Все записи в рубрике ‘Вирусы’

Для начала объясню тем, кто здесь впервые, а также тем, кто здесь уже бывал – что такое винлок (winlock). Просто пару слов – своеобразная прелюдия)) Винлок – это вирус, блокирующий вход в операционную систему (в нашем случае, Windows XP) с целью выманивания у добропорядочных граждан платных СМСок. Винлоков существует превеликое множество, часть из которых действительно деактивируется после ввода полученного кода, а другая часть так и остается висеть, по-прежнему требуя отправить СМС. Но, как правило, для разблокировки требуется пройти тройную авторизацию (отправить 3 SMS) по 10$ каждая, т.е. в общей сумме примерно 900 рэ. Думаю, для большинства это довольно весомая сумма и пускать ее на ветер не рационально.

Универсальную инструкцию по удалению винлоков я уже выкладывал. Ознакомиться с ней (и воспользоваться) Вы можете в статье Xyecoc.net и другие. Но виросостроители не стоят на месте и современные винлоки стали поступать более подло по отношению к пользователям. Кроме стандартной поправки в реестре, теперь винлок перезаписывает значимые системные файлы. Мною была замечена перезапись файлов explorer.exe, userinit.exe и taskmgr.exe. Т.е. подменяется визуальная оболочка windows, процедура инициализации пользователя и диспетчер процессов.

В разных версиях винлоков может быть подменен либо один из этих файлов, либо сразу все три. Т.е. мы можем внести поправку в реестр, перезагрузить компьютер и увидеть вполне работоспособную систему, и работать в ней до тех пор, пока не вызовем диспетчер задач, после чего винлок снова заблокирует систему и опять же внесет поправку в реестр.

Чтобы узнать, какие конкретно файлы заменены, я делал следующее: загружался с LiveCD, вносил соответствующие поправки в реестр, удалял файл с оболочкой винлока, путь к которому прописан в параметре Userinit реестра, после чего выполнял стандартный поиск через проводник в папке Windows. Т.е. открываем «Мой компьютер», заходим в папку C:\Windows и запускаем «Поиск». На вопрос «Что вы хотите найти?», отвечаем «Файлы и папки». Далее, в строке «Часть имени файла или имя файла целиком» пишем «*.exe» без кавычек, т.е. ищем исполняемые файлы по маске. Теперь раскрываем опцию «Когда были произведены последние изменения», выбираем пункт «Указать диапазон» и указываем диапазон дат, начиная с даты заражения до сегодняшней даты.

Таким образом, в результате поиска мы получим наиболее вероятно зараженные файлы. У зараженных винлоком файлов есть еще две отличительных способности – одинаковая иконка файла, часто в виде помех на экране телевизора при отсутствии картинки, и одинаковый размер файла (обычно 12-13 Кб). Обладая этими знаниями, мы сможем обнаружить подмененные файлы. Рекомендую для начала обратить внимание конкретно на файлы explorer.exe, userinit.exe и taskmgr.exe.

После того как подмененные файлы были успешно обнаружены и удалены, у нас есть 2 варианта по восстановлению их первоначального состояния.

Во-первых, могу порекомендовать отличный реаниматор – ERD Commander. Если Вы серьезно занимаетесь восстановлением поврежденных ОС Windows – для Вас это просто бесценный инструмент. В данном случае, нас интересует функция Restore System – это стандартный виндосовский откат (восстановление системы), но работающий на мертвой Винде. Запускаем Restore System, делаем откат до даты, предшествующей заражению и имеем вполне работоспособную систему. Дело в том, что в момент заражения винлоком, система делает резервные копии файлов перед тем как винлок их перезапишет. Причем, самостоятельно)) Но этот способ недоступен, если в системе была заранее отключена функция восстановления.

