truvo
24-02-2010, 18:37
В прикрепленной теме "Разблокировка WinLock (SMS-вымогатель,смс-вымогатель,порнобаннер)" отписаться нельзя, поэтому завел отдельную тему.
Вопрос такой: на компе был SMS-баннер о том, что "вам предоставлен доступ к просмотру эротического видео...". В процессе борьбы с ним был загружен LiveCD, удалено всё содержимое корзины и папок временных файлов (восстановление системы было отключено, поэтому точки восстановления, которые могли бы и пригодиться в данном случае, удалять не пришлось). Кроме того, были удалены три файла с дикими названиями из корня диска C и три библиотеки с дикими названиями, находящиеся в папке SysFiles, явно неуместной на диске C. Затем агрегат был проверен Касперским, который ничего не нашел. Пока Каспер работал, был просмотрен реестр на предмет чего подозрительного в разделе Run - тоже ничего не нашлось. Также была просмотрена глазами папка System32 на предмет скрытых и нескрытых подозрительных по дате и названию файлов - ничего такого, опять же, не нашлось.
После перезагрузки баннер выплыл вновь. Затем, в процессе непродолжительной возни с разблокиратором-генератором на сайте DrWeb его удалось разблокировать и он благополучно исчез.
Но меня интересует, где вообще физически находилась эта картинка, если я очистил все временные папки, если комп не был подключен к интернету, если поиск по маске *.jpg, *bmp, *.scr и более-менее свежей дате не показал ничего подозрительного? Хотя, я, конечно, не все графические форматы, получается, проверил. Кто подскажет?
Вопрос такой: на компе был SMS-баннер о том, что "вам предоставлен доступ к просмотру эротического видео...". В процессе борьбы с ним был загружен LiveCD, удалено всё содержимое корзины и папок временных файлов (восстановление системы было отключено, поэтому точки восстановления, которые могли бы и пригодиться в данном случае, удалять не пришлось). Кроме того, были удалены три файла с дикими названиями из корня диска C и три библиотеки с дикими названиями, находящиеся в папке SysFiles, явно неуместной на диске C. Затем агрегат был проверен Касперским, который ничего не нашел. Пока Каспер работал, был просмотрен реестр на предмет чего подозрительного в разделе Run - тоже ничего не нашлось. Также была просмотрена глазами папка System32 на предмет скрытых и нескрытых подозрительных по дате и названию файлов - ничего такого, опять же, не нашлось.
После перезагрузки баннер выплыл вновь. Затем, в процессе непродолжительной возни с разблокиратором-генератором на сайте DrWeb его удалось разблокировать и он благополучно исчез.
Но меня интересует, где вообще физически находилась эта картинка, если я очистил все временные папки, если комп не был подключен к интернету, если поиск по маске *.jpg, *bmp, *.scr и более-менее свежей дате не показал ничего подозрительного? Хотя, я, конечно, не все графические форматы, получается, проверил. Кто подскажет?