Безопасность. Вирусы

Подписаться на эту рубрику по RSS

Не открываются сайты антивирусов

Октябрь, 30th 2010

Встретился тут один троян, запомнися тем, что проявил своё присутствие довольно интересным способом, а именно при попытке открыть любой сайт разработчиков антивирусов - DrWeb, Kaspersky, NOD32 и т.д., браузер сообщал, что такой ресурс не существут. Соотвественно ни о каких обновлениях, установленого антивирусного пакета, речь тоже не идет.

После благополучного лечения компьютера от вирусов, ситуация не меняется. В чем дело? Всё просто - вирь переписывает таблицу маршрутизации. Устраняется такая ситуация довольно просто. В командной строке (Пуск -> Выполнить -> ввести cmd) необходимо написать следующее:

route -p

Данная команда с параметром -p очищает таблицу маршрутизации от всех записей, которые не являются узловыми маршрутами (маршруты с маской подсети 255.255.255.255), сетевым маршрутом замыкания на себя (маршруты с конечной точкой 127.0.0.0 и маской подсети 255.0.0.0) или маршрутом многоадресной рассылки (маршруты с конечной точкой 224.0.0.0 и маской подсети 240.0.0.0).

После желательно перезагрузить компьютер. Заодно проверьте не прописан ли у вас в браузере прокси-сервер (если вы его не используете) и содержимое файла C:\Windows\System32\drivers\etc\hosts на наличие лишних записей.

Ваш компьютер заблокирован за рассылку спама

Октябрь, 09th 2010

internet security Ваш компьютер заблокирован за рассылку спама

На днях столкнулся с очередным вымогателем, по традиции маскирующийся под систему безопасности Internet Security (ну хоть бы название какое иное выдумали). На этот раз назвать данное творение вирусом язык не поворачивается, хотя обычному пользователю нервов потратить может массу. Особенно актуально для любителей социальной сети ВКОНТАКТЕ. Каюсь, сам по началу не мог понять в чем дело.

Суть действий - при попытке просмотра любого сайта, вместо ожидаемой странички вылазит картинка следующего содержания:

Internet Security Запрашиваемый URL адрес не может быть предоставлен. Ваш компьютер заблокирован за рассылку спама. Вы можете разблокировать свой компьютер, для этого перейдите на сайт ВКонтакте и активируйте свою анкету. После чего Вы сможе пользоваться всей сетью.

Итак, как таковым вирусом данный вымогатель не является. Он изменяет файл:

C:\Windows\System32\drivers\etc\hosts

читать полностью →

Пропал звук в Интернет. Flash без звука или setupapi.dll

Октябрь, 03rd 2010

Сегодня попросили решить такую проблему - при просмотре любого видео в Интернет, например с YouTube, изображение идет без сопровождения звука. Причем на самом компьютере звук есть - музыка, фильмы, игры идут без проблем со звуком. Проблема не решается не переустановкой flash плейера, не сменой браузера. Более того IE вообще отказывается запускаться.

Виновником такого поведения оказался вирус. Куда копать подсказал браузер Opera, выдав сообщение об ошибке при обращении к библиотеке setupapi.dll. Как известно, в каждой Windows системе есть системная библиотека C:/Windows/system32/setupapi.dll. Под неё и маскируется вирус, копируя себя в папки всех установленых браузеров с таким именем.

Чтобы восстановить нормальное воспроизведение видео со звуком в Internet достаточно удалить с компьютера все файлы setupapi.dll, кроме C:/Windows/system32/setupapi.dll. Найти их можно поиском, не забыв включить в него скрытые и системные файлы.

После всё же рекомендую проверить компьютер свежим антивирусом. Обычно единственным вирусом дело не обходится. Flash player кстати можно не переставлять.

Вместо рабочего стола загружается проводник!

Сентябрь, 02nd 2010

В продолжение серии статей о вирусах и последcвиях борьбы с ними, хочу рассказать что делать, если вместо рабочего стола Windows вы видите пустой экран или загружается проводник.

Рассмотрим случай, когда после загрузки видим пустой рабочий стол, без меню Пуск, значков и т.д. - одни обои, если они были. Для начала пробуем запустить рабочий стол вручную. Жмем три волшебных кнопки Ctrl+Alt+Del для вызова диспетчера задач (подразумевается, что он не заблокирован. В противном случае читайте как разблокировать диспетчер задач вручную или с помошью утилиты AVZ.)

В Диспетчере задач идем Файл -> Новая задача (Выполнить...) и там пишем explorer.exe или просто explorer. Как известно это не только проводник, но также является рабочим столом Windows.

читать полностью →

Синий экран смерти (BSOD) или DrWeb Spyder

Август, 30th 2010

Сегодняшний день начался крайне неудачно - на нескольких рабочих станциях во время загрузки появился синий экран смерти (BSOD). Перезагрузка проблему не решала. Видимо мне повезло ощутить на себе действие пословицы про тяжелый день понедельник.

