Pirrit Suggestor и его родичи - очередное рекламное дерьмо. RegFltrx64.sys

[qkowlew]

Признаки

- на сайтах, о которых ты точно знаешь, что рекламы на них не было - показывается реклама в вде картинок, в основном на свободных от текста и картинок местах, но в принципе вставляя в HTML в самых разных позициях. Adblock Plus заметную часть этой рекламы, впрочем, может и гасить, в результате пользователь может долго не замечать заражения.
- В Свойствах Браузера - прокси сервер 127.0.0.1 и случайный порт 5-тизначный.
- не работает dropbox
- в Appdata\Local - каталоги с разными именами, однако есть cache\prepared и cache\data*\ с подкаталогами - в них рекламные картинки с урлами.
- в реестре можно найти раздел SilentProcessExit со всеми именами екзешников этой херни
- в реестре в Internet Settings есть ключи ProxyDesktopName и ProxySercviceName и ProxyDirName

Ищется в интернете по ключевым строкам RegFltrx64.sys и pirrit suggestor. Появилось не позднее декабря 2013 года, активировалось всерьёз примерно в июле-августе этого года, включалось также и показывало рекламу 3 и 19 декабря 2013.

особенности:

Генерит в AppData\local себе каталог, имя которого составлено из
2-3 системных имён, например FolderNativeThumbnail. В нём кладёт два екзешника и модифицированные системные дллки.

Запущенные екзешники - это прокси на 127.0.0.1:случайный порт

- отслеживает буфер обмена и строки, содержащие себя любимого - УДАЛЯЕТ ИЗ БУФЕРА ОБМЕНА
- Воюет с AVZ, не позволяя стереть себя даже отложенным удалением файла
- Воюет с NOD32 - не позволяет обновить базы
- из заражённой системы стереть практически нереально.
- при этом если из реестра УДАЛЯЕШЬ строки с екзешниками - они генерят драйвер, при перезагрузке он запускается.
- если удаляешь строку драйвера - он генерит новые екзешники
- после новой генерации программа ВЫЖИДАЕТ от 2 дней до МЕСЯЦА, прежде чем сменит настройки прокси на свои и начнёт показывать рекламу
- после смены настройки прокси через некоторое время дрянь снабжает
всякое отображение вебстраниц подменённой баннерной и дополнительной рекламой (у меня на
gfns.net я, например, получал по бокам от сайта мигающие яркие баннеры)

Лечение

- загрузиться с чистой системы
- загрузить редактор реестра и в него куст реестра заражённой системы
- удалить все строки с упоминанием этих екзешников (список взять в разделе SilentProcessExit)
- удалить все строки с упоминанием RegFltrx64.sys (их немного)
- стереть папки с этими екзешниками
- стереть C:\Program Files\Pirrit Suggestor
- стереть AppData\local\pirrit
- стереть AppData\Roaming\pirrit
- выгрузить куст
- перезагрузиться в систему

Поправки принимаются.

Comments

[gray-bird.livejournal.com]

Безопасный режим зачистка автозагрузки anvir task manager не помогает?

[qkowlew.livejournal.com]

в безопасном дрянь грузится успешно (характерный признак - удаляет строки с собой из буфера), анфира тупо не видит ничего подозрительного в реестре.

[mc6312.livejournal.com]

Лайвсиди кацперда/дыруеба/... не помогают?

[qkowlew.livejournal.com]

"загрузить - прожечь - загрузиться с болванки - запустить - перегрузиться в очищенную систему" - на тот момент не помогало. Понадобился я с регедитом. :)

[mc6312.livejournal.com]

"Загрузить, забросить на Zalman VExxx, загрузиться с образа кацперда, после отработки антивиря использовать тамошний редактор реестра"

[qkowlew.livejournal.com]

У каждого пользователя есть Zalman VE? 8-O
Его не у всякого компьютерщика то увидишь. :(

[mc6312.livejournal.com]

Тем хуже для каждого пользователя.