пятница, 27 января 2012 г.

Files_load.exe атакует!

Каюсь... До сегодняшнего дня дико высмеивал тех, кто нарывается в инете на всякие вирусы и винлоки. Я был уверен, что nod32 версии 5 с настроенным автоматическим обновлением и простенький фаервол Firewall Plus играючи справятся с такими ламерскими угрозами. Кстати, Win7 у меня, сижу под пользователем с админ. правами, чего вам делать не советую. Заводите второго пользователя в системе для интернета, а на администратора поставьте пароль.



Я тоже, поверьте, кликаю на разные баннеры, ищу взломанные программы и т.д. и т. п., хотя и считаю себя продвинутым пользователем ПК. Я считал, что могу себе такое позволить, имея нод32 и мозги. Однако, я и сейчас не согласен с мнением, что юзеров надо ругать за клики по злачным местам. На то он и инет, чтоб кликать.

Сижу, значит, никого не трогаю. Вижу ссылка предо мной возникла на вожделенную программу. Я по опыту понял, что она фейковая, и её заблокирует антивирус... Но решил попробовать. Хоба-на, ВИНЛОК. Каааак, блин?


Затем я подумал, что винлок всего лишь отображается в моем браузере. Но когда я не смог увести мышку за пределы окна этого вируса, я понял, что попал.

Забегая вперед, скажу, что files_load поддался мне за час, благодаря Win7 он не смог засесть глубоко.

Мышка не работает... Ну и что? Сменил пользователя на неадмина с помощью клавы, а вирус там не проявился. Всё чисто. Слишком хорошо, чтобы быть правдой?! А вме потому, что files_load прописался в документах админа (C:/users/eggplant/...) и стал недоступен для ограниченного пользователя! Профит!



Что надо делать:
1) запускаем с админправами msconfig и отключаем автозагрузку файла files_load.еxe
2) запускаем regedit с админправами, нажимаем искать files_load. Он прописывается примерно в трёх местах. Меняем значения, где он прописался (Winlogon, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon) на Explorer.exe (shell). Значение command можно вообще удалить.
3) Смена пользователя и перезагрузка.

Легче пареной репы! Хрен там...))) Мне пришлось повторить все эти пункты еще раз.))) Не повторяйте моей ошибки... Я запустил Firefox, а он, гад, открыл мне ПОСЛЕДНИЕ ВКЛАДКИ... Ну вы поняли... Заново заразил мне комп!!!

Короче фигня этот ваш винлок files_load[1].exe

Касперский, Майкрософт, Панда и Авира не допустили бы такого, судя по отчету VirusTotal.

Nod32 и ДокторВеб нервно курят в сторонке. Свой антивирь решил простить, сносить не стану, ведь сто предыдущих угроз он поймал.

4 комментария:

  1. Avira допустила это. Причем максимальная лицензионная версия, которую я купил неделю назад =(

    ОтветитьУдалить
  2. Спасибо за первый комментарий на моём блоге!
    Возможно, вы поймали вирус еще раньше меня и раньше обновления баз Авиры...

    ОтветитьУдалить
  3. Заведите себе антивинлокер на лайв-сиди, кстати доктор веб ловит на-ура эту фигню(час назад чистил систему с установленным Нодом).

    ОтветитьУдалить
  4. спасибо за статью
    схватил на каспере

    ОтветитьУдалить