При тщательном обследовании системы был выявлен виновник BSOD - spyder.sys (5.00.1.04160) из состава антивирусного пакета DrWeb. Опишу ситуацию подробнее - именно сегодня закончилась лицензия на DrWeb, т.е. истек срок действия лицензионного ключа. На всех рабочих станциях, где появились проблемы с загрузкой BSOD была установлена 5-ая версия антивируса DrWeb. Вот такой сюрприз приготовили разработчики, как впоследствии выяснилось, подобной проблеме была подвержена и версия 4.44 (форум поддержки DrWeb). Хотелось бы заметить, что на 64-х разрядной версии данная беда не проявилась, так же как и на текущей на данный момент 6-ой версии антивируса DrWeb.

читать полностью →

Диспетчер задач отключен администратором. Win32.Sector.21

Август, 25th 2010

Диспетчер задач отключен администратором

В своих заметках, я уже не раз рассказывал о том, как исправить блокировки компьютера (диспетчер задач, редактор реестра) посредством утилиты AVZ. Сегодня хочу немного приоткрыть тайну, как это сделать простым редактированием реестра.

Для начала требуется загрузиться с LiveCD, флешки с WinPE, подсоединить винчестер к другому компьютеру - в общем главное, не грузиться с него самого, т.к. смысла в этом никакого. Далее запускаете редактор реестра, подключаем к нему необходимую нам ветку HKEY_CURRENT_USER. Данной ветке реестра соответствует файл NTUSER.DAT в соответствующем каталоге пользователя.

Избавляемся от блокировки диспетчера задач

Изменяем значение параметра DisableTaskMgr в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] со значения 1 на 0, либо вообще удаляем данный параметр.

В паре с этим параметром в 99% случаях там же вы найдете параметр DisableRegistryTools, отключающий редактор реестра. Соответственно меняете его значение на 0 или удаляете.

читать полностью →

Новая волна блокираторов. Вирус PC Defender

Август, 17th 2010

Вирус-вымогатель PC Defender. Похоже тема блокираторов ещё не закончилась. Сегодня принесли сразу 2 ноутбука с одинаковой заразой - на этот раз блокиратор маскируется под антивирус с названием PC Defender. В сети я не раз сталкивался с сайтами, где станички были оформлены в подобном стиле и пользователю показывалась картинка в точности воспроизводящая действия антивируса. Естественно показывалось множество "зараженых" файлов.

К блокираторам Windows с не совсем одетыми девушками уже думаю все привыкли, на смену им идут более изощренные - теперь на вашем компьютере якобы найдено множество вирусов и угроз безопасности, чтобы избавиться, нужно всего навсего отправить SMS (ну куда без них) и счастливец получает полнофункциональную антивирусную защиту.

читать полностью →

Новый блокиратор Online Antivirus

Февраль, 19th 2010

Online Antivirus

Внимание! Онлайн проверка показала, что в Вашей системе обнаружен вредоносный вирус, который постепенно заражает все файлы на Вашем компьютере. Вирус временно заблокирован, но его алгоритм шифрования постоянно меняется и остановить его на данный момент не имея этой программы не представляется возможным. Для того, чтобы удалить вредоносный вирус, необходимо узнать каков на данный момент у вируса алгоритм шифрования, для этого необходимо отправить смс на короткий номер 5121 с текстом 6625025. После того как Вы отправите смс, вам моментально будет выслан ключ, отключающий вирус. Введите этот ключ, и программа полностью удалит вирус с Вашего компьютера.

Алгоритм шифрования вируса сменится через 218 секунд.

(по истечению этого времени настоятельно рекомендуется удалить его)

Введите полученный вами ключ в это поле:

Удалить

*Программа блокирует все доступные способы входа в Windows, так как если не удалить зловредный вирус ВСЕ файла на вашем компьютере очень скоро будут заражены. Внимание: переустановка виндовс не изменит ситуацию, так как вирус прописывает себя в загрузочные сектора жесткого диска.

Собственно вот и новый вымогатель нарисовался Online Antivirus - интересно долго ещё терпеть подобное придется? У людей прямо направление бизнеса наметилось. Не пора-ли эти лохотроны объявлять вне закона? Мы тут все последствия лечим, а надо корень зла убивать - платные SMS на короткие номера. Достали уже...

читать полностью →

вирус Internet Security

Январь, 20th 2010

Новый год принес нам новые вирусы. На смену eKav antivirus пришел новый вымогатель по имени Internet Security. Вот он красавец:

вирус Internet Security

За последние 2 недели принесли уже четыры машины с вирусом, который просит отправить СМС, чтобы якобы активировать копию некого Internet Security. По всей видимости ситуация начинает принимать характер эпидемии. Да и двое из четверых пострадавших успели отправить SMS... Сразу говорю - ВИРУС ПО ПРЕЖНЕМУ ОСТАЕТСЯ В КОМПЬЮТЕРЕ!!!!!

Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере

Вы не зарегистрировали вашу копию Internet Security далее следует всякая чушь о лицензионном соглашении и ради чего всё задумывалось - отправка SMS. Мне встретились 2 варианта:

  • СМС с кодом K204114200 на номер 7373
  • СМС с кодом K207824300 на номер 4460

читать полностью →