Все записи с меткой ‘DrWeb’

После обнаружения некоторых недоработок в антивирусе DrWeb 4.44, решил некоторое время обходиться без него, как оказалось – зря! Буквально через пару дней подхватил вирус, а может быть и не один.

Происходило следующее – сразу же после загрузки Windows XP, экран на ноутбуке начинал мигать как бешеный, причем никакое сочетание клавиш не могло остановить этот процесс. Промелькнула мысль о поломке видеокарты, но в это никак не хотелось верить, ведь карточка встроенная в ноут и менять ее непросто. Безопасный режим был заблокирован, что навело на мысли о работе вируса. Мысли подтвердились после того, как система успешно загрузилась с LiveCD и никаких проблем с экраном не наблюдалось.

Решил снова загрузить свою зараженную систему. Экран по-прежнему мигал, но спустя несколько минут все как рукой сняло. Получив-таки в свои руки управление системой, принялся за поиск неисправностей. Запустил DrWeb CureIt!, который нашел пару вирусов, но после перезагрузки история повторилась. В автозагрузке нашел лишний процесс ctfmon, отключил – не помогло. Проверка AVZ показала следующую проблему – «отладчик ctfmon.exe – wmisftk.exe». Т.е. в сторону ctfmon копали не зря – проблемным является файл wmisftk.exe.

Пока занимался поиском неисправности, понял механизм вируса – после запуска он определенное количество раз запускает (к примеру, раз 50) и закрывает процесс cmd.exe, который эмулирует командную строку MS-DOS – именно с этим связано мигание экрана – с переходом в эмуляцию DOS и обратно.

В «Диспетчере процессов» AVZ нашел запущенный wmisftk.exe, помеченный красным цветом, после завершения этого процесса экран снова начал мигать. Ну помигало-помигало и перестало, зато процесс wmisftk.exe снова вернулся в диспетчер процессов. Начал искать его расположение. AVZ указал в папку C:Windowssystem32, но файл имел атрибуты «скрытый» и «системный» и блокировал отображение подобных файлов. Загрузившись с LiveCD, я удалил файл wmisftk.exe, после чего проблема исчезла.

Но появилась проблема другая – не переключалась раскладка клавиатуры – это именно то, за что отвечает процесс ctfmon. При ручном запуске ctfmon.exe (расположен он также в папке C:Windowssystem32) система выдавала следующее: «Windows не удалось найти C:Windowssystem32ctfmon.exe. Проверьте, что имя было введено правильно, и повторите попытку», хотя файл располагался именно там, где и должен быть. Очевидно, вирус малость погрыз реестр. Но, поскольку реестр – это дело темное, то выход был найден следующий: переименовываем файл ctfmon.exe, к примеру, в файл ctfmon2.exe и добавляем в автозагрузку – «Пуск» – «Все программы» – «Автозагрузка».

Подведем итог:

1. Удалить любым возможным способом файл c:windowssystem32wmisftk.exe.

2. Переименовать ctfmon.exe и добавить в автозагрузку.

Мораль: без антивируса в сеть не лезь!!!

Сисадминский анекдот:

Пьяный русский хакер практически непобедим.

Недавно попался как мальчишка – скачал русификатор на какую-то игру и без задней мысли установил его. DrWeb ругнулся, но я проигнорировал – уж очень хотелось русифицировать. В итоге я сам себе установил вирус, после которого посреди рабочего стола появился неубираемый рекламный баннер, размещающийся поверх всех окон. Правда, спустя несколько минут он убирался сам, но все же доставлял определенный дискомфорт. Чтобы его убрать, естественно нужно было отправить смс – в моем случае это был номер 4125 (также известен под номером 7132). В заголовке окна баннера была надпись «Появились новые товары (для постоянных клиентов магазина» и в самом окне описание и стоимость товаров сексуально-извращенческого характера. Такой вот вирусный маркетинг.

Подобные вирусы также помещаются в электронные книги, работающие через запускаемый .exe файл. Производителей подобного чуда известно пока 4 – Adrive, AdSubscribe, Cmedia и FieryAds. Лечится это дело следующим способом – открываем папку C:\Documents and Settings\Имя пользователя\Application Data. Вместо имени ползователя, естественно должно быть имя вашей учетной записи Windows, ну и диск может быть не обязательно С, а тот, на котором у вас установлена операционная система. Стоит также учесть, что папка Application Data имеет атрибуты скрытый и системный, поэтому для ее отображение необходимо включить показ системных и скрытых файлов во вкладке «Сервис» – «Свойства папки» – «Вид». Или же открыть эту папку через Total Commander.

Попав наконец-таки в папку Application Data, находим и удаляем папки Adrive, AdSubscribe, Cmedia или FieryAds. Все, на этом процесс удаления вируса завершен.

З.Ы. В ОС Vista папки Adrive, AdSubscribe, Cmedia и FieryAds стоит искать по следующему пути – C:\Users\Имя пользователя\AppData\Roaming. Если папки не хотят удаляться – пользуемся утилитой Unlocker.

