Все записи с меткой ‘DrWeb CureIt’

Начну статью с извинений (в который раз уже). В январе мне совсем не удалось опубликовать чего-то дельного, вернее, совсем ничего не удалось опубликовать. Щас начну отмазываться)) Ну, во-первых, новогодние праздники. Во-вторых, три недели был на сессии в другом городе. Сессию сдал нормально – красный диплом на горизонте. В общем, свободного для размышлений времени не было совсем. В конце февраля – начале марта опять пропаду недели на три – гос. экзамены. Ну а пока можно что-нибудь и написать))

Теперь ближе к делу. В принципе, проблема довольно старая и в Сети полно ее решений, но т.к. материал на сессии неоткуда было брать, буду баянить. Суть проблемы – при открытии в браузере сайтов антивирусных компаний (drweb.ru, kaspersky.ru и т.д.), а также сайтов онлайн-антивирусов, браузер выдает ошибку, мол, страница не найдена.

Для начала можно проверить содержимое файла hosts на наличие записей об этих сайтах (файл hosts находится в папке C:\WINDOWS\system32\drivers\etc). Если таковые присутствуют – удалить их (записи).

Далее, проверяем адреса DNS-серверов для нашего Интернет-соединения. «Пуск» – «Панель управления» – «Сетевые подключения», щелкаем правой кнопкой мыши на «Подключении по локальной сети» и выбираем «Свойства». Во вкладке «Общие» в области «Компоненты, используемые этим подключением» находим строку «Протокол Интернета TCP/IP» и дважды щелкаем по ней. В открывшемся окне проверяем чтобы была включена опция «Получить адрес DNS-сервера автоматически».

Или же, если у Вас записан определенный IP, проверяем, чтоб поля DNS-серверов были пустыми.

Если не помогло, приступаем к третьему способу. Необходимо провести полную проверку компьютера на вирусы. Лучше всего для этой цели использовать DrWeb CureIt. Ну а поскольку сайт drweb.ru у Вас заблокирован, то качать его придется либо у друга, либо на работе или в компьютерном клубе. Или же можно попробовать скачать через анонимайзер (к примеру, Anonymouse.org) – лично не пробовал, но есть шанс на успех.

В результате проверки Вы обязательно найдете парочку вирусов. Но удалить их недостаточно. Нужно в редакторе реестра удалить определенную запись. Итак, открываем редактор реестра («Пуск» – «Выполнить» – regedit.exe) и в левой части окна редактора отправляемся по ветке – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes. Щелкнув по PersistentRoutes, в правой части окна редактора Вы увидите список из нескольких десятков IP адресов сайтов антивирусов. Собственно, эту запись нам нужно удалить. Щелкаем правой кнопкой мыши по PersistentRoutes и выбираем «Удалить». После этого рекомендую перезагрузить компьютер и модем.

В принципе, должно помочь. Напоследок, хочется заметить что запись PersistentRoutes может стать неплохим аналогом блокировки сайтов через файл hosts. Достаточно создать запись PersistentRoutes по вышеуказанной ветке и добавить в нее записи вида «IP сайта для блокировки, 255.255.255.0, 192.168.1.0, 1. В принципе, вид записи можно зреть на скрине выше. IP сайта можно получить, пропинговав его командой ping в консоли cmd.

Сисадминский анекдот:

Меня зовут Настя, осенью я пойду в 8-й класс. Моя проблема заключается в том, что у меня очень маленький жесткий диск. Есть ли какие-нибудь способы его увеличения? Девочки из класса надо мной смеются…

После обнаружения некоторых недоработок в антивирусе DrWeb 4.44, решил некоторое время обходиться без него, как оказалось – зря! Буквально через пару дней подхватил вирус, а может быть и не один.

Происходило следующее – сразу же после загрузки Windows XP, экран на ноутбуке начинал мигать как бешеный, причем никакое сочетание клавиш не могло остановить этот процесс. Промелькнула мысль о поломке видеокарты, но в это никак не хотелось верить, ведь карточка встроенная в ноут и менять ее непросто. Безопасный режим был заблокирован, что навело на мысли о работе вируса. Мысли подтвердились после того, как система успешно загрузилась с LiveCD и никаких проблем с экраном не наблюдалось.

Решил снова загрузить свою зараженную систему. Экран по-прежнему мигал, но спустя несколько минут все как рукой сняло. Получив-таки в свои руки управление системой, принялся за поиск неисправностей. Запустил DrWeb CureIt!, который нашел пару вирусов, но после перезагрузки история повторилась. В автозагрузке нашел лишний процесс ctfmon, отключил – не помогло. Проверка AVZ показала следующую проблему – «отладчик ctfmon.exe – wmisftk.exe». Т.е. в сторону ctfmon копали не зря – проблемным является файл wmisftk.exe.

