Компьютерный форум сайта SebeAdmin.ru — Антивирусы и вирусы

Кто-то уже сталкивался с @Wanna Cry 2.0@ ?

null@example.com (Андрей) — Mon, 15 May 2017 12:00:13 +0000

Собственно, кто-то уже успел ощутить на себе всю "прелесть" данного зловреда? Что о нем думаете?

Первая массированная атака была замечена в нашем регионе 12-го мая между 18 и 19-ю часами.

Антивирус Куранина FREE 2017 edition 3.0 1775 x86 x64 [2017, ENG]

null@example.com (ilakur) — Wed, 25 Jan 2017 15:41:59 +0000

Доброго времени суток.

Открыв данный пост, Вы наверняка хотели узнать мнение экспертов о том, какой же антивирус лучше использовать обычному пользователю на персональном компьютере. И правда: каждый из нас хотя бы раз в жизни задумывался над проблемой вредоносного ПО, хакерских атак и мошеннических авантюр, ведь действительно существует значительный риск потерять свои личные данные или попасть под гнет злоумышленника.

Есть ли такой способ, с помощью которого можно уберечь не только себя, но и родных, близких от всех вышеперечисленных опасностей? Да, и спасением в данной ситуации является комплексный антивирусный продукт, предоставляющий качественную защиту системы.

Наша компания вот уже более пяти лет занимается разработкой Народного антивируса - антивируса Куранина, который был создан и совершенствуется исключительно для безопасности пользователей во всем мире. И это не пустые слова: по статистике Kuranin Security Network, наше приложение используют в следующих странах:

1) Россия - 195 активных пользователей
2) США - 23 активных пользователя
3) Украина - 6 активных пользователей
4) Белоруссия - 3 активных пользователя
5) Неустановленные регионы - 1 активный пользователь

Обновление антивирусных баз выходит ежедневно, в частных случаях - 1-5 раз в день. Также программа включает в себя HIPS защиту, сетевой экран и большое количество полезных утилит безопасности, что исключает заражение системы на 100%. Аналогично, в поставку входит мини-утилита "Kuranin Security cleaner", которая даже в случае попадания вредоносного кода на территорию компьютера с легкостью и бережно очистит ПЭВМ от вирусов.

И все это абсолютно БЕСПЛАТНО!*

Скачайте антивирус Куранина и почувствуйте себя в безопасности прямо сейчас!

https://kuranin.net

* В данном случае речь идет о бесплатной версии программы - Kuranin Anti-Virus Free edition. Также существует корпоративная версия (Kuranin Pro edition), предназначенная для использования на файловых серверах и в корпорациях. Приблизительная стоимость - 19.99 USD/год.

Удаление файлов при включении компьютера

null@example.com (Rotkowski) — Mon, 25 Jul 2016 09:00:36 +0000

SOS! После включения компьютер начинает удалять файлы! Помогите избавиться от проблемы!

Перенаправляет на сайт мошенников

null@example.com (Adilovoleg) — Mon, 21 Sep 2015 10:26:18 +0000

Помогите...При входе на любой сайт соц сетей- перенаправляет на сайт с сообщением- САЙТ ЗАБЛОКИРОВАН,ВЫШЛЕТЕ СМС И Т.Д...Короче- развод..Но одно но- системный блок у меня дома работает нормально,все сайты в порядке, но только его приношу и подключаю у матери дома - вот и происходит вышеуказанная проблема.. Файл HOST чистый, антивирусами проверял AWZ, ADW, DR WEB CUREIT...Все чисто..Скорее всего вирус был и изменил настройки...Вот только ГДЕ И КАК...??????? ПОМОГИТЕ... :unsure:

