Пару дней назад я заметил, что после загрузки операционной системы, когда включается компьютер, автоматически начинает загружаться системная утилита cmd.exe (командная строка), а через неё автоматически запускается браузер, который указан «по умолчанию», и самопроизвольное открытие вкладки ведущей на сайт Lyll.net, с последующим редиректом на какой-то убогий недоресурс новостей.

Вирус Lyll.net через загрузку cmd.exe

Самое забавное то, что антивирусы этой гадости не замечают, поскольку запуск вредоносного кода из реестра происходит гораздо раньше, чем запускается ваш антивирус. Например Касперский 2013, со свежими антивирусными базами, никакой опасности в «вирусе» Lyll.net не обнаружил!

Вчера потратив пару часов я решил подобную проблему благодаря сайту virusinfo.info. Сегодня подобную гадость я обнаружил на своём рабочем компьютере, который работает через жёстко настроенный прокси-сервер Zentyal!

Итак, ещё раз симптоматика заражённого компьютера гадостью Lyll.net, которая грузится через cmd.exe: вы включаете комп и видите как появляется чёрное окошко командной строки (cmd.exe), которое запускает ваш браузер. Первой вкладкой окажется сайт ooov.net — именно сюда ведёт редирект с Lyll.net.

Лечение от Lyll.net

На данный момент антивирусы пропускают мимо себя файлы заражённые этой гадостью. Предлагаю два варианта решения проблемы:

0. Наипростейший (практически мгновенный). Через правку реестра за пару минут по советам пользователей.

Пуск -> Выполнить -> regedit -> Поиск в реестре по включению «lyll». И затем удалить ненужное.

1. Правильный (долгий). Зарегистрироваться на сайте virusinfo.info и выполнить Инструкцию по оформлению запроса о помощи. Затем создать новую тему на форуме с описанием проблемы вот здесь, и приложить логи сканирования согласно инструкции. Затем ждать ответа хелпера и действовать согласно их рекомендациям.

2. Упрощённый (быстрый). Поскольку механизм вируса Lyll.net идентичен на всех компьютерах с ОС Windows (7 и 8 точно!, проверил на своих компах), можно поступить так:

  • Скачать Утилиту HiJackThis.
  • Скачанный .exe файл (программу) поместить в отдельную папку с любым именем и запустить от имени Администратора.
  • Выбрать второй пункт меню «Do a system scan only«
  • Откроется окно, в котором появится список важных файлов и записей из реестра.

Вот теперь ищите строку, которая будет выглядеть вот так:

O4 — HKLM\..\Run: [Adobe Flash Player SU] C:\Windows\System32\cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130531 (exit) else (start http://lyll.net && exit)

Это и есть «заражённая» запись в реестре, через которую файл cmd.exe запускает ублюдский сайт.

Теперь поставьте галочку напротив этой записи, и внизу открытого окна нажмите кнопку «Fix Cheked» и затем «Ок«. Закройте окно и перезагрузите компьютер.

По идее проблема c Lyll.net решена, но остаётся вероятность того, что в компе остались дыры. Поэтому, если ваш компьютер не имеет автоматического обновления от MicroSoft, если у вас нет антивирусов, то желательно пройти лечение по первому Правильному способу, где помимо лечения, компетентные лица вам выдадут рекомендации по устранению этих самых дыр.

159340 раз смотрели

9 thoughts on “Вирус Lyll.net через загрузку cmd.exe










Оставить комментарий