либо отключить восстановление системы, либо проводить операцию для всех контрольных точек.
По моим наблюдениям и догадкам только часть этой программы(zpx2.exe) - есть web-сервер, так как перенаправление на локальный адрес при активном zpx2.exe срабатывает мгновенно, без открытия целевой страницы(например
www.yandex.ru). Другое дело когда процесс остановлен, исполняемый файл вируса удалён, служба отключена и настройки прокси - верные(если они вообще нужны). В этом случае порнуха показывается только через 2-3 секунды после открытия и отображения целевого сайта. Здесь в ход вступает надстройка в интернет эксплорере - fxklib.dll (сервис - управление надстройками), которую по моему мнению туда и устанавливает вторая часть zpx2.exe.
Отключаем надстройку:
Удаляем её файл fxklib.dll, он находится внутри каталога текущего пользователя.
Вычищаем от порнокартинок папку временных файлов интернета: \каталог пользователя\Local Settings\Temporary Internet Files.
Готово. Теперь всё работает и самое время удалить навсегда Майкрософт Интернет эксплорер. Жалко не удалось сохранить исполняемый файл. Файл надстройки (fxklib.dll) зато остался и уже отправлен на VirusTotal.com.
P. S. Наверное из-за этой двоякости цифра в названии вируса.