Winlock — как убрать вирус без антивируса

История начинается ….   неожиданно …

Все было как обычно — заходим на сайт — ищем нужный журнал. Ссылка ведет на весьма известный файлообменник fileshare.in.ua.

Качаем.

И.

Сюрприз :)

Рамка всем известного вируса вымогателя

Отставляем панику.
Мышка кроме рамки недоступна, но клавиатура работает.
Пуск - выполнить - cmd
Дальше команда списка процессов :
tasklist
или поэкранно :
tasklist | more
Видим нечто необычное :
0.3534388206875574.exe
Дальше команда снятия процесса :
taskkill /F /IM 0.3534388206875574.exe
Рамка пропала.
Но курсор все так же в области рамки.
Дальше я снял еще пару процессов, в том числе и :
taskkill /F /IM java.exe
Закрыл консоль (cmd).
Все встало на свои места.
Дальше стандартно. Сканер + антивирус.
Как ни странно антивирус (Microsoft Security Essentials) увидел эту «заразу» :


Но вот в чем вопрос : Почему он не пресек это на этапе загрузки ?
Дальше сканер :

Все. Очищаем остатки — перезагружаемся.
А все могло быть намного хуже. Например, если сразу перезагрузить компьютер — то вместо рабочего стола только рамка. Тогда только LiveCD и поиск тела и остатков вируса.
Мораль : не паникуйте раньше времени — иногда вирус можно убрать даже без помощи антивируса.

Пропала языковая панель

Как то я упустил эту тему.

Всегда думал , что описал ее, — ан нет.

Восполним этот пробел.

Причины пропадания языковой панели — достаточно большое количество.

От настроек системы и до действия компьютерных вирусов.

Что же говорит нам интернет-сообщество по этому поводу ?

Большинство людей советуют просто установить PuntoSwitcher.

Скажу сразу — выход неочевиден — да и использование этой программы не всем подходит и не всем удобно. Мне , например, — нет.

Переходим от теории к практике.

Способ 1 . Простой.

Щелкните правой кнопкой мыши на свободном участке панели задач, (это внизу экрана), выберите Панели инструментов и поставьте галочку у пункта — Языковая Панель.

Способ 2. Проверяем автозагрузку.

При помощи утилиты msconfig (пуск->выполнить->msconfig) проверяем запущен ли файл ctfmon.

Если галочка снята — ставим ее.

Можно еще воспользоваться Run.reg -файлом (сделает тоже самое. Правой кнопкой по ссылке — выберите сохранить как).

Способ 3. Проверяем на оригинальность.

Так как файл ctfmon.exe — очень часто подменяется вирусами и удаляется антивирусами :) (в основном вирусом Trojan.MulDrop1.3316). Проверим есть ли он в системе. (например поиском )

Если его нет или Вы сомневаетесь в его подлинности — вы можете скачать его у меня тут.

И заменить стандартный этим файлом (файл взят из дистрибутива с 3 СервисПаком).

Так же проверьте (способ 2) будет ли он запущен при запуске.

Еще один вариант восстановить этот файл — с оригинального компакт диска.

Для этого наберите в пуск-выполнить:

sfc /scannow

Для этого должен быть оригинальный компакт-диск с установкой Windows и соответственно запущеной службой Защиты файлов Windows.

Способ 4. Предложен на форуме ru-board.

1. Если установлен Office 2003 проверить установлен ли компонент «Альтернативный ввод данных». Если установлен — удалить! (Общие компоненты)
2. Далее деактивировать вручную «Дополнительные текстовые службы»:
а. Панель управления->Язык и региональные стандарты->Языки(галочек там быть не должно)->Подробнее->Дополнительно — убрать ВСЕ галочки!
б. Вернуться в диалог Параметры (который появляется после нажатия Подробнее) и Удалить все языки кроме английского.
в. Удалить вручную службы. Открыть Пуск->Выполнить->
Regsvr32.exe /u msimtf.dll
Regsvr32.exe /u Msctf.dll
3. Перезагрузиться
4. Затем включить индикатор.
Панель управления->Язык и региональные стандарты->Языки(галочек там быть не должно)->Подробнее
Добавить Русский и настроить переключатель как обычно.