your personal files are encrypted by ctb-locker

null@example.com (BANSAI) — Sat, 24 Jan 2015 22:42:29 +0000

Возможно, кто то и знает о таком казусе. Этот "локер" появился в прошлом году и с ним успешно справлялись.
Но... на сегодняшний день все те способы не работают!
Подружка словила на мед ни его.
Полазив на форумах, в "гугле" на "ютубе"... ни что не помогло. Так как вирус ни где не прописывает себя и ни каких следов не оставляет. Зашифрованными оказались тхт, фото, док файлы и ни один дешифратор от Каспера не сработал.
Скажу чесно... я растерялся... тем более рядом и "сопли и слезы и истерика". Но где наш "русский иван" пропадал хе хе. Как говорили в армии... он на пузе проползет и ни чего с ним не случится.
Есть только два файла(нашол логическим путем... можно сказать случайно). Нашел в загрузках по дате и времени. Файлы выглядят как смайлик с улыбочкой, но черного цвета... он сразу же бросается в глаза, не пропустите.
Далее, после их удаления не качайте всякую "хрень" малваре и т.д. С руторента скачиваем HitmanPro v3.7.9 Build 234 Final.
Устанавливаем, патчим и проверяем комп. Все.
Но с шифрованными файлами придется расстаться, как это не печально.
Выглядит, эта байда так - http://www.remove-pcvirus.com/ru/udalit-ctb-locker/
Не открывайте письма, от не известных, вам отправителей. И в "Багдаде все будет спакойно".
Совсем вылетело из головы.
1. Удаление "шифратора" производить ОБЯЗАТЕЛЬНО в Безопасном Режиме, через F8.
2. Перед поиском и удалением, ОБЯЗАТЕЛЬНО сделать показ скрытых папок и файлов. Иначе его просто не увидите.
Всем удачи.

Как избавиться от Казино Вулкан?

null@example.com (computer-master74) — Fri, 16 Jan 2015 06:43:31 +0000

Установил Шареман, после этого в браузерах (Chrome, IE...) при запуске стал грузиться сайт с Казино Вулкан. На вирусы проверил несколькими антивирусниками, ничего не нашёл. В списке установленных программ ничего подозрительного не увидел. Как убрать автоматическую загрузку этого сайта?

Баннеры во всех браузерах

null@example.com (vektor48) — Wed, 10 Sep 2014 14:37:34 +0000

Выскакивают порно баннеры во всех браузерах
Лог хайджека
Running processes:
C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe
C:\Program Files (x86)\TeamViewer\Version8\TeamViewer.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera_crashreporter.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera.exe
F:\ПРОГРАММЫ\Антивирусы\HiJackThis.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera.exe
C:\Users\User\AppData\Local\Yandex\Updater2\BrowserManager.exe
C:\Program Files (x86)\Opera\24.0.1558.53\opera.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?win=141&clid=2121023
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/HPALL13/36
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - C:\Program Files (x86)\Yandex\FastDial\fastdialhost.dll
O2 - BHO: HP Network Check Helper - {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll
O3 - Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll
O4 - HKLM\..\Run: [RemoteControl10] "C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe"
O4 - HKLM\..\Run: [HP Quick Launch] C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
O4 - HKLM\..\Run: [HP CoolSense] C:\Program Files (x86)\Hewlett-Packard\HP CoolSense\CoolSense.exe -byrunkey
O4 - HKLM\..\Run: [2Gis Update Notifier] "C:\Program Files (x86)\2gis\3.0\2GISTrayNotifier.exe" -delayed_start
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files (x86)\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Adguard] C:\Program Files (x86)\Adguard\Adguard.exe
O4 - HKCU\..\Run: [YandexElements] "C:\Users\User\AppData\Local\Yandex\Elements\elements.exe\8.4.0.9140\elements64.exe" /auto
O4 - HKCU\..\Run: [Browser Manager] C:\Users\User\AppData\Local\Yandex\Updater2\BrowserManager.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToObject.htm
O9 - Extra button: @C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll,-103 - {25510184-5A38-4A99-B273-DCA8EEF6CD08} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\NCLauncherFromIE.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll,-102 - {25510184-5A38-4A99-B273-DCA8EEF6CD08} - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\NCLauncherFromIE.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Отправить на Bluetooth - {2F56DCAA-153B-4479-B4E2-547405B34FB9} - C:\Program Files (x86)\Intel\Bluetooth\btSendToPage.htm (HKCU)
O9 - Extra 'Tools' menuitem: Отправить на Bluetooth - {2F56DCAA-153B-4479-B4E2-547405B34FB9} - C:\Program Files (x86)\Intel\Bluetooth\btSendToPage.htm (HKCU)
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAEBD12F-BBED-44E9-BFA9-1789B2800466}: NameServer = 109.195.1.1,109.195.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: 2GIS UpdateService (2GISUpdateService) - ООО ДубльГИС - C:\Program Files (x86)\2gis\3.0\2GISUpdateService.exe
O23 - Service: Adguard Service - Insoft LLC - C:\Program Files (x86)\Adguard\AdguardSvc.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Intel® Centrino® Wireless Bluetooth® + High Speed Service (AMPPALR3) - Intel Corporation - C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe
O23 - Service: Bluetooth Device Monitor - Motorola Solutions, Inc. - C:\Program Files (x86)\Intel\Bluetooth\devmonsrv.exe
O23 - Service: Bluetooth OBEX Service - Motorola Solutions, Inc. - C:\Program Files (x86)\Intel\Bluetooth\obexsrv.exe
O23 - Service: Intel(R) Centrino(R) Wireless Bluetooth(R) + High Speed Security Service (BTHSSecurityMgr) - Intel(R) Corporation - C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe
O23 - Service: HP Connected Remote Service (HPConnectedRemote) - Hewlett-Packard - C:\Program Files (x86)\Hewlett-Packard\HP Connected Remote\HPConnectedRemoteService.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: @oem18.inf,%hpservice_desc%;HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: HPWMISVC - Hewlett-Packard Development Company, L.P. - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe
O23 - Service: Технология хранения Intel(R) Rapid (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: IconMan_R - Realsil Microelectronics Inc. - C:\Program Files (x86)\Realtek\Realtek PCIE Card Reader\RIconMan.exe
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: ISCT Always Updated Agent (ISCTAgent) - Unknown owner - C:\Program Files\Intel\Intel(R) Smart Connect Technology Agent\iSCTAgent.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: TeamViewer 8 (TeamViewer8) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Zero Configuration Service (ZeroConfigService) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe

