Всё не так просто... » virus http://www.lab108.ru Мэрфолог-практик Sat, 10 Sep 2016 19:25:18 +0000 ru-RU hourly 1 http://wordpress.org/?v=3.9.14 Вирус, говорите? /2011/03/30/virus-govorite/ /2011/03/30/virus-govorite/#comments Wed, 30 Mar 2011 05:52:31 +0000 /?p=4793 Вирус под юниксом – это как Бог: его никто не
видел, но люди клянутся своей верой, цитируют
древние манускрипты и сочиняют умозрительные
доказательства.



]]>
/2011/03/30/virus-govorite/feed/ 10
А теперь о реестре /2010/08/24/a-teper-o-reestre/ /2010/08/24/a-teper-o-reestre/#comments Tue, 24 Aug 2010 08:25:19 +0000 /?p=3892 Как и обещал в предыдущей записи расскажу о проблемных, с точки зрения вирусной опасности, местах в реестре Windows.

Вот эти ветки:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Если я ни чего не путаю, то эти ветки отвечают за:

Уведомление о том, что windows не активирован
Запускалка пользовательской оболочки
Сама пользовательская оболочка, тот самый рабочий стол
Список запускаемых программ для всех пользователей
Установленные компоненты
Файлы, загружаемые при запуске Windows Explorer.
Тоже что то запускное, но, видимо,. с какой то задержкой
Список запускаемых программ для текущего пользователя

Голыми руками туда лазить не рекомендую, потому как можно удалить или испортить что ни будь нужное. Но если вы уверены в своих силах… Кстати, во второй и третьей ветках не редко живут пресловутые порнобанеры. По умолчанию значения там следующие:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit "C:\Windows\system32\userinit.exe,"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell "explorer.exe"

Естественно без кавычек.

Ценная информация потырена из статьи “Сброс пароля, редактирование реестра Windows из Ubuntu” Ещё одна интересная статья на тему борьбы с вирусами из под Linux называется “Очистка windows от вирусов с помощью Ubuntu“

]]>
/2010/08/24/a-teper-o-reestre/feed/ 1
Недоступно ничего кроме вконтакте /2010/08/23/nedostupno-nichego-krome-vkontakte/ /2010/08/23/nedostupno-nichego-krome-vkontakte/#comments Mon, 23 Aug 2010 16:24:47 +0000 /?p=3884 Вирусы и трояны, как ни печально, становятся всё хитрее. Вот пример из комментариев:

я не знаю что мне делать у меня майл, гугл, в контакте, яндекс не открывается это случилось после как я в контакте скачала для него стиль и потом всё…
я ввожу пароль логин и там написано моя страница временно заблокирована отпрвте смс с кодом******* на номер ****.
Я отправила и в ответ мне смска у вас недостаточно средств хотя у меня на телефоне 386 рублей.
Я в диске C:\WINDOWS\system32\drivers\etc нашла ту папку hosts там написано типо(точно не помню)отправте смс не мучайтесь а то придётся вызывать мастера а надо будет как минимум заплатить 500р. а за смс 150.
Так вот я это удалила только оставила 127.0.0.1 localohost перезагрузила комп а всё равно эти сайты не открываются.
Мама с папой меня прибьют они всегда в контакте сидели а тут всё дочь наделала делов помогите пожалуста только так что винду переустанавливать не пришлось…ПЛИЗ

И он не единичный.

Что делать в таком случае? Ну навскидку.

Проверить настройки прокси в Internet Explorer (В меню: “Сервис” – “Свойства” в появившемся окошке закладка “Подключения” и кнопка “Настройка сети”) по умолчанию дожно стоять “Не использовать прокси”. (ну или что то в этом духе)

Открыть многострадальную папку “c:\windows\system32\drivers\etc” и включить отображение скрытых файлов. Для Цindows 7  это “Пуск” – “Панель управления” – “параметры папок”, закладка “Вид” Окно “Дополнительные параметры” в самом низу “Показывать скрытые папки и файлы”. Как это для Windows XP на вскидку не скажу, но как то аналогично. А теперь смотрим сколько файлов hosts есть в папке. Настраиваем режим отображения “Таблица” и смотрим на типф файлов. Если у hosts написано “Файл”, то это скорее всего нужный, а если “Текстовый документ”, то стираем без зазрения совести. Ну а нужный hosts открываем в блокноте и стираем из него всё лишнее. Особое вснимание обращаем на полозок вертикальной прокрутки. ТО, что надо удалить может быть отделено от того, что там должно остаться кучей пустых строк.

Ну и провериться самым свежим антивирусом, желательно загрузившись со специального антивирусного диска.

Да, знающие люди рекомендуют в реестре поковыряться на предмет лишних включений, но об этом в другой раз.

