Все записи с меткой ‘вирусы’

В общем, решил для разнообразия ознакомиться с возможностями такой софтины как Adobe After Effects. На самом деле довольно мощный инструмент с огромными возможностями. А если его еще и прокачать всевозможными плагинами… ммм… просто сказка. Но как и все профессиональные инструменты, After Effects сразу оттолкнет новичка своим многообразием инструментов и самому во всем этом разобраться будет довольно сложно.

Но благо в сети можно найти сотни тысяч уже готовых проектов и просто добавить в них свой текст, картинки или видео. И получится вполне презентабельная вещь. К примеру, вот такой вот промо-ролик для сайта у меня получился:

Get the Flash Player to see this player.

Для начала объясню тем, кто здесь впервые, а также тем, кто здесь уже бывал – что такое винлок (winlock). Просто пару слов – своеобразная прелюдия)) Винлок – это вирус, блокирующий вход в операционную систему (в нашем случае, Windows XP) с целью выманивания у добропорядочных граждан платных СМСок. Винлоков существует превеликое множество, часть из которых действительно деактивируется после ввода полученного кода, а другая часть так и остается висеть, по-прежнему требуя отправить СМС. Но, как правило, для разблокировки требуется пройти тройную авторизацию (отправить 3 SMS) по 10$ каждая, т.е. в общей сумме примерно 900 рэ. Думаю, для большинства это довольно весомая сумма и пускать ее на ветер не рационально.

Универсальную инструкцию по удалению винлоков я уже выкладывал. Ознакомиться с ней (и воспользоваться) Вы можете в статье Xyecoc.net и другие. Но виросостроители не стоят на месте и современные винлоки стали поступать более подло по отношению к пользователям. Кроме стандартной поправки в реестре, теперь винлок перезаписывает значимые системные файлы. Мною была замечена перезапись файлов explorer.exe, userinit.exe и taskmgr.exe. Т.е. подменяется визуальная оболочка windows, процедура инициализации пользователя и диспетчер процессов.

В разных версиях винлоков может быть подменен либо один из этих файлов, либо сразу все три. Т.е. мы можем внести поправку в реестр, перезагрузить компьютер и увидеть вполне работоспособную систему, и работать в ней до тех пор, пока не вызовем диспетчер задач, после чего винлок снова заблокирует систему и опять же внесет поправку в реестр.

Чтобы узнать, какие конкретно файлы заменены, я делал следующее: загружался с LiveCD, вносил соответствующие поправки в реестр, удалял файл с оболочкой винлока, путь к которому прописан в параметре Userinit реестра, после чего выполнял стандартный поиск через проводник в папке Windows. Т.е. открываем «Мой компьютер», заходим в папку C:\Windows и запускаем «Поиск». На вопрос «Что вы хотите найти?», отвечаем «Файлы и папки». Далее, в строке «Часть имени файла или имя файла целиком» пишем «*.exe» без кавычек, т.е. ищем исполняемые файлы по маске. Теперь раскрываем опцию «Когда были произведены последние изменения», выбираем пункт «Указать диапазон» и указываем диапазон дат, начиная с даты заражения до сегодняшней даты.

Таким образом, в результате поиска мы получим наиболее вероятно зараженные файлы. У зараженных винлоком файлов есть еще две отличительных способности – одинаковая иконка файла, часто в виде помех на экране телевизора при отсутствии картинки, и одинаковый размер файла (обычно 12-13 Кб). Обладая этими знаниями, мы сможем обнаружить подмененные файлы. Рекомендую для начала обратить внимание конкретно на файлы explorer.exe, userinit.exe и taskmgr.exe.

После того как подмененные файлы были успешно обнаружены и удалены, у нас есть 2 варианта по восстановлению их первоначального состояния.

Во-первых, могу порекомендовать отличный реаниматор – ERD Commander. Если Вы серьезно занимаетесь восстановлением поврежденных ОС Windows – для Вас это просто бесценный инструмент. В данном случае, нас интересует функция Restore System – это стандартный виндосовский откат (восстановление системы), но работающий на мертвой Винде. Запускаем Restore System, делаем откат до даты, предшествующей заражению и имеем вполне работоспособную систему. Дело в том, что в момент заражения винлоком, система делает резервные копии файлов перед тем как винлок их перезапишет. Причем, самостоятельно)) Но этот способ недоступен, если в системе была заранее отключена функция восстановления.