Второй способ – просто найти необходимые файлы в интернете, либо скопировать с рабочей системы и заменить подмененные вирусом файлы на оригинальные. Но здесь важно не ошибиться со сборкой и версией сервис пака системы. Идеальный вариант – когда у Вас есть рабочая система установленная с того же дистрибутива, что и поврежденная. В любом случае, я выкладываю файлы explorer.exe, userinit.exe и taskmgr.exe со своей системы (Windows XP SP2, сборка 2600) в этом архиве. Может кому и сгодится))

Что-то мысля моя подрастянулась. В заголовке написал «Немного о винлоках», а оно вот вылилось в больше 4000 знаков. Но, думаю, это не повод менять заголовок)) Кстати, поиск по Яндекс.Картинкам по запросу «винлок» выдает фото Джозефа Винлока, астронома и математика)) И еще здесь, на сайте Доктор Вэба есть сказка про Винлока-Колобка.

Сисадминский анекдот:

Один неосторожный клик, и ты в порнухе.

Начну статью с извинений (в который раз уже). В январе мне совсем не удалось опубликовать чего-то дельного, вернее, совсем ничего не удалось опубликовать. Щас начну отмазываться)) Ну, во-первых, новогодние праздники. Во-вторых, три недели был на сессии в другом городе. Сессию сдал нормально – красный диплом на горизонте. В общем, свободного для размышлений времени не было совсем. В конце февраля – начале марта опять пропаду недели на три – гос. экзамены. Ну а пока можно что-нибудь и написать))

Теперь ближе к делу. В принципе, проблема довольно старая и в Сети полно ее решений, но т.к. материал на сессии неоткуда было брать, буду баянить. Суть проблемы – при открытии в браузере сайтов антивирусных компаний (drweb.ru, kaspersky.ru и т.д.), а также сайтов онлайн-антивирусов, браузер выдает ошибку, мол, страница не найдена.

Для начала можно проверить содержимое файла hosts на наличие записей об этих сайтах (файл hosts находится в папке C:\WINDOWS\system32\drivers\etc). Если таковые присутствуют – удалить их (записи).

Далее, проверяем адреса DNS-серверов для нашего Интернет-соединения. «Пуск» – «Панель управления» – «Сетевые подключения», щелкаем правой кнопкой мыши на «Подключении по локальной сети» и выбираем «Свойства». Во вкладке «Общие» в области «Компоненты, используемые этим подключением» находим строку «Протокол Интернета TCP/IP» и дважды щелкаем по ней. В открывшемся окне проверяем чтобы была включена опция «Получить адрес DNS-сервера автоматически».

Или же, если у Вас записан определенный IP, проверяем, чтоб поля DNS-серверов были пустыми.

Если не помогло, приступаем к третьему способу. Необходимо провести полную проверку компьютера на вирусы. Лучше всего для этой цели использовать DrWeb CureIt. Ну а поскольку сайт drweb.ru у Вас заблокирован, то качать его придется либо у друга, либо на работе или в компьютерном клубе. Или же можно попробовать скачать через анонимайзер (к примеру, Anonymouse.org) – лично не пробовал, но есть шанс на успех.

В результате проверки Вы обязательно найдете парочку вирусов. Но удалить их недостаточно. Нужно в редакторе реестра удалить определенную запись. Итак, открываем редактор реестра («Пуск» – «Выполнить» – regedit.exe) и в левой части окна редактора отправляемся по ветке – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes. Щелкнув по PersistentRoutes, в правой части окна редактора Вы увидите список из нескольких десятков IP адресов сайтов антивирусов. Собственно, эту запись нам нужно удалить. Щелкаем правой кнопкой мыши по PersistentRoutes и выбираем «Удалить». После этого рекомендую перезагрузить компьютер и модем.

В принципе, должно помочь. Напоследок, хочется заметить что запись PersistentRoutes может стать неплохим аналогом блокировки сайтов через файл hosts. Достаточно создать запись PersistentRoutes по вышеуказанной ветке и добавить в нее записи вида «IP сайта для блокировки, 255.255.255.0, 192.168.1.0, 1. В принципе, вид записи можно зреть на скрине выше. IP сайта можно получить, пропинговав его командой ping в консоли cmd.