]]>
/2010/08/23/nedostupno-nichego-krome-vkontakte/feed/ 11
Вирусы окопались на моём компьютере /2010/04/02/virusy-okopalis-na-mojom-kompyutere/ /2010/04/02/virusy-okopalis-na-mojom-kompyutere/#comments Fri, 02 Apr 2010 11:06:12 +0000 /?p=3633

Как страшно жить! Надо срочно выкидывать все писишки и доставать с дальних полок пыльные спектрумы и БКшки. На них вирусы не работают.

]]>
/2010/04/02/virusy-okopalis-na-mojom-kompyutere/feed/ 6
Apache/2.0.55 (Win32) PHP/5.1.1 Server at vkontakte.ru Port 80 /2009/09/11/apache2055-win32-php511-server-at-vkontakteru-port-80/ /2009/09/11/apache2055-win32-php511-server-at-vkontakteru-port-80/#comments Fri, 11 Sep 2009 11:20:21 +0000 /?p=3214 Сколько мне уже вопросов в комментариях задали по поводу ошибки вылезающей при попытке захода на vkontakte.ru? Вот этой:

Apache/2.0.55 (Win32) PHP/5.1.1 Server at vkontakte.ru Port 80

Что мы видим?

Веб-сервер Apache2 под Windows. А что должно быть? А должен быть nginx. И скорее всего под чем то юниксобразным. В общем случае, либо BSD, либо Linux. В прочем, для Windows его тоже можно поставить.

О чём это говорит? Это говорит о том, что пользовательский компьютер вместо того, чтобы идти на сервер вконтакте идёт непойми куда. А там фишинговый сайт. На этот раз прикрытый расторопным провайдером. Возможно прикрытый. А если это появляется после ввода логина и пароля, то это иммитация ошибки и пароль уже у мошенников.

Почему компьютер идёт не туда, куда надо, а к мошенникам? Об это я уже говорил и неоднократно.

В общем, ищите вирусы, восстанавливайте контроль надо учёткой и проявляйте бдительность при обещаниях халявного подарка или накрутки рейтинга.

]]>
/2009/09/11/apache2055-win32-php511-server-at-vkontakteru-port-80/feed/ 26
Новый фишинг вконтакте. /2009/07/12/novyjj-fishing-vkontakte/ /2009/07/12/novyjj-fishing-vkontakte/#comments Sun, 12 Jul 2009 08:40:02 +0000 /?p=2862 Фишеры, или как там их… Короче, сетевые мошенники не дремлют. Судя по всему, появилась очередная очередная версия подменного сайта псевдовконтакте. На этот раз  ответ на логин пользователя такой:

Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком,созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.”(Если аккаунт настоящий, его необходимо подтвердить.Отправьте смс с текстом fvc t5001 на номер 3353 В ответном смс вам придёт Код активации.Стоимость смс соответствует стоимости по вашему тарифному плану.)

Ну что сказать… Пошлите SMS “Я не лох” на номер ХХХХ. Чем больше SMS вы пошлёте тем больше вы не лох.

Скорее всего вы подцепили какую то заразу. В плане лечения идём проторенным путём. Правим файл hosts, трём куки в любимом браузере и натравливаем антивирус на систему.

]]>
/2009/07/12/novyjj-fishing-vkontakte/feed/ 3
Недоступны vkontakte, yandex, google… /2009/06/01/nedostupny-vkontakte-yandex-google/ /2009/06/01/nedostupny-vkontakte-yandex-google/#comments Mon, 01 Jun 2009 12:17:41 +0000 /?p=2487 Эхо вируса проползшего в середине мая из вконтакте гремит до сих пор. Симптомы, сколько я понимаю такие (из комментриев)

Активируйте свою анкету.
Ваш аккаунт заблокирован.

Активация происходит в автоматическом режиме,
отправьте смс с текстом 40956 1315594 (Между 40956 и 1315594 поставьте пробел) на номер 1171.Если SMS не отправляется на номер 1171, попробуйте отправить на номер 3649 и заполните форму ниже

У меня такая зараза не появлялась, но если кому надо…Рецепт найден здесь.

Ручное удаление вируса из системы сводится к простым действиям:

  • остановить службу Durov VKontakte Service (сделать это можно, переведя тип запуска службы svc в значение “Отключено” или выключив ее загрузку в программе msconfig “Настройка системы”, но предварительно остановив svc.exe в списке процессов Диспетчера задач Windows);
  • (рекурсивно) удалить %APPDATA%/Vkontakte.
  • Перезагружаем систему.
  • Профилактические и контрольные рекомендации:
  • поиск на жестких дисков файлов svc.* и deti.*;
  • поиск svc.exe в списке запущенных процессов (Ctrl+Alt+Delete);
  • поиск svc в списке запускаемых служб (msconfig);
  • смена паролей к сайту ВКонтакте и электронной почте(!);
  • слежение за отправленными сообщениями на ВКонтакте.ру;
  • очиска cookies браузера.