Дополнительный заработок.Блог о заработке в интернете. Обзоры Партнерских программ с оплатой за клики, действия, показы и продажи

Новый ICQ вирус

Сам не получал такого, скорее всего из-за того, что пользуюсь не ICQ , а интернет пейджером Trillian.

Но из разных источников начала приходить информация, что от друзей и знакомых приходит входящий файл Snatch.exe.

Это якобы игрушка.

На самом деле это программа кейлоггер (keylogger) — Trojan.Win32.Snatch.

Будьте аккуратны и не принимайте файлы от незнакомых (а от знакомых обязательно проверяйте антивирусом).

После запуска этого файла, доступ к учетной записи ICQ блокируется, а теперь с Вашего номера пойдет рассылка этого файла по всему Вашему списку контактов.

Пароль к учетной записи так же придется восстанавливать через систему утерянных паролей.

3 свежих троянца

Вирусописатели, а так же их родители.

Пам пам , парам пам !

Публикую тройку свежих троянцев по версии securitylab :

1.Trojan.Win32. Zum

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 21504 байта. Написана на Visual Basic.
Инсталляция

При запуске троянец копирует свой исполняемый файл в корневой каталог Windows под следующим именем:
%WinDir%\Systray32.exe
Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свою копию в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Systray32.exe»=»%WinDir%\Systray32.exe»

Деструктивная активность

При запуске троянец отбражает свое окно:

При наведении на него курсора мыши, троянец открывает в браузере установленном по умолчанию следующую ссылку:
http://www.fu***rld2000.de/

2.Trojan.Win32. Oficla.m

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 20480 байт. Написана на С++.

Деструктивная активность

После активации троянец извлекает из своего тела динамическую библиотеку DLL во временный каталог текущего пользователя Windows под случайно сгенерированным именем:
%Temp%\<rnd>.tmp
Где <rnd> — случайная цифра.

Данный файл имеет размер 19968 байт и детектируется Антивирусом Касперского, как Trojan.Win32.Oficla.m.

Для контроля уникальности своего процесса в системе троянец создает уникальный идентификатор с именем:
3079141585b787f8d1
Троянец запускает процесс «svchost.exe» и подгружает в его адресное пространство извлеченную библиотеку. При помощи данной библиотеки троянец производит загрузку файла со следующего URL:
http://fact***od.ru/microsoft/bb.php
На момент создания описания ссылка не работала.

Загруженный файл сохраняется во временный каталог текущего пользователя Windows под случайного сгенерированным именем после чего запускается на выполнение.

Также файл %Temp%\<rnd>.tmp сохраняется в системный каталог Windows под случайным именем:
%System%\<rnd>.<rnd>
Где <rnd> — случайная последовательность букв латинского алфавита, например «rihd.pno».

Для автоматического запуска при следующем старте системы троянец создает ссылку на созданный файл в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell» = «Explorer.exe rundll32.exe %System%\<rnd>.<rnd>»

3.Trojan.JS. Fraud.ae

Троянская программа, выполняющая мошеннические действия. Представляет собой HTML документ, который содержит в себе сценарии Java Script. Имеет размер 8607 байт.

Деструктивная активность

Для своего корректного выполнения, троянец импортирует дополнительные Java скрипты, которые размещаются в файлах с именами «vaq1k90d2j.fff» и «wzx2j98d2j.fff». Данные файлы размещаются в корневом каталоге на сервере злоумышленника. Далее троянец прорисовывает в браузере окно «Проводника» и затем имитирует полное сканирование компьютера на наличие вредоносных файлов:

Троянец импортирует список строк, которые представляют собой полные пути к системным файлам и произвольные детекты вредоносных объектов, из стороннего файла-скрипта, который размещается на сервере злоумышленника. Далее лжеантивирус предлагает пользователю выполнить лечение зараженных объектов:

После нажатия на кнопки «Лечить все», «Включить защиту» – вредонос предлагает пользователю осуществить оплату услуги путем отправки смс на платный номер «1350»


Если введенный код – меньше 6 символов, троянец выдает сообщение:

Если введенный код удовлетворяет всем условиям – вредонос осуществляет HTTP запрос по следующей ссылке:
http://<X>/enter.php?code=<введенный_код>
&checkcode=1&rand=<rnd2>
где X – доменное имя сервера злоумышленника, rnd2 – случайное число. На момент создания описания ссылка не работала.

