qkowlew (qkowlew) wrote,
qkowlew
qkowlew

Categories:

Pirrit Suggestor и его родичи - очередное рекламное дерьмо. RegFltrx64.sys

Признаки


- на сайтах, о которых ты точно знаешь, что рекламы на них не было - показывается реклама в вде картинок, в основном на свободных от текста и картинок местах, но в принципе вставляя в HTML в самых разных позициях. Adblock Plus заметную часть этой рекламы, впрочем, может и гасить, в результате пользователь может долго не замечать заражения.
- В Свойствах Браузера - прокси сервер 127.0.0.1 и случайный порт 5-тизначный.
- не работает dropbox
- в Appdata\Local - каталоги с разными именами, однако есть cache\prepared и cache\data*\ с подкаталогами - в них рекламные картинки с урлами.
- в реестре можно найти раздел SilentProcessExit со всеми именами екзешников этой херни
- в реестре в Internet Settings есть ключи ProxyDesktopName и ProxySercviceName и ProxyDirName

Ищется в интернете по ключевым строкам RegFltrx64.sys и pirrit suggestor. Появилось не позднее декабря 2013 года, активировалось всерьёз примерно в июле-августе этого года, включалось также и показывало рекламу 3 и 19 декабря 2013.


особенности:


Генерит в AppData\local себе каталог, имя которого составлено из
2-3 системных имён, например FolderNativeThumbnail. В нём кладёт два екзешника и модифицированные системные дллки.

Запущенные екзешники - это прокси на 127.0.0.1:случайный порт

- отслеживает буфер обмена и строки, содержащие себя любимого - УДАЛЯЕТ ИЗ БУФЕРА ОБМЕНА
- Воюет с AVZ, не позволяя стереть себя даже отложенным удалением файла
- Воюет с NOD32 - не позволяет обновить базы
- из заражённой системы стереть практически нереально.
- при этом если из реестра УДАЛЯЕШЬ строки с екзешниками - они генерят драйвер, при перезагрузке он запускается.
- если удаляешь строку драйвера - он генерит новые екзешники
- после новой генерации программа ВЫЖИДАЕТ от 2 дней до МЕСЯЦА, прежде чем сменит настройки прокси на свои и начнёт показывать рекламу
- после смены настройки прокси через некоторое время дрянь снабжает
всякое отображение вебстраниц подменённой баннерной и дополнительной рекламой (у меня на
gfns.net я, например, получал по бокам от сайта мигающие яркие баннеры)

Лечение


- загрузиться с чистой системы
- загрузить редактор реестра и в него куст реестра заражённой системы
- удалить все строки с упоминанием этих екзешников (список взять в разделе SilentProcessExit)
- удалить все строки с упоминанием RegFltrx64.sys (их немного)
- стереть папки с этими екзешниками
- стереть C:\Program Files\Pirrit Suggestor
- стереть AppData\local\pirrit
- стереть AppData\Roaming\pirrit
- выгрузить куст
- перезагрузиться в систему

Поправки принимаются.
Tags: windows, лытдыбр, работа
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 7 comments