Второй способ – просто найти необходимые файлы в интернете, либо скопировать с рабочей системы и заменить подмененные вирусом файлы на оригинальные. Но здесь важно не ошибиться со сборкой и версией сервис пака системы. Идеальный вариант – когда у Вас есть рабочая система установленная с того же дистрибутива, что и поврежденная. В любом случае, я выкладываю файлы explorer.exe, userinit.exe и taskmgr.exe со своей системы (Windows XP SP2, сборка 2600) в этом архиве. Может кому и сгодится))

Что-то мысля моя подрастянулась. В заголовке написал «Немного о винлоках», а оно вот вылилось в больше 4000 знаков. Но, думаю, это не повод менять заголовок)) Кстати, поиск по Яндекс.Картинкам по запросу «винлок» выдает фото Джозефа Винлока, астронома и математика)) И еще здесь, на сайте Доктор Вэба есть сказка про Винлока-Колобка.

Сисадминский анекдот:

Один неосторожный клик, и ты в порнухе.

В общем, попросили починить один компьютер. Вернее, не так – попросили подключить Интернет, диал-ап, мать его. Пришел, подключил внешний модем через Com-порт, поставил дрова… и машина зависла. И всё! Реанимировал минут 40, в итоге пациент оживал максимум на 2-3 минуты. Говорят: «Да он у нас странный, мы его на ремонт возили, там шнур на мониторе не контачит, мы вокруг него на цыпочках ходим». Пошурудил шнур раз ХХ-надцать – заработало! А шнур вмонтированный в монитор, т.е. без паяльника и пива можно не лезть. Забрал все это добро домой…

Дома подключил этот монитор к своему компу – все отлично работает. Их системник к своему монитору – не работает. Крутил, вертел этот бедный системник, перебрал оперативку, все комплектующие. В итоге расстроенный пошел спать. Утром (ближе к послеобеда) разобрал все по винтикам – зародилась мысль, что мать может коротить со стенками системника. Достал пылесос и методично продул все комплектующие и коробку системного блока. Собрал все обратно – работает без косяков третью неделю!))

Мораль: Пылесос – друг сисадмина!

Сисадминский анекдот:

Компьютер не подчиняется законам физики. Только в нем глюки возникают из ничего,

файлы исчезают в никуда, а объем измеряется в метрах и называется весом.

Начну статью с извинений (в который раз уже). В январе мне совсем не удалось опубликовать чего-то дельного, вернее, совсем ничего не удалось опубликовать. Щас начну отмазываться)) Ну, во-первых, новогодние праздники. Во-вторых, три недели был на сессии в другом городе. Сессию сдал нормально – красный диплом на горизонте. В общем, свободного для размышлений времени не было совсем. В конце февраля – начале марта опять пропаду недели на три – гос. экзамены. Ну а пока можно что-нибудь и написать))

Теперь ближе к делу. В принципе, проблема довольно старая и в Сети полно ее решений, но т.к. материал на сессии неоткуда было брать, буду баянить. Суть проблемы – при открытии в браузере сайтов антивирусных компаний (drweb.ru, kaspersky.ru и т.д.), а также сайтов онлайн-антивирусов, браузер выдает ошибку, мол, страница не найдена.

Для начала можно проверить содержимое файла hosts на наличие записей об этих сайтах (файл hosts находится в папке C:\WINDOWS\system32\drivers\etc). Если таковые присутствуют – удалить их (записи).

Далее, проверяем адреса DNS-серверов для нашего Интернет-соединения. «Пуск» – «Панель управления» – «Сетевые подключения», щелкаем правой кнопкой мыши на «Подключении по локальной сети» и выбираем «Свойства». Во вкладке «Общие» в области «Компоненты, используемые этим подключением» находим строку «Протокол Интернета TCP/IP» и дважды щелкаем по ней. В открывшемся окне проверяем чтобы была включена опция «Получить адрес DNS-сервера автоматически».

Или же, если у Вас записан определенный IP, проверяем, чтоб поля DNS-серверов были пустыми.

