Все записи с меткой ‘AVZ’

Проблема по сей день животрепещущая. На сайте я уже поднимал подобные вопросы, но захотелось объединить все советы в одну инструкцию, чем собственно сейчас и попытаемся заняться. Должно получиться более-менее пошагово, но под конец расплывчато и обрывчато – такой вот у меня стиль)) Сподвиг меня на написание инструкции недавно обнаруженный хитрый способ подмены файла hosts – о нем кратко в конце мануала. А сейчас – инструкция!

Начнем с того, что в ОС Windows перенаправить пользователя на другой сайт в браузере можно тремя (известными мне) способами:

1. С помощью файла hosts.

2. Подменой DNS-серверов.

3. Созданием маршрутов в реестре (PersistentRoutes).

Поэтому в том случае, если я обнаруживаю подмену страницы авторизации сайтов популярных соц. сетей, я по порядку проверяю эти 3 пункта.

Как заподозрить неладное? Обычно, злоумышленники, подменив страницу авторизации просят отправить якобы бесплатную СМС. Уже повод задуматься. Стоимость SMS Вы сможете узнать, проверив короткий номер в соответствующих сервисах, например здесь. Если стоимость не равна нулю, тогда можно начать переживать, кусать ногти, локти и подлокотники.

Чтобы окончательно удостовериться в подмене, запускаем консоль (Пуск – Выполнить – cmd) и выполняем 2 команды:

ping vkontakte.ru

ping odnoklassniki.ru

В результате мы получим IP-адреса обоих сайтов. На скрине ниже подробно подчеркнуто.

Во-первых, оба IP должны быть разными – две конкурирующих соц. сети не могут ютиться на одном сервере. Если IP разные, сверьте их с правильными:

vkontakte.ru IP’s – 87.240.143.244, 87.240.188.249, 87.240.188.250, 93.186.224.240, 93.186.224.243, 87.240.131.97, 87.240.131.98, 87.240.131.99, 87.240.131.100, 87.240.143.241, 87.240.143.242, 87.240.143.243.

odnoklassniki.ru IP – 217.20.154.59.

Если подмена имеет место быть – делаем следующее:

1. Открываем «Пуск» – «Выполнить», вводим команду:

notepad.exe C:\WINDOWS\system32\drivers\etc\hosts

и жмем ОК. Откроется Блокнот с содержимым файла hosts. Содержимое файла hosts должно быть следующим:

Т.е. по сути всего одна запись – 127.0.0.1 localhost, все остальное со знаком # в начале – это просто комментарии разработчиков. Если имеют место записи, содержащие vkontakte, odnoklassniki или twitter – удаляем их и приводим файл hosts к нужному виду.

2. Проверяем DNS-сервера. Если компьютер подключен к Интернету через локальную сеть LAN или Wi-Fi (т.е. не через USB-модем и мобильный телефон или, не дай Бог, dial-up модем), открываем «Пуск» – «Панель управления» – «Сетевые подключения». Находим значок подключения по локальной сети или беспроводного подключения, щелкаем на нем правой кнопкой мыши и выбираем «Свойства». В открывшемся окне прокручиваем список и нажимаем на «Протокол Интернета TCP/IP», после чего жмем на кнопку «Свойства» снизу. В открывшихся свойствах обращаем внимание на нижний блок, относящийся к DNS – должна стоять галочка напротив пункта «Получить адрес DNS-сервера автоматически». Или же можно прописать публичные серверы DNS Гугла: 8.8.8.8 и 8.8.4.4.

3. Открываем редактор реестра (Пуск – Выполнить – regedit) и в левой части открываем следующий путь:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Щелкнув в левой части на PersistentRoutes, в правой части мы должны увидеть только пустую запись «По умолчанию» и ничего более. Если имеется что-то еще – смело удаляйте.