Сисадминский анекдот:

Меня зовут Настя, осенью я пойду в 8-й класс. Моя проблема заключается в том, что у меня очень маленький жесткий диск. Есть ли какие-нибудь способы его увеличения? Девочки из класса надо мной смеются…

Предыдущий пост навеял один забавный момент))

Если у Вас в один «прекрасный» день пропали с флэшки все папки, не спешите паниковать. Существует такой простецкий вирус, который делает все папки скрытыми, а вместо них создает файлы с именем папки и расширением exe, причем иконка у этих файлов в точности похожа на стандартную иконку папки в Windows. Естественно, Вы ничего не подозревая, щелкаете по этой «папке» и тем самым самолично запускаете вирус. Папка, как ни в чем не бывало, откроется, но откроется в новом окне. А вирус в это время займется собственными делами. Причем расширение exe Вы даже и не заметите, ибо по умолчанию в Windows отключено отображение расширений для известных типов файлов.

Далее, при подключении флэшки к компьютеру с более-менее нормальным антивирусом, все эти файлы удаляются этим самым антивирусом. В результате чего Вы полностью теряете доступ к своим папкам через зараженные файлы.

Для доступа к скрытым папкам, в которые превратились все папки на Вашей флэшке, можно просто дописать имя папки в адресной строке. А полностью вернуть видимость папок можно либо через пункт меню «Сервис» – «Свойства папки», войдя во вкладку «Вид» и поставив галочки напротив пунктов «Показывать скрытые файлы и папки» и  «Отображать содержимое системных папок».

Но не всегда все так просто. Вирус может просто повредить меню проводника и функция отображения скрытых папок не будет работать. В этом случае нам понадобится или более чистый компьютер, в котором эта функция работает или, к примеру, Total Commander. Тотал Коммандер хорош тем, что ему абсолютно побоку все настройки Вашей системы и он прекрасно отображает все скрытые папки. Кстати, помечает он эти папки восклицательным знаком. Выделив папки с помощью мыши и клавиши Shift, лезем в меню «Файлы» – «Изменить атрибуты» и убираем галочки со всех атрибутов, завершая сие действие щелчком по кнопочке ОК.

Ну и напоследок, чтобы починить проводник и снова сделать рабочим возможность отображения скрытых папок, нам понадобится AVZ. Запускаем «Мастер поиска и устранения проблем» через меню «Файл». Далее – «Категория проблемы: системные проблемы», «Степень опасности: все проблемы» и жмем «Пуск». После сканирования появится строка, извещающая о проблемах с проводником (уж простите, точное название не помню – пишу на компьютере без таковых проблем), ставим напротив нее галочку и жмем «Исправить отмеченные проблемы».

Сисадминский анекдот:

- Ваша методика при написании диплома?

- Контрол Це – Контрол Вэ.

Уже не в первый раз приходится сталкиваться с подобной проблемой. Народ подцепляет вирус или скрипт, который вместо всеми любимого vkontakte.ru подставляет фэйковую страницу. На странице содержится примерно следющий текст:

«Ваш аккаунт недоcтупен по причине распpостранения cпама или нарушения условий пользования сайтом. Для разблокиpoвки анкеты вам необходимо отправить cмс сообщение с текcтoм ######## на номеp ####. Далее вам поступит кoд активации, котоpый необходимо ввести в нижнее поле».

Но как и все вирусы-вымогатели, этот тоже со временем эволюционировал. Если в прошлый раз – вот здесь – достаточно было почистить файл hosts, то теперь вымогатели пошли более тернистым путем – происходит подмена DNS серверов, которые как раз и занимаются тем, что расшифровывают имена доменов в адреса IP, на который впоследствии Ваш браузер и переходит. Т.е. ребята не поленились и не поскупились, взяли и арендовали DNS-сервер. Хотя может и ошибаюсь, могут и имитировать работу DNS, обрабатывая лишь определенные домены… в общем, не в этом суть, а в том, что деньги здесь водятся.