При закрытии окна браузера, троянец выводит сообщение:

Подмена MAC-адресов

В последнее время все больше участились вирусные атаки подменяющие MAC-адреса.

Я долго не задавался целью поискать с какой же целью пишуться такие вирусы.

Сегодня пришло время восполнить и этот пробел.

Сначала немного теории :

Как работает интернет ?

На такой вопрос не так просто ответить. Как например открывается сайт mail.ru ?

Я не буду вдаваться слишком подробно в работу протокола TCP/IP, а обозначу основные моменты.

Пользователь набирает адрес в браузере (Opera, Mozilla Firefox, Internet Explorer и т.д) адрес (mail.ru), браузер в свою очередь  очередь  пытается определить какой IP адрес соответствует этому имени (служба , которая за это отвечает DNS — Domain Name Service), и отправляет DNS запрос, DNS сервер выдает что адресу mail.ru соответствуют IP-адреса :

217.69.128.45
217.69.128.41
217.69.128.42
217.69.128.43
217.69.128.44
Несколько адресов могут соответствовать одному имени (работают несколько серверов, для снижение нагрузки). После этого браузер получает данные и открывает пользователю страничку.

Вот тут остановимся на несколько минут — еще существует файл hosts в папке c:\windows\system32\drivers\etc\ — в нем записаны некоторые соответствия — это сделано для того, чтоб ускорить работу и не запрашивать у сервера имен уже достоверно известные адреса.

По-умолчанию там одна запись вида 127.0.0.1 localhost — что означает что локальной машине по-умолчанию соответствует IP-адрес 127.0.0.1.

Ранее я писал про вирусы , которые модифицируют этот файл и записывают туда фейковые адреса для известных ресурсов (mail.ru, vkontakte.ru, odnoklassniki.ru).

Для чего же все эти старания ?

Все очень просто — злоумышленник копирует полностью дизайн известного сайта, и вносит изменения в этот файл — адрес в строке адреса браузера выглядит, как настоящий, но IP адрес не тот , а адрес злоумышленника. Когда пользователь открывает страничку он не подозревает о подмене и вводит свои учетные данные (Логин/пароль), которые отправляются прямиком в лапы злодею :).

В случае подмены MAC адресов происходит то же самое. Вирус подменяет адрес шлюза (чаще адрес ДНС сервера) своим. И может раздавать пользователям неверные данные и пересылать их вместо популярных ресурсов на поддельные.

Как же бороться с такими вирусами ?

Дело в том, что чаще всего запрос инициируется с другой машины и пользователь у себя ничего не видит. Вируса на его компьютере тоже нет. И антивирус ничего не находит.

Во-первых   — поставьте атрибут «только чтение» на файл hosts  и регулярно просматривайте его содержимое на предмет наличия в нем посторонних записей.

Во-вторых — сделайте небольшой .bat файл и поместите его в автозагрузку.

Содержимое этого файла :

arp -d xxx.xxx.xxx.xxx
arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm

Где xxx.xxx.xxx.xxx IP-адрес Вашего шлюза (ДНС) провайдера
а mm-mm-mm-mm-mm-mm — это физический адрес (MAC-адрес) этого IP-адреса.

Правда существует и один недостаток — если у провайдера поменяется IP-адрес, сетевая карта или MAC-адрес — Вам нужно снова поправить этот файлик.

Разберем что же он делает :

arp -d xxx.xxx.xxx.xxx — удалит динамическую запись в arp-кеше.

arp -s xxx.xxx.xxx.xxx mm-mm-mm-mm-mm-mm — добавит новую привязку статическую с заранее известным MAC адресом и сделает привязку — после этого вирус не сможет заставить Ваш компьютер воспринимать «чужие» адреса вместо положенных.