--
End of file - 11398 bytes

XCore antivirus - тестирование

null@example.com (John) — Sat, 19 Apr 2014 20:45:13 +0000

В комментариях на сайте прошло такое сообщение:

Почему-то в теме: "Как проверить жесткий диск"

Ну, что ж, протестируем...

Уже страшненькая девочка с ноутбуком энтузиазма никак не вызывает. Но это на любителя, а нам интересно качество отлова вирусов. Вот шесть штук в RAR-архивах.

Результат проверки видим здесь:

В общем, этот антивирус не рекомендую для установки.

Вот, для сравнения, результат проверки того же каталога Авастом:

Как видим, Аваст отловил 4 штуки в двух архивах. Тоже не идеально, но всё же намного лучше. И проверил папку почти мгновенно.

AVE SATANAS

null@example.com (John) — Mon, 24 Feb 2014 19:38:52 +0000

Похоже впервые наблюдаю вживую заражение компа бирусом. Предыстория такова: Позвонил мне товарищ и рассказал страшную историю: ему какой-то случайный знакомый скинул по скайпу экзешник, а товарищ его запустил. При отключенном антивирусе! Он в танки играл и антивирус ему мешался, видите ли. Ну как с такими людьми бороться?!! Сто раз ему говорил, что только антивирус спасёт отца русской демократии. Причём в названии этого файла было что-то такое, не то траян, не то троян, как он говорит.
Сначала возникло что-то подобное винлоку и попросило денег (с его слов, поэтому описание крайне невразумительное), потом комп перестал загружаться. На этом этапе пациент был доставлен ко мне.
Первым моим действие было загрузиться с LiveDVD Win7, Acronis Disk Director сказал, что диск не инициализирован. То есть даже MBR там нет! Acronis Recovery Expert восстановил потерянные диски и раздел с резервными копиями (Acronis SZ). Не пытаясь даже загрузиться с диска С:, я сразу восстановил систему из резервной копии. Проверенно рабочей. Загрузка не пошла. И на этапе загрузки появилась надпись, которой раньше точно не было (этот комп собирал я сам и знаю его от и до...): Press to boot... С отсчётом времени. Причём система не загружалась.
[

При попытке загрузиться с LiveDVD обнаружилась ещё одна новая надпись на экране: "AVE SATANAS". В переводе с латыни это значит: "Славься, Сатана!" Поиск в интернете результатов не дал.

Есть мнение, что товарищ попал на бирус. О ходе ремонта буду отписываться здесь. Всем же интересно, я думаю.

P.S. Сразу говорю: даже не трудитесь писать советы типа "перепрошей биос". Сам знаю.