Обычно этих трех пунктов бывает достаточно. На самом деле, все эти пункты можно выполнить автоматически с помощью AVZ, что впоследствии я и рекомендую делать. Просто в первый раз можно сделать и ручками, дабы вникнуть в суть. С помощью AVZ разблокировать доступ к Вконтакте, Одноклассникам и Твиттеру можно следующим образом:

1. Собственно, скачиваем AVZ.

2. Запускаем.

3. Открываем «Файл» – «Восстановление системы».

4. Отмечаем пункты 13,14,15,20,21.

5. Жмем «Выполнить отмеченные операции».

Под конец добавлю несколько замечаний. Если Вы пытались вводить логин и пароль на «фэйковой» странице авторизации – настоятельно рекомендую после избавления от «каки» сменить пароли, иначе могут просто увести аккаунт. Также если после перезагрузки компьютера подмена снова возникает – проверьте комп на вирусы, однозначно существует вредоносный процесс, создающий подмену. И уже после удаления вируса исправляйте подмену.

Теперь про обещанную хитрую подмену. Недавно обнаружил такую вот проблемку со входом в соц. сети, причем все 3 пункта были в порядке, но IP Вконтакте, Одноклассников и Твиттера был одинаковым – 46.251.228.211. Позже, загрузившись с LiveCD обнаружил хитрую подмену.

В папке C:\WINDOWS\system32\drivers\etc было 2 файла hosts. В Винде по сути не может быть двух одинаковых файлов в одной папке – они бы перезаписали друг друга. Но оба файла сосуществовали потому, что один из них был фэйковым – буква О в слове hosts была написана кириллицей, таким образом имена файлов получались разными, но внешне идентичными.

Оба файла были созданы в одно время. Работающий файл hosts был скрыт и имел гораздо больший размер. При открытии, особо не отличался содержимым, но его пакостные намерения выдали полосы прокрутки в блокноте. Записи о перенаправлении были сдвинуты далеко вниз и вправо, поэтому даже при прокрутке всего документы не были видны. Помог обнаружить записи поиск по файлу слова «vkontakte». Вот уж, голь на выдумку хитра!))

Сисадминский анекдот:

Вот я проснулся и сказал тебе, что жопа болит. А у других для этого ТВИТТЕР есть, млять!

Предыдущий пост навеял один забавный момент))

Если у Вас в один «прекрасный» день пропали с флэшки все папки, не спешите паниковать. Существует такой простецкий вирус, который делает все папки скрытыми, а вместо них создает файлы с именем папки и расширением exe, причем иконка у этих файлов в точности похожа на стандартную иконку папки в Windows. Естественно, Вы ничего не подозревая, щелкаете по этой «папке» и тем самым самолично запускаете вирус. Папка, как ни в чем не бывало, откроется, но откроется в новом окне. А вирус в это время займется собственными делами. Причем расширение exe Вы даже и не заметите, ибо по умолчанию в Windows отключено отображение расширений для известных типов файлов.

Далее, при подключении флэшки к компьютеру с более-менее нормальным антивирусом, все эти файлы удаляются этим самым антивирусом. В результате чего Вы полностью теряете доступ к своим папкам через зараженные файлы.

Для доступа к скрытым папкам, в которые превратились все папки на Вашей флэшке, можно просто дописать имя папки в адресной строке. А полностью вернуть видимость папок можно либо через пункт меню «Сервис» – «Свойства папки», войдя во вкладку «Вид» и поставив галочки напротив пунктов «Показывать скрытые файлы и папки» и  «Отображать содержимое системных папок».

Но не всегда все так просто. Вирус может просто повредить меню проводника и функция отображения скрытых папок не будет работать. В этом случае нам понадобится или более чистый компьютер, в котором эта функция работает или, к примеру, Total Commander. Тотал Коммандер хорош тем, что ему абсолютно побоку все настройки Вашей системы и он прекрасно отображает все скрытые папки. Кстати, помечает он эти папки восклицательным знаком. Выделив папки с помощью мыши и клавиши Shift, лезем в меню «Файлы» – «Изменить атрибуты» и убираем галочки со всех атрибутов, завершая сие действие щелчком по кнопочке ОК.