Да, чуть не забыл — как же узнать этот самый MAC адрес ?

В момент , когда все работает правильно и сбоев нет — выполните — Пуск- выполнить — cmd — Ок.

Появится черное окошко. Наберите :

arp -a

Это выведет все адреса и МАК-адреса соседних компьютеров, которые общались с Вашим (в том числе и провайдеровские).

Вопросы можно задавать в комментариях к этой статье.

Antivirus Soft — лекарство или вирус ?

На днях увидел новое творение вирусописателей.

Изощренность которых похоже не имеет границ.

На чем основывались предыдущие версии различных Win-lock вирусов ? На том, что экран закрывал большой баннер, мешающий работе или просто окно блокировало все доступы к интернет.

Но как говорится — время не стоит на месте. И люди, увидев знакомую картину уже не спешат расставаться с кровно заработанными денежками и отсылать смс.

Нужен новый шаг и новый подход.

И новый антивирус.

Именно таким представляется наш новый «пациент».

И имеет соответствующее название — Antivirus Soft.

Как видно на скриншоте выше — все признаки борьбы с вирусами. И значек , похожий на Щит Windows. Только немного измененный. Прочитать больше

Советуем так же посмотреть:

дуэт Виттория

Новый зарядник от Energizer с вирусом ?

Прочитал интересную новость на Securitylab.ru в новом заряднике пальчиковых аккумуляторов от Energizer. Как сообщается в ПО, идущем в комплекте содержится вредоносный код троянца. Как всегда отличилась Windows — троянец работает только под этой ОС.  Зарядное устройство работает от USB порта и для его корректной работы требуемое ПО должно быть установлено.

Вредоносный код, присутствующий в устройстве, предназначен для операционной системы Windows и передается на компьютер вместе с управляющим ПО для отображения статуса зарядки аккумулятора. При попадании в компьютер, создается файл Arucer.dll, который привязывается к порту 7777 и принимает через него дальнейшие исполнительные файлы. Троян загружается при каждом включении ПК и остается активным даже когда зарядное устройство уже не подключено к компьютеру.US-Cert рекомендовала пользователям вручную удалить файл Arucer.dll из папки System32 и перегрузить компьютер. Сама Energizer также удалила управляющее ПО со своего сайта. В заявлении компании говорится, что в памяти заурядного устройства находится еще и версия управляющего ПО для Mac OS X. Она не содержит вредоносного программного обеспечения.

Думается мне антивирусы уже имеют в своей базе сигнатуры для этого троянца, но от этого жить становится не легче. В какую бытовую технику на этот раз будет внедрен вредоносный код ? В микроволновку с подключением по ethernet ?

Неплохой сайт elfmoney.ru, где можно купить кинары айон. Быстрая доставка. Удобный сервис.

Топ-10 мошенников, или Как нас разводят в Интернете

Написать данную статью  меня подтолкнула рассказанная сегодня история.

У моего друга зазвонил телефон. Номер был незнакомый. Назвали по имени и сказали что попали в большую беду. Что светит статья и человек в милиции. И чтоб отмазать нужно купить N-ное количество карточек пополнения Киевстар и принести в условленное место.

Как бы это странно не звучало , но нас тем или иным образом пытаются «развести» на деньги.

При этом методы бывают разные — давят на жалость, заманивают бесплатными звонками, предлагают сэкономить, выиграть приз, получить дополнительные возможности.

Помните — бесплатного сыра не бывает. Разве что, на дегустации в мышеловке.

Мои ТОП 10 «разводов» кидал :

10 место.

Смс с текстом — «Вы выиграли видеокамеру (телевизор, компьютер)» — для получения приза купите 10 пополнений оператора «Х» и вышлите коды этих пополнений на номер с которого пришла эта смс.

9 место.

Вы ХХХХХ-й абонент подключившийся к нашему оператору. Вам предоставляется возможность звонить бесплатно. Для получения приза купите 10 пополнений оператора «Х» и вышлите коды этих пополнений на номер с которого пришла эта смс.

8 место.