Ох уж эти дети...

null@example.com (John) — Sat, 30 Nov 2013 22:00:47 +0000

Весь вечер был убит на чистку рабочего компа от вирусов. Нашлось четыре разновидности, заражено около двух сотен файлов.
Два года назад на этот комп была установлена сборка Loner-XP и Avast Free. Где и по каким только сайтам за это время не лазили! Аваст надёжно защищал систему, за два года не было ни переустановок, ни восстановлений из резервной копии. Сегодня на нем пару часов поиграл в онлайн-игрушки шестилетний ребёнок. В результате у меня потерян вечер субботы, потому что в понедельник комп должен работать.
Ну вот как дитё умудрилось заразить комп, при работающем антивирусе, всего-то поиграв немножко?

Вирус шифрует все данные на сервере))

null@example.com (vektor48) — Fri, 01 Nov 2013 10:15:00 +0000

Утром пришли и обнаружили такую беду...все файлы на сервере зашифрованы расширение стоит.qwerty и везде файл ТХТ как расшифровать типа отправьте письмо на мейл и мы расшифруем вам данные.

Назойливая "реклама сайтов" в браузерах

null@example.com (vady-ra) — Mon, 30 Sep 2013 13:38:48 +0000

Столкнулся с такой проблемой, на ноуте одногрупницы при запуске Opera кроме быстрых вкладок сразу открывается вкладка назойливой "рекламы". Точнее сказать сайта одной онлайн игрушки minecraft. Сначала я подумал что установилось какое-то дополнение как в случае с webalta, но в установленном ПО ничего не нашел, так же установленных дополнений и тулбаров в браузерах тоже нет. Говорит что только заходила на сайт и ничего не устанавливала - я в это слабо верю. Покопавшись в реестре нашел одно упоминание адреса сайта в ветке софта - раздел Opera, оно было указано в виде параметра при запуске, что-то вроде "C:/program files/Opera/opera.exe http://example.com". Удаление адреса ни к чему не приводит, тк при запуске оперы оно опять прописывается в реестр. В диспетчере задач поубивал и по отключал все подозрительное - ноль на массу. Однако было замечено что при запуске непосредственно opera.exe (без ярлыков из папки program files) вкладка не открывается, те действует только на ярлыки и панель быстрого запуска
Тк времени было мало пришлось отложить поиск проблемы, попробую поглядеть через мониторинг реестра какой процесс туда пишет и искоренить негодника.
Хотелось-бы услышать ваши предложения по решению этого непотребства

Все ли я сделал правильно после обнаруж касперским троянской пргр HEUR

null@example.com (ykolomoets) — Mon, 15 Apr 2013 13:34:30 +0000

Доброго времени суток!
Под защитой антивируса касперского обнаружена троянская программа HEUR: Trojan.Win32.Generik (модификация) и помещена на карантин.
Объект был помещен в карантин
В карантине файл 7318005.exe мною случайно был удален и возвращен обратно на место C:\Documents and Settings\ukolomoec.
Для истории я файл 7318005.exe я заархивировал и удалил. Запустил полную проверку касперским. Проверка дала положительный результат.
Я не уверен, что все необходимые процедуры выполнил.

Прошу помощи специалистов, все ли я сделал правильно

Атака вируса!

null@example.com (Евгений) — Wed, 27 Mar 2013 06:01:55 +0000

Всем доброго форумчане! Вот приключилась такая беда, сегодня утром включаю комп, все вроде бы нормально, но как только подключил инет, касперыч сразу что-то заблокировал, предложил перезагруз сис-мы, я с ним согласился, не обратив внимания на то что конкретно он блокировал как только сис-ма перезагрузилась войти уже не могу появляется предложение выбора загрузки: обычная, безопасный и т.п. но ни один из вариантов не могёт запустить сис-му, появляется окно загрузки но сразу перезагруз и поновой!!!
какими прогами мне лучше сразу прогнать комп, с лив СД, самое прикольное что есть архив ОС но акронис наотрез отказывается его принимать, мол есть повреждения!!!!

Как работают винлокеры?

null@example.com (Benvolyo) — Mon, 18 Mar 2013 10:55:34 +0000

Да простит меня оригинальный автор этой статьи, а содрал я ее с популярного журнала ХАКЕР.

Каждый из нас сталкивался со всяческими СМС-блокерами, если не у себя на компьютере, то на машинах друзей. Такие штуки трудно назвать вирусами, но они тоже доставляют немало хлопот. Сегодня мы попробуем изучить приемчики кибер-мошенников, которыми они пользуются для отъема у населения честно заработанных денег.