Пока занимался поиском неисправности, понял механизм вируса – после запуска он определенное количество раз запускает (к примеру, раз 50) и закрывает процесс cmd.exe, который эмулирует командную строку MS-DOS – именно с этим связано мигание экрана – с переходом в эмуляцию DOS и обратно.

В «Диспетчере процессов» AVZ нашел запущенный wmisftk.exe, помеченный красным цветом, после завершения этого процесса экран снова начал мигать. Ну помигало-помигало и перестало, зато процесс wmisftk.exe снова вернулся в диспетчер процессов. Начал искать его расположение. AVZ указал в папку C:Windowssystem32, но файл имел атрибуты «скрытый» и «системный» и блокировал отображение подобных файлов. Загрузившись с LiveCD, я удалил файл wmisftk.exe, после чего проблема исчезла.

Но появилась проблема другая – не переключалась раскладка клавиатуры – это именно то, за что отвечает процесс ctfmon. При ручном запуске ctfmon.exe (расположен он также в папке C:Windowssystem32) система выдавала следующее: «Windows не удалось найти C:Windowssystem32ctfmon.exe. Проверьте, что имя было введено правильно, и повторите попытку», хотя файл располагался именно там, где и должен быть. Очевидно, вирус малость погрыз реестр. Но, поскольку реестр – это дело темное, то выход был найден следующий: переименовываем файл ctfmon.exe, к примеру, в файл ctfmon2.exe и добавляем в автозагрузку – «Пуск» – «Все программы» – «Автозагрузка».

Подведем итог:

1. Удалить любым возможным способом файл c:windowssystem32wmisftk.exe.

2. Переименовать ctfmon.exe и добавить в автозагрузку.

Мораль: без антивируса в сеть не лезь!!!

Сисадминский анекдот:

Пьяный русский хакер практически непобедим.

Спешу поздравить вас и нас с новым подарочком от компании DrWeb – утилитой DrWeb CureNet! (обязательно нужно писать с восклицательным знаком, ибо восторг реально присутствует).

Собственно, DrWeb CureNet! – это наш старый знакомый DrWeb CureIt!, в новой оберточке и с невероятным функционалом. Его отличительной особенностью является возможность проверки всех компьютеров, входящих в локальную сеть. Теперь не будет сисадмина, втыкающего в каждый комп флэшку с нормальным антивиром – достаточно запустить DrWeb CureNet! на одном компьютере и он автоматически обнаружит все машины, включенные в сеть.

Далее, на каждую машину отправляется запускаемый файл сканера и уже начинает работать на конечной машине локально. После завершения проверки и устранения всех проблем, разосланные по всем компьютерам сканеры удаляются, а на главный комп отправляется общий отчет. К плюсам еще можно отнести то, что загружен не один компьютер, а нагрузка распределена на каждую машину в отдельности и при этом DrWeb CureNet! не конфликтует с другими установленными антивирусами.

Все это хорошо и замечательно, но на этом замечательности не заканчиваются. До 1 ноября 2009 года каждый сисадмин (и не только сисадмин) может скачать дистрибутив по ссылке DrWeb CureNet! и получить однодневную лицензию на сеть в 100 компьютеров. Думаю, дня вам вполне хватит чтоб навести порядок в вашей сети. В общем, юзаем и радуемсо.

Сисадминский анекдот:

Лаборатория Е. Касперского объявляет о распространении в Сети нового компьютерного вируса, уничтожающего всю инфу на жестком диске. Всем юзерам настоятельно рекомендуется перед подключением к Сети надевать на модем презерватив.

Честно, достала уже эта тема. Очевидно, этот вирус приносит неплохие деньги его создателям, если так активно развивается. Перед тем, как начать разбор полетов и приступить к устранению очередной версии этой гадости, хотелось бы для удобства пользователей разместить ссылки на прошлые статьи о борьбе с разными версиями вируса.

СМС на короткий номер 2090 – Windows заблокирован

СМС на короткий номер 4161 – Windows заблокирован. Дубль два.

СМС на короткий номер 6008 – Windows заблокирован. Опять?!

Отмечу, что большинство способов из этих статей универсальны и могут помочь вам уничтожить этот вирус в различных его вариациях.