Сисадминский анекдот:

Насильник – программист на Си.
Подмышка – коврик для мыши.

Буквально на днях заметил один «косячок» в работе антивируса DrWeb 4.44. Началось все с того, что большинство игр/приложений с включенным антивирусом работали очень медленно и частенько подвисали. В принципе, не новость что любой антивирус расходует немалые объемы оперативной памяти. Но дело в том, что с памятью как раз-таки все было в порядке – тратился чрезмерный объем процессорного времени.

А именно – процесс system отбирал порядка 90-100% ресурсов центрального процессора. Открыв Process Explorer, обнаружил, что вся нагрузка исходит от файла spider.sys, который является одной из составляющих антивируса DrWeb. Решив, что spider.sys, возможно, заражен – переустановил антивирус, но проблема так и осталась.

Естественно, не хотелось отказываться от такого замечательного антивируса, поскольку через пару дней после его удаления я нахватал порядочное количество вирусов. И все же выход был найден – для того, чтобы spider.sys не нагружал процессор, необходимо добавить этот файл в список исключений DrWeb. Делается это следующим образом: щелкаем правой кнопкой мыши на значке (паучке) DrWeb в трее, выбираем «Настройки», затем вкладку «Исключения». Щелкаем в этой вкладке на значок в виде трех точек и открываем путь к файлу spider.sys – C:\Program Files\DrWeb\spider.sys, нажимаем ОК и «Добавить». Потом щелкаем «Применить» и еще разок ОК, после чего перезагружаемся для пущей уверенности. Теперь нагрузок на процесс system со стороны spider.sys не должно возникать.

Не знаю, с чем связана эта проблема, на разных машинах она появляется спустя разное время, а может и не появиться вовсе. Загадка…

Сисадминский анекдот:

Оказывается, Билл Гейтс ничуть не был обескуражен скандальным зависом его детища – системы Windows 2000 – во время одной демонстрации. «Мы хотели продемонстрировать все возможности новой системы, и мы сделали это!» – заявил Билл журналистам.

Спешу поздравить вас и нас с новым подарочком от компании DrWeb – утилитой DrWeb CureNet! (обязательно нужно писать с восклицательным знаком, ибо восторг реально присутствует).

Собственно, DrWeb CureNet! – это наш старый знакомый DrWeb CureIt!, в новой оберточке и с невероятным функционалом. Его отличительной особенностью является возможность проверки всех компьютеров, входящих в локальную сеть. Теперь не будет сисадмина, втыкающего в каждый комп флэшку с нормальным антивиром – достаточно запустить DrWeb CureNet! на одном компьютере и он автоматически обнаружит все машины, включенные в сеть.

Далее, на каждую машину отправляется запускаемый файл сканера и уже начинает работать на конечной машине локально. После завершения проверки и устранения всех проблем, разосланные по всем компьютерам сканеры удаляются, а на главный комп отправляется общий отчет. К плюсам еще можно отнести то, что загружен не один компьютер, а нагрузка распределена на каждую машину в отдельности и при этом DrWeb CureNet! не конфликтует с другими установленными антивирусами.

Все это хорошо и замечательно, но на этом замечательности не заканчиваются. До 1 ноября 2009 года каждый сисадмин (и не только сисадмин) может скачать дистрибутив по ссылке DrWeb CureNet! и получить однодневную лицензию на сеть в 100 компьютеров. Думаю, дня вам вполне хватит чтоб навести порядок в вашей сети. В общем, юзаем и радуемсо.

Сисадминский анекдот:

Лаборатория Е. Касперского объявляет о распространении в Сети нового компьютерного вируса, уничтожающего всю инфу на жестком диске. Всем юзерам настоятельно рекомендуется перед подключением к Сети надевать на модем презерватив.

Настало время подвести итоги опроса, результаты которого, правда, оказались довольно скромными – в опросе участвовали всего 39 человек. Виной всему эксперименты с блогом и необузданный нрав Яндекса, который забанил блог на месяц. К счастью, сейчас все снова в порядке и все страницы в индексе, что дает надежды на большую активность во время следующего опроса. Итак, результаты опроса «Каким антивирусом вы пользуетесь?» оказались следующими:

1. Как и следовало ожидать, большинство опрошенных пользуется антивирусом Касперского, за него проголосовало 30%. Неудивительно – коммерческий проект, направленный в массы, причем неплохо финансируемый.

2. Второе место досталось NOD32 – 23%.

3. Третью строчку занимает антивирус DrWeb, получивший 15% голосов.

Особо порадовал тот факт, что 12% опрошенных самостоятельно занимается отловом вирусов, выходит, не все так плохо. Гораздо меньшей популярностью пользуются антивирусы Avast, Avira и AVG, получившие лишь 5-7% голосов.

Лично я свой голос отдал за антивирус DrWeb, хотя на работе, за неимением лучшего, пользуюсь антивирусом Касперского, после которого приходится еще вдобавок бороться с вирусами самостоятельно. Таким образом, мне в опросе пришлось разрываться между тремя вариантами.