Пару дней назад я заметил, что после загрузки операционной системы, когда включается компьютер, автоматически начинает загружаться системная утилита cmd.exe (командная строка), а через неё автоматически запускается браузер, который указан «по умолчанию», и самопроизвольное открытие вкладки ведущей на сайт Lyll.net, с последующим редиректом на какой-то убогий недоресурс новостей.
Вирус Lyll.net через загрузку cmd.exe
Самое забавное то, что антивирусы этой гадости не замечают, поскольку запуск вредоносного кода из реестра происходит гораздо раньше, чем запускается ваш антивирус. Например Касперский 2013, со свежими антивирусными базами, никакой опасности в «вирусе» Lyll.net не обнаружил!
Вчера потратив пару часов я решил подобную проблему благодаря сайту virusinfo.info. Сегодня подобную гадость я обнаружил на своём рабочем компьютере, который работает через жёстко настроенный прокси-сервер Zentyal!
Итак, ещё раз симптоматика заражённого компьютера гадостью Lyll.net, которая грузится через cmd.exe: вы включаете комп и видите как появляется чёрное окошко командной строки (cmd.exe), которое запускает ваш браузер. Первой вкладкой окажется сайт ooov.net — именно сюда ведёт редирект с Lyll.net.
Лечение от Lyll.net
На данный момент антивирусы пропускают мимо себя файлы заражённые этой гадостью. Предлагаю два варианта решения проблемы:
0. Наипростейший (практически мгновенный). Через правку реестра за пару минут по советам пользователей.
Пуск -> Выполнить -> regedit -> Поиск в реестре по включению «lyll». И затем удалить ненужное.
1. Правильный (долгий). Зарегистрироваться на сайте virusinfo.info и выполнить Инструкцию по оформлению запроса о помощи. Затем создать новую тему на форуме с описанием проблемы вот здесь, и приложить логи сканирования согласно инструкции. Затем ждать ответа хелпера и действовать согласно их рекомендациям.
2. Упрощённый (быстрый). Поскольку механизм вируса Lyll.net идентичен на всех компьютерах с ОС Windows (7 и 8 точно!, проверил на своих компах), можно поступить так:
- Скачать Утилиту HiJackThis.
- Скачанный .exe файл (программу) поместить в отдельную папку с любым именем и запустить от имени Администратора.
- Выбрать второй пункт меню «Do a system scan only«
- Откроется окно, в котором появится список важных файлов и записей из реестра.
Вот теперь ищите строку, которая будет выглядеть вот так:
O4 — HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130531 (exit) else (start http://lyll.net && exit)
Это и есть «заражённая» запись в реестре, через которую файл cmd.exe запускает ублюдский сайт.
Теперь поставьте галочку напротив этой записи, и внизу открытого окна нажмите кнопку «Fix Cheked» и затем «Ок«. Закройте окно и перезагрузите компьютер.
По идее проблема c Lyll.net решена, но остаётся вероятность того, что в компе остались дыры. Поэтому, если ваш компьютер не имеет автоматического обновления от MicroSoft, если у вас нет антивирусов, то желательно пройти лечение по первому Правильному способу, где помимо лечения, компетентные лица вам выдадут рекомендации по устранению этих самых дыр.
спасибо огромное ,я долгое время мирился с такой хренью ,очень помог гайд по реестру
СПС Огромное 🙂 Щя презагружу сайт без ABP! 🙂 Ну и по Рекламе щелкану 🙂
Мне очень помогло! Спасибо большое я употребил 1 способ через реестр!
Помог первый,нолевой способ,советую
спасибо огромное ,я долгое время мирился с этой вирусом на конец то избавился. БЛАГОДАРЕН.
спасибо! помогло избавиться от этой гадости
Огромнейшее спасибо
сделал нулевой способ вырубилась винда и не включается. Если удалить тот файл то вылитит винда, политит поццесор. С телефона пишу.
Спасибо большое, самый простой способ сработал