Естественно, это подсудное занятие и постоянная анонимизация, но это совсем не наши заботы. Нам достаточно знать как сбросить DNS сервера на стандартные. А сбросить их, восстановив доступ к любимой социальной сети, можно следующим образом:

«Пуск» – «Панель управления» – «Сетевые подключения». Щелкаем правой кнопкой мыши на «Подключение по локальной сети» и выбираем «Свойства». В открывшемся окошке, в области «Компоненты, используемые этим подключением» щелкаем на «Протокол Интернета (TCP/IP)» и нажимаем ниже «Свойства». В новом окошке переставляем радиокнопочку в положение «Получить адреса DNS-сервера автоматически» и нажимаем ОК. В принципе, на этом все. Для пущей верности можно перезагрузить модем и компьютер.

Сисадминский анекдот:

Инетчик глубокой ночью сидит за компом, чувствует прикосновение сзади. Оборачивается – жена стоит голышом и обворожительно-нежно на него смотрит.

Инетчик:

- Извини, милая, но комп занят.

Сегодня речь пойдет о популярных нынче вирусах, которые размещают на рабочем столе порно-баннер или порно сайт в браузере, при этом блокируя всё рабочее пространство. Причем, что самое необычное, на всех компах, зараженных этими вирусами, независимо от модификаций, на баннерах были изображены гомосеки, тыкающие друг в друга своими пиписьками.

Одно дело, когда у тебя на рабочем столе расположились прекрасные барышни (у многих они и без вирусов там находятся), но совсем другое, когда на том же месте находятся эти заднеприводные… Стыдно и перед женами и перед детьми)) Привозя мне комп с таким вирусом, народ стыдливо прятал глаза и неохотно объяснял в чем суть поломки. Так что, вирусостроители опять попали в точку – гомосеки однозначно приносят больший доход нежели классическое двуполое порно))

Но на одних гомосеках отличия от аналогичных вирусов не заканчиваются. Если с предыдущими модификациями можно было бороться с помощью залипания клавиши Shift или комбинации клавиш Win+U и последующей чистки автозагрузки, то в этот раз все подобные махинации ни к чему не приводят. Диспетчер задач по-прежнему заблокирован, но баннер имеет наивысший приоритет и располагается поверх любых окон, независимо от их приоритета. Пуск как бы есть, но на нажатия не реагирует. К тому же заблокирован безопасный режим. В общем, попа, причем попа мужская…

Представлю Вам 2 модификации подобных вирусов, которые мне удалось запечатлеть.

Первый вариант представляет сайт xyecoc.net, о содержимом которого понятно по названию домена. Сайт открывается в браузере. Кроме гомофоток, содержится следующий текст:

«Просматривая порно видео гомосексуального характера [гей видео], и вступая [регистрируясь] в общество скрытых гомосексуалистов [геев], Вы согласились с нашими правилами. Данный модуль носит рекламный характер, устанавливая данный модуль, Вы согласились с тем, что модуль будет располагаться на Вашем компьютере в течении ХХ суток с момента акцептирования договора и установки рекламного модуля. В случае если, по каким либо причинам, Вы захотите покинуть общество скрытых гомосексуалистов [геев], и удалить рекламный модуль раньше времени, согласно акцептированного ранее соглашения, Вам необходимо совершить следующие действия. Пополнить счет абонента БИЛАЙН № +7ХХХХХХХ на сумму ХХХ рублей. После оплаты, на выданном терминалом чеке оплаты, Вы найдете код, который необходимо ввести в поле расположенное ниже. После ввода кода модуль удалится автоматически»

В общем, записали нас в общество скрытых гомосеков, причем якобы мы сами согласились на посвящение в пидоры, да и расписали на совесть – неужто юриста специально нанимали.

