Записи Друзья Комментарии
AntiVirDoctor
Аватар AntiVirDoctor

 -Поиск по дневнику

Поиск сообщений в AntiVirDoctor

 -Подписка по e-mail

 

 -Интересы

антивирусное сообщество антивирусы взаимопомощь вирусы

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 19.03.2009
Записей:
Комментариев:
Написано: 16

Записи с меткой zpx2.exe

(и еще 1 записям на сайте сопоставлена такая метка)

Другие метки пользователя ↓

autorun.inf autoruner csrcs.exe csrcs.exe как избавиться fxklib.dll kido oeminfo.bmp oemlogo.ini virustotal.com zpx2 zpx2 - история борьбы zpx2 блокирует ie zpx2 как удалить zpx2 прокси-сервер zpx2.exe автозапуск антивирусы вирус csrcs.exe вирус zpx2 код активации надстройка fxklib.dll не лицензионная копия окно свойств системы проверка смс сравнение флешки
Нравится

zpx2.exe - история борьбы

Дневник
Суббота, 21 Марта 2009 г. 15:41 + в цитатник
nic-Lexei (AntiVirDoctor) все записи автора Что делает вирус: блокирует интернет эксплорер. При переходе на любой сайт открывается страница с порнушными картинками, причём адрес сайта не меняется(картинки отключены):
(639x359, 48Kb)

Вирус изменяет настройки прокси, перенаправляя все запросы браузера на 127.0.0.1:8600. Но изменив настройку прокси,
(380x408, 16Kb)

а если этого не получилось сделать (поля для ввода адреса и порта затенены) , то просто удалив параметр hkcu/software/microsoft/windows/currentversion/internet setting/proxyserver, будет та же страница с недетским содержимым.

Вредоносный процесс - zpx2.exe. Файл - \windows\system32\zpx2.exe. Служба - winsecquard. Процесс останавливаем. Файл удаляем. Службу останавливаем навсегда.

Удаляем из реестра сведения о службе и её компоненты. Папка компонентов - это та папка из дериктории \program files\common files\, на которую ссылается параметр ImagePath в разделе hklm\system\currentcontrolset\services\winsecquard:
(695x142, 46Kb)

Чтобы убрать сведения о службе, удаляем всю папку winsecquard из реестра.
Здесь следует учесть, что в controlset001, controlset002... будет то же, что и в currentcontrolset. По этому нужно либо отключить восстановление системы, либо проводить операцию для всех контрольных точек.

По моим наблюдениям и догадкам только часть этой программы(zpx2.exe) - есть web-сервер, так как перенаправление на локальный адрес при активном zpx2.exe срабатывает мгновенно, без открытия целевой страницы(например www.yandex.ru). Другое дело когда процесс остановлен, исполняемый файл вируса удалён, служба отключена и настройки прокси - верные(если они вообще нужны). В этом случае порнуха показывается только через 2-3 секунды после открытия и отображения целевого сайта. Здесь в ход вступает надстройка в интернет эксплорере - fxklib.dll (сервис - управление надстройками), которую по моему мнению туда и устанавливает вторая часть zpx2.exe.

Отключаем надстройку:
Надстройка (458x699, 198Kb)

Удаляем её файл fxklib.dll, он находится внутри каталога текущего пользователя.
Вычищаем от порнокартинок папку временных файлов интернета: \каталог пользователя\Local Settings\Temporary Internet Files.

Готово. Теперь всё работает и самое время удалить навсегда Майкрософт Интернет эксплорер. Жалко не удалось сохранить исполняемый файл. Файл надстройки (fxklib.dll) зато остался и уже отправлен на VirusTotal.com.

P. S. Наверное из-за этой двоякости цифра в названии вируса.

Метки:  

 Страницы: [1]

О проекте