Закрепление в системе

Представим, что злая малварь уже проникла в систему. Наивный пользователь скачал и запустил вредоносный exe’шник, который в первую очередь должен обеспечить себе «нормальную» работу. Для этого программа должна прописать себя в автозагрузку вместе с Windows. Многие прекрасно знают, что и где отвечает за запуск программ сразу после старта нашей любимой ОС, но я все-таки еще раз перечислю возможные варианты.

Существуют три основных места для авторана: системный реестр, системные файлы со списком загружаемых программ и специальные папки автозагрузки. Начнем в обратном порядке.

Папки автозагрузки известны любому пользователю. Все их содержимое можно увидеть в главном меню Windows, физически же они располагаются в профилях пользователей, например, C:\Documents and Settings\admin\Главное меню\ Программы\Автозагрузка\. Разумеется, вместо admin, можно подставить «All Users или Default User».

В папки автозагрузки можно поместить как сам исполняемый файл, например, с помощью API-функции CopyFile, так и ярлык на него.

Всяческие вредоносные штуки редко используют это место для своего запуска, поскольку даже малоопытные юзеры могут обнаружить посторонние файлы в этих директориях. Тем не менее, как дополнительная гарантия своего успешного старта это место вполне сгодиться, так что не следует обходить его стороной при поиске малвари на зараженном компьютере.

Системные файлы со списком загружаемых программ достались в наследство современным ОС Windows еще от их 9х-родственниц — 98-й и 95-й винды. Первый такой файл — это win.ini, в котором есть секция [windows], которая, в свою очередь, может содержать запись «run=запускаемая_программа». Также существует файлик system.ini, в секции [driver32] которого надо проверить наличие параметра вида «название_драйвера.

уникальное_имя=путь_к драйверу». Здесь зловреды уже любят следить гораздо больше, чем в папках автозагрузки. Но лидером среди самых популярных мест для авторана является реестр Windows.

Помимо всем известных ключей HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run\ и HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\ с их братьями для одноразового запуска RunOnce, существует еще множество всяких веток реестра, из которых может стартовать программа.

Например, если ты пользуешься IE, и он вдруг начал вести себя странно (показывает голых тетенек или открывает странные сайты), то стоит заглянуть сюда:

HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\.

Еще есть

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit\,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices\,

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ Winlogon\Notify\.

Эти ветки реестра позволяют запустить разнообразные исполняемые файлы (обычные exe, программы, сервисы или dll).

Кстати, последний ключик подгружает пользовательскую dll к explorer.exe, а это значит, что код зловреда будет работать даже в Safe Mode.

Следует обратить внимание и на HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Имя_прогаммы\ — при запуске Имя_прогаммы будет запускаться софт, указанный в строковом параметре Debugger. Иная хитрая малварь может использовать ассоциации файлов в реестре.

То есть, при запуске, например, txt-файла, будет стартовать сначала вредоносное ПО, которое уже потом будет запускать реальную программу, работающую с этим типом файлов. Также вирус может загрузиться в память компьютера с помощью групповых политик. За это отвечает ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\policies\Explorer\Run, в котором содержатся параметры с путями запускаемых программ.

Вообще, мест, откуда может стартовать проникший на компьютер СМС-блокер или другая зараза, много, но проверить их достаточно просто (если не применяются специальные техники маскировки), особенно если использовать специализированные средства, например, утилиту HiJackThis.
Оборонительные редуты

После того, как малварь прописала себя в автозагрузку, ей следует позаботиться о своей сохранности: пользователь не должен завершить процесс зловреда, удалить программу из авторана и прочее. Для этого проще всего использовать все те же политики безопасности Windows.

Надо сказать, что фрауд-антивирусы, которые больше ориентированы на запад, практически не пользуются такими трюками. То есть, если наш отечественный СМС-блокер может напрочь парализовать работу компьютера, то англоязычная малварь такого не делает. Причина, скорее всего, в том, что в тех же Штатах законодательство к такого рода шалостям относится гораздо строже. Кроме того, местные жители не платят за электронные услуги эсэмэсками, для этого у них есть банковские карты, а, как известно, Visa и MasterCard очень ревностно следят за порядком среди своих клиентов. Одна гневная жалоба от доверчивого пользователя — и биллинг, проводящий процессинг платежей за Fraud Antivirus, может навсегда лишиться лицензии.