Ниже я публикую переписку с одной из читательниц, во время которой мы пытались убить вирус на расстоянии (Кашпировский нервно курит в сторонке).

Алена:

Здравствуйте, Александр. Я поймала вирус типа «Нелицензионная версия видовс! «но он не такой как описан у вас на сайте. у меня белый фон и черные буквы. смс на 3649, текст 212828. перерыла весь иннет ничего про него не нашла=( помогите

Александр:

Есть 2 универсальных способа:

№1.

Во время загрузки системы намайте на F8 и в появившемся меню выберите пункт «Безопасный режим». Если система загрузится, нажимаете Пуск – Все программы – Стандартные – Служебные – Восстановление системы. И выбираете контрольную точку, до которой необходимо восстановиться. Или же скачать DrWeb CureIt http://www.freedrweb.com/cureit/ и проверить компьютер.

№2.

Скачать образ диска DrWeb LiveCD http://www.freedrweb.com/livecd/ и записать на диск.
Затем вам нужно загрузиться с этого диска и провести полную проверку компьютера на вирусы.

Алена:

спасибо, но не получается. дело в том что когда я захожу в безопасный режим, он пишет что восстановление в этом режиме не возможно.
и я не поняла на счёт второго способа:как можно загрузиться с диска? и ещё у меня установлен антивирус есет, все равно нужен доктор веб?

Александр:

Поскольку у вас получается войти в безопасный режим, то в загрузке с диска нет надобности. Вам необходимо, войдя в безопасный режим, запустить DrWeb CureIt и провести полную проверку компьютера на вирусы. Только обязательно скачайте самую последнюю версию DrWeb CureIt. При этом DrWeb не конфликтует с другими антивирусами, поэтому есет помехой не станет.

И мой вам совет – меняйте антивирус.

Алена:

не заходит на сайты с drWeb, пыталась зайти на несколько других-никак. а вообще иннет работает

Александр:

попросите скачать знакомых… и вы ведь отправляете откуда-то электронную почту, значит инет на другом компе есть, на нем и скачайте, а флэшкой перенесите на неработающий комп.

Ну или когда выбираете загрузку в безопасном режиме, выберите загрузку в безопасном режиме с поддержкой сети (точно не помню, как называется, но там что-то про сеть и безопасный режим). Инет должен заработать.

Алена:

Большое спасибо за помощь! Вирус убит!=)

Александр:

Ну и отлично! Чем убили?

Алена:

Ну как вы и сказали drweb, только у меня он на сайт для скачки не хотел заходит, даже на других сайтах, я через флешку с др. компа. Когда перезагрузила комп и вируса не оказалось, я чуть потолок от счачтья не снесла. а мы уже договорились если не получится его уничтожить, виндовс переустанавливать.=) вы спасли 9 гб моих фоток.=)

Сисадминский анекдот:

Жена программера говорит мужу:
- Дорогой, я хочу ребенка!
- Ложись, ща проинсталлируем!

Если вы пользуетесь антивирусом Касперского, то в один прекрасный день (ну, может, совсем не прекрасный) можете столкнуться со следующей проблемой: при загрузке Windows, в момент приветствия, в правом верхнем углу экрана отсутствует надпись «Антивирус Касперского»; также отсутствует значок Касперского в трее; в контекстном меню, при нажатии правой кнопкой мыши на каком-либо носителе затенена строка «Проверить на вирусы» и вдобавок ко всему ручной запуск Касперского также невозможен.

Проблема состоит в том, что поскольку антивирус Касперского на сегодняшний день является самой популярной антивирусной программой, зачастую именно он становится первоочередной целью вирусов. Даже регулярные обновления антивируса Касперского не способны защитить ваш компьютер от подобной ситуации. Для решения этой проблемы необходимо скачать бесплатную утилиту DrWeb CureIt! по ссылке DrWeb CureIt! после чего запустить ее либо с флэшки, либо с компакт-диска на зараженном компьютере. Дело в том, что большинство вирусов способны блокировать запуск любой антивирусной программы с жесткого диска, но с внешнего носителя запуск всегда происходит нормально. Утилита DrWeb CureIt! представляет собой бесплатный антивирусный сканер из комплекта DrWeb, который оснащен самыми последними базами вирусов и не требует лицензионного ключа в течение недели (но ничто не мешает вам отмотать системные часы назад, для его запуска).

После этого выполните полную проверку утилитой DrWeb CureIt!, вылечите зараженные файлы, а неизлечимые файлы удалите и перезапустите компьютер. После перезагрузки все вернется на свои места и антивирус Касперского продолжит работу в прежнем режиме.