Ну и напоследок, чтобы починить проводник и снова сделать рабочим возможность отображения скрытых папок, нам понадобится AVZ. Запускаем «Мастер поиска и устранения проблем» через меню «Файл». Далее – «Категория проблемы: системные проблемы», «Степень опасности: все проблемы» и жмем «Пуск». После сканирования появится строка, извещающая о проблемах с проводником (уж простите, точное название не помню – пишу на компьютере без таковых проблем), ставим напротив нее галочку и жмем «Исправить отмеченные проблемы».

Сисадминский анекдот:

- Ваша методика при написании диплома?

- Контрол Це – Контрол Вэ.

Предлагаю Вашему вниманию вторую статью Валерия Казанцева. Еще раз спасибо ему за предоставленный материал.

Второй косяк произошёл почти недавно с корзиной после AVZ. В этой программе я решил пройтись «Мастер поиска и исправления проблем» нажимая на все пункты и исправляя все рекомендации. После закрыв программу я увидел что корзина полная, нажал на очистку где корзина начала стонать типа один файл не может удалить, ну как это обычно бывает после перезагрузки можно удалить. Делаю перезагрузку на что после запуска системы Корзина начала выдавать сообщение мол она повреждена и этот файл не удаляется и кстати восстановить его тоже нельзя было.

Долго не размышляя раскрываю системные и скрытые папки захожу в C:\ где собственно и находится корзина $Recycle.Bin  и там как оказался этот файл находился аж в восьми папках, хотя в корзине было видно тока сам файл, пройдясь до заветного файла я заметил что корзина ругается на наименование самого файла более 325 символов в названии абракадабра .jpg. Короче зажал левой кнопкой все папки в котором находился файл и перетащил на рабочий стол. Кстати саму папку с циферками её не стал трогать – это видимо папка для обозначения в реестре. На что ещё раз руганулась корзина что она такая несчастная и больная и через пару сек успокоилась.

Стал просматривать сам файл, как оказалось не только в абракадабре дело было но ещё и в объёме при наведении указателя говорилось что файл 0кб, а если раскрыть свойства папки со всеми вложенными папками и самим файлом 325кб. Потом я заново как то машинально переместил в корзину где и нажал таки на пункт очистки.

Вот такая зараза попадает к нам во временные папки.

Автор: Валерий Казанцев

Сисадминский анекдот:

Два мужика разговаривают:

- Почему твой сын так быстро растет, за уши тянешь, что ли?

- Не, я просто монитор каждый месяц на 5 см поднимаю!

Сделал небольшую подборочку полезных утилит, которые должны быть не только в арсенале каждого сисадмина, но и у обычного пользователя, поскольку эти тулзы действительно облегчают жизнь.

1. AVZ – многофункциональная утилита для выявления вредоносных файлов в системе. Кроме нахождения вирусов, способна восстанавливать систему после вирусных атак. Настоятельно рекомендую.
Скачать AVZ

2. USB Guard – утилита для защиты компьютера от вирусов, расположенных на сменных носителях (флешки, компакт-диски, дискеты, карты памяти). Автоматически включается при подключении к компьютеру любого носителя. Замечательный инструмент для борьбы с авторанами.
Скачать USB Guard

3. Process Explorer – аналог стандартного диспетчера задач с расширенными возможностями. Дает более развернутую информацию о каждом запущенном процессе и о количестве потребляемых ресурсов.
Скачать Process Explorer

4. File Format Converter – утилита предназначена для чтения и изменения файлов, созданных в Microsoft Office 2007 через Microsoft Office 2003.
Скачать File Format Converter

5. Unlocker – утилита для удаления «неудаляемых» файлов, постоянно занятых непонятными приложениями. Встраивается в контекстное меню «правой кнопки мыши».
Скачать Unlocker

6. CPU-Z – утилита позволяет не разбирая системный блок получить исчерпывающие сведения о все содержимом ПК (характеристика и модель процессора, материнской платы чипсета, установленных планок оперативной памяти и видеокарты).
Скачать CPU-Z

Большинство из утилит не требуют установки или же устанавливаются в фоновом режиме, так что если вы запустили файл и ничего не произошло, не спешите качать архив заново – просто проверьте рабочий стол на наличие значка с уже установленной утилитой.