Здесь перевод на более понятный простому человеку язык

Судя по тому что написано, ни чего предосудительного или фатально у вас не выйдет. А систему может и не понадобится переустанавливать.

Update

Таблетка от Яндекса

Проверьте свой компьютер антивирусной утилитой CureIt от «Dr.Web» или Virus Removal Tool Лаборатории Касперского.

Ну и поссылке с “таблеткой” примерно та же инструкция.

]]>
/2009/06/01/nedostupny-vkontakte-yandex-google/feed/ 199
Если не пускает на vkontakte.ru /2009/05/14/esli-ne-puskaet-na-vkontate-ru/ /2009/05/14/esli-ne-puskaet-na-vkontate-ru/#comments Thu, 14 May 2009 10:28:51 +0000 /?p=2059 Благодаря одному из комментаторов выяснил, что отсутствие доступа к vkontakte может быть из за пойманного трояна.

Не могу зайти на сайт Vkontakte.ru! Скачал какуе-то программу антиспам vkontakte.exe! Как разблокировать?

На лицо несоблюдение элементарных норм техники безопасности при работе в сети. Наверняка скачка производилась из какого-то сомнительного места. Сама программа, как показала быстрая вентиляция вопроса в Яндексе нужна для каких то манипуляций с сайтом социальной сети. Может быть даже брутфорсным переборщиком паролей. Не суть.

Данный конкретный экземпляр, видимо, и содержал в себе троянский модуль. Судя по тому, что оно прописывается в %windir%\system32\drivers\etc\hosts идёт подмена истинного IP сайта vkontakte на IP сайта злоумышленников, а дальше просто воруется пароль от учётной записи. дальше объяснять?

Так что, если дома вдруг пропал доступ к вконтакте, особенно после установки новой программы, то проверьте файл %windir%\system32\drivers\etc\hosts на предмет записей типа vkontakte.ru и удалите их, жесткий диск на наличие файлов vkontakte.exe и удалите их, а всю систему и свои любимые файлопомойки просканируйте любимым антивирусом. Загляните в свою учётную запись и поменяйте пароль, а если пароль не опознаётся, то свяжитесь с администрацией и попробуйте уладить вопрос с ними.

не поленитесь нажать Win+R, в появившемся окошке написать “notepad %windir%\system32\drivers\etc\hosts” (без кавычек) и убедитесь, что в нём нет посторонних записей. По умолчанию в нём должна быть одна строка не начинающаяся со знака #.
127.0.0.1 localhost
Если там есть что то, чего вы не добавляли самостоятельно стирайте без зазрения совести. В общем, можно стереть все строчки. Винда от этого хуже работать не станет.

И самое глапвное, не ставьте и даже не скачивайте сомнительные программы с сомнительных сайтов.

Еще одно – если вы зашли на сайт по присланной непойми кем ссылке, то убедитесь, что вы зашли именно на vkontakte.ru, а не куда либо ещё. В сети появились сведения, что действует мошеннический сайт с точно таким же внешним видом, но с именем vkon1akte.ru вместо первой буквы “t” у него единичка. Визуально отличается мало, а последствия могут быть самые печальные. Это называется фишинг или подмена настоящего сайта. И сайт это фишинговый.

Будьте бдительны!

P.S У кого пишет, что

Активируйте свою анкету.
Ваш аккаунт заблокирован.

Активация происходит в автоматическом режиме,
отправьте смс с текстом 40956 1315594 (Между 40956 и 1315594 поставьте пробел) на номер 1171.Если SMS не отправляется на номер 1171, попробуйте отправить на номер 3649 и заполните форму ниже:

Втыкать сюда: вирусинфо

или сюда Если не пускает ни на вконтакте ни на яндекс

]]>
/2009/05/14/esli-ne-puskaet-na-vkontate-ru/feed/ 2043
Действительно болею /2009/03/24/dejjstvitelno-boleyu/ /2009/03/24/dejjstvitelno-boleyu/#comments Tue, 24 Mar 2009 19:22:13 +0000 /?p=1623 Какая то вирусная зараза. Сынишка притащил из детского сада. Ещё там у них скарлатина водится и ветрянка…

За то больничный до пятницы.

Но с работы подёргать уже успели. Это минус.

]]>
/2009/03/24/dejjstvitelno-boleyu/feed/ 2
таньки – юзерпики (вирусы) /2008/08/01/tanki-yuzerpiki-virusy/ /2008/08/01/tanki-yuzerpiki-virusy/#comments Fri, 01 Aug 2008 01:33:00 +0000 /2008/08/01/tanki-yuzerpiki-virusy/ такой вот симпотичный вирус


взято здесь

]]>
/2008/08/01/tanki-yuzerpiki-virusy/feed/ 0