Однако, мы отклонились от темы. Итак, что же делает типичный СМС-блокер для того, чтобы защитить себя от удаления? Первым делом, это — блокировка редактора реестра и диспетчера задач. Для этого надо подправить всего два параметра в ветке реестра HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System.

Первый из них — DisableRegistryTools. Если присвоить ему значение равное 1, то regedit.exe не захочет запускаться. Еще стоит обратить внимание на параметр DisableRegedit, который может находиться помимо HKCU-секции еще и тут — HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\ System. Для запрета запуска «Диспетчера задач» используется параметр DisableTaskMgr в HKCU\Software\Microsoft\Windows\ CurrentVersion\Policies\System. Разумеется, малварь может запретить запуск определенных программ. Делается это опять-таки через политики безопасности. Если ключ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer будет иметь параметр RestrictRun со значением равным единице, а также подключен RestrictRun, который содержит в себе список exe-файлов, то пользователь сможет запустить только те программы, которые находятся в этом списке.

Для черного списка следует использовать параметр и ключ DisallowRun, благодаря которым запуск определенного ПО станет невозможен. Уже этот набор ограничений позволяет малвари достаточно хорошо защитить себя от посягательств на свою жизнь. Даже если пытаться пробовать запустить нестандартные средства для мониторинга процессов и редактирования реестра, то и они могут быть заблокированы с помощью DisallowRun или RestrictRun. И это отнюдь не единственный способ помешать запуску чего-либо в инфицированной системе! Например, зловред может переассоциировать запуск программ на себя, прописав собственное тельце в параметре по умолчанию для ключа HKEY_CLASSES_ROOT\exefile\shell\open\command.

Или же поиграться с подключами в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options. Но, к сожалению, вышеперечисленными методами малварь не ограничивается. Создатели своего детища могут блокировать некоторые настройки рабочего стола, настройки отображения файлов в проводнике и прочее. Но это мы рассмотрим чуть ниже, вместе с нарушением работоспособности интернета, поскольку все эти трюки служат больше для запугивания пользователя, нежели для защиты зловреда.
Воздействие на пользователя

Самая главная задача мошеннического ПО — это выманить у пользователя определенную сумму денег. Задачу эту в какой-то степени можно назвать даже творческой — надо так испугать юзера, чтобы он, не сильно сожалея о своих кровных, отправил СМС и при этом не решил самостоятельно избавится от малвари. Поэтому разработчики зловредов включают свою фантазию на полную катушку. Самый банальный и распространенный прием для влияния на пользователя — это неубиваемое окно. Его нельзя закрыть, нельзя свернуть, оно висит поверх всех остальных окон на десктопе, а в некоторых случаях оно даже монопольно владеет фокусом ввода.

Достигнуть такого эффекта совсем несложно, причем используя стандартные средства Windows. API-функция CreateWindowEx, отвечающая за создание окон, имеет множество параметров, среди которых dwExStyle и dwStyle, позволяющие программистам-мошенникам добиться нужного эффекта. Например, передав функции в качестве первого аргумента значение WS_EX_TOPMOST, мы заставим окно отображаться всегда поверх всех остальных окон, не имеющих этого атрибута, а поиграв dwStyle можно получить отсутствие всяческих контролов в заголовке окна или даже вообще избавиться от этого заголовка.

Для того чтобы окно СМС-блокера нельзя было закрыть, обычно перехватывают сообщение WM_CLOSE, из обработчика которого убирается стандартный код закрытия окна. Вообще, с помощью этих сообщений можно сделать много интересных вещей. Например, малварь может обрабатывать WM_MOUSELEAVE и, в случае, если курсор мыши покидает клиентскую часть окна, возвращать его обратно. Чем сообразительней программист, тем больше всяких трюков он может придумать.

Но одним только вездесущим окном дело обычно не ограничивается. Встречаются, например, экземпляры, которые меняют обои на рабочем столе. Обычно таким трюком пользуются антивирусы-подделки. На десктопе появляется что-то типа значка химического оружия и грозная надпись, а при клике по пустому пространству экрана открывается интернет-страница с предложением купить «полезное» ПО. Делается это довольно просто, никаких велосипедов изобретать не надо — в Windows есть забытая всеми возможность выводить на рабочий стол определенную веб-страницу — со всеми вытекающими из этого последствиями.