Сисадминский анекдот:

Едем мы как-то в лифте. Товарищ нажимает кнопку нужного этажа – лифт не едет. Товарищ нажимает второй раз – двери закрываются, и лифт едет. Я глубокомысленно изрекаю: «Здесь двойной щелчок нужен».

После обнаружения некоторых недоработок в антивирусе DrWeb 4.44, решил некоторое время обходиться без него, как оказалось – зря! Буквально через пару дней подхватил вирус, а может быть и не один.

Происходило следующее – сразу же после загрузки Windows XP, экран на ноутбуке начинал мигать как бешеный, причем никакое сочетание клавиш не могло остановить этот процесс. Промелькнула мысль о поломке видеокарты, но в это никак не хотелось верить, ведь карточка встроенная в ноут и менять ее непросто. Безопасный режим был заблокирован, что навело на мысли о работе вируса. Мысли подтвердились после того, как система успешно загрузилась с LiveCD и никаких проблем с экраном не наблюдалось.

Решил снова загрузить свою зараженную систему. Экран по-прежнему мигал, но спустя несколько минут все как рукой сняло. Получив-таки в свои руки управление системой, принялся за поиск неисправностей. Запустил DrWeb CureIt!, который нашел пару вирусов, но после перезагрузки история повторилась. В автозагрузке нашел лишний процесс ctfmon, отключил – не помогло. Проверка AVZ показала следующую проблему – «отладчик ctfmon.exe – wmisftk.exe». Т.е. в сторону ctfmon копали не зря – проблемным является файл wmisftk.exe.

Пока занимался поиском неисправности, понял механизм вируса – после запуска он определенное количество раз запускает (к примеру, раз 50) и закрывает процесс cmd.exe, который эмулирует командную строку MS-DOS – именно с этим связано мигание экрана – с переходом в эмуляцию DOS и обратно.

В «Диспетчере процессов» AVZ нашел запущенный wmisftk.exe, помеченный красным цветом, после завершения этого процесса экран снова начал мигать. Ну помигало-помигало и перестало, зато процесс wmisftk.exe снова вернулся в диспетчер процессов. Начал искать его расположение. AVZ указал в папку C:Windowssystem32, но файл имел атрибуты «скрытый» и «системный» и блокировал отображение подобных файлов. Загрузившись с LiveCD, я удалил файл wmisftk.exe, после чего проблема исчезла.

Но появилась проблема другая – не переключалась раскладка клавиатуры – это именно то, за что отвечает процесс ctfmon. При ручном запуске ctfmon.exe (расположен он также в папке C:Windowssystem32) система выдавала следующее: «Windows не удалось найти C:Windowssystem32ctfmon.exe. Проверьте, что имя было введено правильно, и повторите попытку», хотя файл располагался именно там, где и должен быть. Очевидно, вирус малость погрыз реестр. Но, поскольку реестр – это дело темное, то выход был найден следующий: переименовываем файл ctfmon.exe, к примеру, в файл ctfmon2.exe и добавляем в автозагрузку – «Пуск» – «Все программы» – «Автозагрузка».

Подведем итог:

1. Удалить любым возможным способом файл c:windowssystem32wmisftk.exe.

2. Переименовать ctfmon.exe и добавить в автозагрузку.

Мораль: без антивируса в сеть не лезь!!!

Сисадминский анекдот:

Пьяный русский хакер практически непобедим.