Вы кормите паразитов. В последнее время участились нападки этого вируса. На всех страницах выскакивает реклама про хорошее лекарство от паразитов в вашем организме. Лекарство — фарс и выкачка денег.

7 место.

Сервисы в сети по типу ВЗЛОМ сайта вконтакте.ру. Вставьте в оперу определенный код и посмотрите чужие фото. При вставке такого кода вы активируете java-скрипт с чужого сервера, который вытаскивает Ваши cookies, и даже если злоумышленники и не знают вашего пароля они могут спамить от вашего имени.

6 место.

смс с текстом:”  Наконец-то еду на лыжах кататься. Сможешь пару дней за Мурзиком посмотреть?” с номера хххххххх.

Хм. Собственно мне то и не тяжело, но вот незадача номер с которого отправлено сообщение на записан у меня в контактах. И чей же это Мурзик? Не говоря что на выяснения за звонки и смс придется выложить денег.

5 место.

Игры на vkontakte.ru. Флеш-игры и приложения. Валентинки, бои подушками и , конечно, веселый фермер. Как только разработчики вконтакта открыли для публики свой API для разработки приложений только ленивый не написал его. И среди множества таких приложений есть такие , которые за свою работу или для приобретения доп. возможностей просят отправить смс и получить голоса. За эти голоса можно купить овощи или животных и прочее и прочее. Но в этом пункте разговор пойдет не об этом. Приложения работают ТОЛЬКО ПРИ ДОБАВЛЕНИИ их на стену. И при этом ОБЯЗАТЕЛЬНО просят получить доступ к личным данным (друзям, контактам, фотографиям). А вам это не кажеться странным ? Или потом вы не спрашиваете почему от вас идет спам или реклама ? Но ведь вы сами подтвердили что приложению это можно. И запомните НИКОГДА приложение НЕ ДОЛЖНО запрашивать ВАШ ПАРОЛЬ от вконтакта. Так же встречались приложения, которые изменяют файл hosts и блокируют доступ к вконтакту заменяя его хакерским. Где опять же просят отправить смс.

4 место.

Аудио наркотики. Волна немного откатилась, но и то тут то там еще можно встретить рекламу. Суть состоит в прослушивании определенных аудио композиций с набором бинауральных тонов, которые якобы вызывают у человека состояния схожие с действием наркотиков, галлюциногенов или занятий сексом.
Как вы догадались чтобы послушать и получить кайф нужно, конечно же, заплатить.

3 место.

Сервис слежения за мобильными телефонами. Проверь где находится твоя половинка. Прочитай его(ее) смс. Данных сервисов очень много. Все они разные по оформлению и наполнению. Сайты красиво сделаны и не вызывают сомнений. Вот только требуют оплаты путем отправки смс на короткий номер.

2 место.

Мобильный сканер. В последнее время появилось достаточно много рекламы мобильного сканера. Скачайте приложение на свой мобильный телефон и вы сможете увидеть человека без одежды. При этом не гнушаться отправлять код даже на телефоны без камер и поддержки java.

Лидер ТОП 10.

1 место.

Виндовс локеры. Такие вирусы распространяются под видом обновления Adobe flash player или при просмотре эротики. Методы и картинки уже разнообразны до неприличия. Но суть всегда одна : Ваша копия Виндовс нелицензионная и будет заблокирована. Для разблокировки отправьте смс на короткий номер. Сюда так же можно отнести вирусы типа антивирусов. Да да. Вирус выглядит как антивирус. И сообщает что нашел 100 вирусов, но к сожалению время лицензии истекло. Для продолжения отправьте смс :)

Мораль сей статьи :  никогда не спешите отправлять смс.

  • Во-первых у вас снимут за них деньги намного превышающие стоимость обычной отправки смс (от 100 до 600 рублей Рроссии, или от 10 до 100 грн).
  • Во-вторых очень часто видимого эффекта от этого вы так и не добъетесь, а деньги были потрачены зря.
  • В-третьих помните — бесплатный сыр — сами знаете где, но все равно многие при закритие любимого сайта берут в руки телефон.
  • В-четвертых устанавливайте антивирусное программное обеспечение. С последними и свежими обновлениями оно не даст попасть вирусам на ваш компьютер.
  • В-пятых не забывайте и про обновления самой Операционной системы (будь то Windows или Linux).
  • Ну и последнее, но наверно самое важное : никогда и ни при каких случаях не сообщайте мошенникам номер банковской карты и CVV2 ее код.