Мошенники могут модифицировать ярлыки на рабочем столе или в главном меню ОС. Детская шалость, когда в стандартном ярлыке к Косынке указывается путь к Саперу, может успешно применяться для запугивания пользователя. Если доверчивый юзер запускает свой любимый браузер, а вместо него появляется сообщение о том, что надо бы отправить СМС на короткий номер, то этот самый юзер начнет сильно нервничать, и велика вероятность того, что СМС все-таки уйдет по адресу. Кстати, если подправить shortcuts в папках автозагрузки, то можно довольно эффективно скрыть авторан даже от продвинутых компьютерщиков.

Используются и более изысканные способы. Например, интерфейсы WMI позволяют приложениям получать извещения о запускаемых процессах (да и вообще много всякой другой инфы). Малварь может мониторить с помощью WMI список процессов, запущенных в системе, и при запуске нового приложения выполнять определенные действия, например, закрывать вновь созданный процесс и показывать сообщение с радостным призывом заплатить и спать спокойно. Очень часто можно столкнуться с тем, что интернет-браузер отказывается отображать некоторые части всемирной паутины, например, сайты антивирусных компаний или поисковики. Несложно догадаться, что это сделано для того, чтобы жертва как можно дольше испытывала на себе действие зловреда. Сделать подобную пакость можно кучей разных способов.

Самым распространенным приемом является модификация файла hosts, который находится тут %SystemRoot%\system32\ drivers\etc\. Этот файл содержит базу данных доменных имен и используется при их трансляции в сетевые адреса узлов. Проще говоря, если написать там yandex.ru и через пробел ip-адрес гугла, то мы будем попадать на гугл, вводя адрес яндекса. Но фишка с hosts настолько избита, что о нем знают даже первоклассники, а у малвари может оказаться недостаточно прав для его редактирования. Поэтому следующий по популярности прием — это использование прокси. В настройках браузера прописывается ip сервера, на котором крутится какой-нибудь Squid, который, в свою очередь, заменяет неугодные страницы чем-нибудь более полезным для мошенников.

Достучаться до IE можно через его COM-интерфейсы, а к другим браузерам нужен индивидуальный подход. Поддельные DNS-сервера тоже неплохо справляются с задачей подмены сайтов. Правда, для этого нужны не только права админа в системе, но и рабочий DNS-сервер. Утилита netsh позволяет легко и просто изменить настройки подключения к Сети, но тру-кодеры воспользуются программными методами, например, все тем же WMI. Сделать недоступными некоторые серверы в интернете можно, создав специальную запись в route table. Люди могут сделать это с помощью команды route, а программы юзают специальную API — CreateIpForwardEntry. Но в этом случае надо точно знать все ip-адреса ресурса, который нужно сделать недоступным.

Зачастую это практически невозможно (в случае с крупными сайтами типа яндекса, гугла и прочих), поэтому путем модификации роутинга зло-кодеры очень часто просто отрубают интернет пользователю, не заморачиваясь с выборочной блокировкой. С помощью hosts и прокси можно даже организовать простенький фишинг, подменяя оригинальные страницы на очень похожие. Как вариант — просто выводить большими красными буквами сообщение «Отправьте СМС». Разумеется, подменять страницы можно не только на стороне сервера, но и локально, используя всеми любимые расширения к браузерам. Например, в IE — это широко известные BHO. Незаметно установив такое расширение, можно гибко управлять содержимым отображаемой веб-страницы. Например, фрауд-антивирусы могут заменять «плохие» для сеццбя ссылки в выдаче поисковиков, так как обычно, если ввести название подобного ПО в гугле, то первый линк будет на инструкцию о том, как от этого ПО избавиться.
Заключение

В этой статье мы привели далеко не полный список трюков и хитростей, которые используют современные зловредымошенники. Кодеры, перешедшие на темную сторону, постоянно придумывают новые уловки и методы воздействия на законопослушных пользователей Сети. Но имея хотя бы небольшое представление о том, что и как делает пресловутый СМСблокер, можно уже бороться с ним. А чтобы эта борьба была как можно менее болезненной, очень советую всем помимо крутых антивирусов использовать учетную запись с урезанными правами, так как в Линуксе и МакОси вирусов нет именно потому, что там не сидят под рутом.