Выложу скриншот, только не ругайтесь – снимал на мобилу))

Вторая модификация выполнена в виде баннера. Текст следующий:

«ВНИМАНИЕ!!! Вы просматривали гей-порно видео в течении трех часов. Время бесплатного просмотра истекло. Для того, чтобы оплатить услугу, Вам необходимо пополнить через терминал экспресс-оплаты счёт абонента Билайн ХХХХХХХ на сумму ХХХ руб. После оплаты на квитанции Вы найдете код активации. Введите его в поле ниже и нажмите Enter»

Забавно, насколько вежливо к нам обращаются в обоих случаях – на Вы, с большой буквы. Да и Билайн в обоих случаях светится неспроста – с Билайна можно свободно снимать деньги наличными или перевести на счет в банке.

Ну и скриншот, как полагается, мутный… зато пидорасиков в углу можно разглядеть))

Теперь о том, как с этой гадостью бороться. Для асов хватит одной строчки – залезть в мертвый реестр и исправить параметры Userinit и Shell. Теперь для нормальных)))

Нам понадобится LiveCD с Windows XP на борту. Сейчас такие имеются практически на всех реаниматорах. Скачайте с Интернета или приобретите в магазинчике. Можно также использовать ERD Commander, но особой разницы не имеется, к тому ж, ERD не всегда грузится.

В общем, загружаемся с LiveCD. Лишний раз напомню как это сделать – после включения компьютера долбите по клавише F8, перед этим засунув диск в привод. Комп либо сразу загрузится с диска, либо покажет меню для выбора источника загрузки. Выбирайте тот источник, в котором содержится DVD (это так, на пальцах). Если удалость стартануть с диска – перед Вами появится меню реаниматора, в котором надо тыкнуть строку, содержащую LiveCD. Если же F8 не помогает – лезьте в BIOS (клавиша Del или F2 после включения компьютера) и ищите по всем меню строку со словом Boot, где выставляйте ваш DVD на первый план.

Ну вот, с высшей математикой разобрались)) После загрузки с LiveCD мы увидим ту же Windows, только малость упрощенную. Запускаем редактор реестра (Пуск – Выполнить – regedit). В левой части редактора реестра нажимаем на раздел HKEY_LOCAL_MACHINE, после чего в верхнем меню выбираем «Файл» – «Загрузить куст…». Откроется окошко обзора, в котором переходим по следующему пути: C:\WINDOWS\system32\config. В Вашем случае не обязательно будет диск C, может быть D или E, в зависимости от того, в какой раздел установлена операционная система.

Добравшись до папки config, щелкаем дважды на файле SOFTWARE. Редактор реестра предложить ввести имя для нового раздела – вводим что угодно, например 123. Раздел загружен, увидеть его Вы сможете в левой части окна редактора реестра. Теперь переходим в этой же левой части к следующей ветке раздела – HKEY_LOCAL_MACHINE\123\Microsoft\Windows NT\CurrentVersion\Winlogon. Кликнув на Winlogon, в правой части окна Вы увидите список параметров.

Из этих параметров нас интересует 2:

Shell – должен содержать значение Explorer.exe

Userinit – значение C:\WINDOWS\system32\userinit.exe,

Если у Вас не так – исправьте, дважды щелкнув на нужном параметре. Обычно, путь к файлу с вирусом находится в параметре Userinit. Перед его исправлением, запомните этот путь и, перейдя по нему в проводнике, удалите файл с вирусом. К примеру, у меня это был файл wlock.exe, находящийся по адресу C:\Documents and Settings\UserXP\wlock.

Все, можно перезагружать компьютер и радоваться вернувшейся Винде))

Сисадминский анекдот:

Один программист любил компьютеры. Пока его за этим делом не застукали…