Если не помогло, приступаем к третьему способу. Необходимо провести полную проверку компьютера на вирусы. Лучше всего для этой цели использовать DrWeb CureIt. Ну а поскольку сайт drweb.ru у Вас заблокирован, то качать его придется либо у друга, либо на работе или в компьютерном клубе. Или же можно попробовать скачать через анонимайзер (к примеру, Anonymouse.org) – лично не пробовал, но есть шанс на успех.

В результате проверки Вы обязательно найдете парочку вирусов. Но удалить их недостаточно. Нужно в редакторе реестра удалить определенную запись. Итак, открываем редактор реестра («Пуск» – «Выполнить» – regedit.exe) и в левой части окна редактора отправляемся по ветке – HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes. Щелкнув по PersistentRoutes, в правой части окна редактора Вы увидите список из нескольких десятков IP адресов сайтов антивирусов. Собственно, эту запись нам нужно удалить. Щелкаем правой кнопкой мыши по PersistentRoutes и выбираем «Удалить». После этого рекомендую перезагрузить компьютер и модем.

В принципе, должно помочь. Напоследок, хочется заметить что запись PersistentRoutes может стать неплохим аналогом блокировки сайтов через файл hosts. Достаточно создать запись PersistentRoutes по вышеуказанной ветке и добавить в нее записи вида «IP сайта для блокировки, 255.255.255.0, 192.168.1.0, 1. В принципе, вид записи можно зреть на скрине выше. IP сайта можно получить, пропинговав его командой ping в консоли cmd.

Сисадминский анекдот:

Меня зовут Настя, осенью я пойду в 8-й класс. Моя проблема заключается в том, что у меня очень маленький жесткий диск. Есть ли какие-нибудь способы его увеличения? Девочки из класса надо мной смеются…

Предыдущий пост навеял один забавный момент))

Если у Вас в один «прекрасный» день пропали с флэшки все папки, не спешите паниковать. Существует такой простецкий вирус, который делает все папки скрытыми, а вместо них создает файлы с именем папки и расширением exe, причем иконка у этих файлов в точности похожа на стандартную иконку папки в Windows. Естественно, Вы ничего не подозревая, щелкаете по этой «папке» и тем самым самолично запускаете вирус. Папка, как ни в чем не бывало, откроется, но откроется в новом окне. А вирус в это время займется собственными делами. Причем расширение exe Вы даже и не заметите, ибо по умолчанию в Windows отключено отображение расширений для известных типов файлов.

Далее, при подключении флэшки к компьютеру с более-менее нормальным антивирусом, все эти файлы удаляются этим самым антивирусом. В результате чего Вы полностью теряете доступ к своим папкам через зараженные файлы.

Для доступа к скрытым папкам, в которые превратились все папки на Вашей флэшке, можно просто дописать имя папки в адресной строке. А полностью вернуть видимость папок можно либо через пункт меню «Сервис» – «Свойства папки», войдя во вкладку «Вид» и поставив галочки напротив пунктов «Показывать скрытые файлы и папки» и  «Отображать содержимое системных папок».

Но не всегда все так просто. Вирус может просто повредить меню проводника и функция отображения скрытых папок не будет работать. В этом случае нам понадобится или более чистый компьютер, в котором эта функция работает или, к примеру, Total Commander. Тотал Коммандер хорош тем, что ему абсолютно побоку все настройки Вашей системы и он прекрасно отображает все скрытые папки. Кстати, помечает он эти папки восклицательным знаком. Выделив папки с помощью мыши и клавиши Shift, лезем в меню «Файлы» – «Изменить атрибуты» и убираем галочки со всех атрибутов, завершая сие действие щелчком по кнопочке ОК.

Ну и напоследок, чтобы починить проводник и снова сделать рабочим возможность отображения скрытых папок, нам понадобится AVZ. Запускаем «Мастер поиска и устранения проблем» через меню «Файл». Далее – «Категория проблемы: системные проблемы», «Степень опасности: все проблемы» и жмем «Пуск». После сканирования появится строка, извещающая о проблемах с проводником (уж простите, точное название не помню – пишу на компьютере без таковых проблем), ставим напротив нее галочку и жмем «Исправить отмеченные проблемы».

Сисадминский анекдот:

- Ваша методика при написании диплома?

- Контрол Це – Контрол Вэ.