Historia
Programy te pochodzą z Rosji. Pierw do sieci trafił AntiVermins. Po kilku tygodniach pojawił się brat bliźniak tej fałszywki który zwie się AntiVerminser. Programy różnią się tylko dwoma literkami w nazwie. Wygląd oraz procedura syfu jest taka sama. I następny klon który nosi nazwę AntiVermeans. Została tylko troszeczkę zmieniona nazwa.
Infekcja
Jednym ze sposobów zainfekowania komputera tym szkaradziejstwem jest pobranie zakażonego crack`a lub innego pliku w sieci p2p oraz z różnych stron warez`owych.
Jakie szkody wyrządza?
Program ten pakuje nam syf do komputera, wyskakują fałszywe dymki w tray`u, błędy, uruchamia się przy każdym starcie systemu i proponuje nam zakupić pełną wersję programu do usunięcia wykrytych wirusów.
Strona programu
Oto strona tego dziadostwa:
h##p://www.anti-vermins.com/
Jak wygląda program AntiVermins oraz wyskakujące dymki?
Program, błędy oraz wyskakujące dymki wyglądają następująco:
Po kliknięciu na dymek zostaniemy przekierowani na stronę tego podejrzanego softu.
Identyfikacja
Hijack This rozpozna takie oto wpisy:
C:\Program Files\Video ActiveX Object\pmsngr.exe
C:\Program Files\Video ActiveX Object\isamonitor.exe
C:\Program Files\Video ActiveX Object\pmmon.exe
C:\Program Files\Video ActiveX Object\isamini.exe
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isaddon.dll
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Program Files\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [AntiVermins] C:\Program Files\AntiVermins\AntiVermins.exe /h
O4 - HKLM\..\Run: [AntiVerminser] C:\Program Files\AntiVerminser\AntiVerminser.exe /h
O4 - HKLM\..\Run: [AntiVermeans] C:\Program Files\AntiVermeans\AntiVermeans.exe /h
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll
O21 - SSODL: eupeptic - {8670ee50-01f9-47da-ac1e-cf8549e9e521} - C:\WINDOWS\System32\axlet.dll
O21 - SSODL: cecropia - {9a4b860b-b18e-4afe-9b26-2a19268eb6be} - C:\WINDOWS\system32\ownyhr.dll
O21 - SSODL: breadthes - {5c4f2cbc-f32d-4a03-9812-86f39379811b} - C:\WINDOWS\System32\oksrqqu.dll
O21 - SSODL: beeper - {951a98d0-dad6-4a77-8280-a494279a884b} - C:\WINDOWS\system32\vwfps.dll
O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - C:\WINDOWS\system32\cthkpcv.dllSilent Runners pokaże nam coś takiego:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"none" = "C:\Program Files\Video ActiveX Object\pmsngr.exe" [null data]
"isamonitor.exe" = "C:\Program Files\Video ActiveX Object\isamonitor.exe" [null data]
"pmsngr.exe" = "C:\Program Files\Video ActiveX Object\pmsngr.exe" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Video ActiveX Object\isaddon.dll" [null data]
{1a1ddc19-5893-43ab-a73f-f41a0f34d115}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Video ActiveX Object\isaddon.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{8d8c2387-7f80-4022-9be6-43630a969558}" = "carbinyl"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\gwquvw.dll" [null data]
<<!>> "{3c767c6b-602d-4b9b-829d-a3dc5b2d89dd}" = "haematobia"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\hjpprpu.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"carbinyl" = "{8d8c2387-7f80-4022-9be6-43630a969558}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\gwquvw.dll" [null data]Pliki odpowiadające za dymki
Pliki odpowiadające za dymki w tray`u to między innymi,
C:\Windows\System32\axlet.dll C:\Windows\System32\cthkpcv.dll C:\Windows\System32\cvnzie.dll C:\Windows\System32\cwgppb.dll C:\Windows\System32\gwquvw.dll C:\Windows\System32\hjpprpu.dll C:\Windows\System32\kuhmk.dll C:\Windows\System32\nbbrhbd.dll C:\Windows\System32\oksrqqu.dll C:\Windows\System32\ownyhr.dll C:\Windows\System32\vblhanf.dll C:\Windows\System32\vwfps.dll
Usuwanie
Zastosujcie SmitFraudFix w Trybie Awaryjnym z opcji 2 czyli Clean. Metodą alternatywną jest zastosowanie Smitrem lub Roguescanfix. Nie zaszkodzi przejechać oboma, np. Roguescanfix i SmitFraudFix.
Programy powinny zlikwidować całkowicie dziada, jednakże dla pewności proszę o pokazanie logów z Hijack This oraz Silent Runners w formie załącznikowej na forum.