Удачи ! И не попадайтесь на удочку мошенникам.

Вирус Win32/Spy.Ursnif.A

Сегодня обнаружил новый вирус Win32/Spy.Ursnif.A
Как видно из таблички ниже — Ни Касперский, ни Dr.Web, ни Avira его не распознают. Nod32 его увидел , но вылечить не смог. А так же не смог даже удалить. По сайту Virustotal.com его признают вирусом 13 из 41 антивируса, а значит игнорировать такую угрозу просто глупо.
Я нашел чистую незараженную Dll-ку. Выкладываю здесь.
termsrv.dll
Распакуйте архив в папку c:\windows\system32 в безопастном режиме или загрузившись с любого загрузочного диска имеющего доступ к системным папкам.
Прочитать больше

Autorun-вирусы

Что такое autorun-вирусы?

Autorun-вирусы — это вирусы, записывающие себя на флэшку (или другое внешнее устройство) и заражающие компьютер пользователя при заходе пользователя на флэшку через Explorer. Это сравнительно новый тип вирусов, появившийся в эпоху широкого распространения флэшек, карт памяти и других внешних устройств. Из вредоносное действие такое-же точно, как и у обычных вирусов, начиная от шпионажа за Вашим компьютером, заканчивая уничтожением данных. Механизм заражения Autorun-вирус записывает себя на флэшку, а также указывает в файле autorun.inf что его (вирус) необходимо запустить при двойном клике на флэшке в Проводнике.

autorun.inf — это системный файл, лежащий в корне флэшки и указывающий Windows, какие программы нужно запускать автоматически при подключении носителя, входе на него.

Autorun.inf является скрытым файлом и поэтому не виден на флэшке при настройках Windows по-умолчанию. Для того, чтобы увидеть его (и удалить), необходимо в Проводнике Windows зайти в Меню -> Сервис -> Свойства папки.., выбрать вкладку «Вид» и в дополнительных параметрах выбрать галочку «Показывать скрытые файлы и папки».

Изначально, механизм автозапуска был придуман для компакт-дисков — для того, чтобы легальный софт, поставляемый на компакт-диске мог запускаться автоматически, при подключении или при входе на этот диск. С появлением нового вида носителей — флэшек и внешних винчестеров, разработчики Windows «по-быстрому» перенесли этот механизм и на них, однако, они не подумали, о том, что в отличие от компакт-диска, легальный файл autorun.inf может быть легко изменен вредоносной программой.

Где можно «подцепить»?

Коварство autorun-вирусов заключается в том, что Ваша флэшка может быть заражена совершенно незаметно и не по Вашей вине. Autorun-вирус может проникнуть на Вашу флэшку:

  • В интернет-кафе
  • В фотосалоне, куда Вы отдаете распечатывать фотографии
  • У друга, к которому Вы пришли, чтобы скачать нужную информацию.

Как бороться ?

Конечно же Ваш компьютер должен защищать антивирус, но заразиться данным вирусом можно не только дома. Как защитить свою флешку от заражения ?

Способов масса. Многие производители антивирусов предлагают свою защиту. А так же в сети достаточно много ПО на данную тему. Один из таких способов не потребует никакого дополнительного программного обеспечения.

Приступим. Создаем на флешке в корне папку с именем Autorun.inf и присваеваем ей атрибут «Только чтение» . Готово.

Все, скажите Вы ? Да этого достаточно.

Ведь как описано выше вирус пытается создать файл с таким же названием , но сделать он этого не сможет — так как  у нас уже есть папка с таким именем, а чтобы вирус ее не перезаписал, мы и присвоили ей атрибут «Только чтение».

Купить шкафы купе по выгодной цене, это просто! Любая корпусная мебель от производителя в Москве по выгодным ценам! Встроенная мебель.