Я ИТ специалист или Жизнь ИТшника Это блог о моей работе, жизни и увлечениях! Решим ИТ проблемы вместе!

7Ноя/110

Что такое антивирус?

Практически каждый пользователей компьютера сталкивался с проблемой заражения системы вирусами. По сути, вирус – это обычная программа, однако в отличие от классического ПО, вирус старается всячески навредить информации, находящейся на жёстком диске.

Что такое антивирус?

20Фев/111

Редактирование реестра запрещено администратором системы — устраняем последствия вируса

За последние несколько дней, одна из самых популярных тем в моем блоге, это способ вылечить вирус блокировщик:  Windows заблокирован! Microsoft Security. В этом контексте, это самый простой и надежный способ вылечить данную модификацию блокировщика, но ведь они бывают разными.

Некоторые можно вполне легко удалить, но после себя они оставляют множество изменений в реестре и настройках системы, которые очень мешают работе. В любом случае это можно починить, но для начала лучше всего скачать и прогнать один раз, бесплатный удялятор вирусов  Cureit, который прекрасно вычищает всю заразу.

Если при запуске редактора реестра regedit.exe Вы получаете сообщение "Редактирование реестра запрещено администратором системы", то это означает что вирус запретил изменения реестра.

Редактирование реестра запрещено администратором системы - устраняем последствия вируса

Есть два пути решения проблемы

22Янв/11110

Windows заблокирован! Microsoft Security обнаружил нарушения использования сети интернет

Пожалуй моя копилка записей о борьбе с вирусами пополнилась еще одним экземпляром.

Windows заблокирован!
Microsoft Security обнаружил нарушения использования сети интернет.
Причина: Вы смотрели фильмы содержащие гей-порно.
Для разблокировки Windows необходимо:
Пополнить номер абонента Билайн 8-963-328-45-78 на сумму 400 рублей.
Оплатить можно через терминалы для оплаты сотовой связи.
После оплаты, на выданном терминалом чеке, Вы найдете Ваш персональный код разблокировки, который необходимо ввести ниже.

Если в течение 12 часов с момента появления данного сообщения не будет введен код, все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ! Попытка переустановить систему приведет к нарушениям работы компьютера.

Лазил по сети. На каком то из сайтов  вдруг зацепился за вируса трояна winlocker.  Он явно воспользовался какой-то новой уязвимостью виндовс. т.к.   браузер у меня Chrome, а windows 7 с последними обновлениями. Антивирус его не палит, и НОД32 так же пропустил, что в принципе для современного полиморфа не особо сложная задача .

17Ноя/108

Лечим баннер: Пополните счет абонента билайн

Итак на моем операционном столе очередной пациент. На сей раз это баннер черного цвета с красным текстом:

Пополните счет абонента Билайн  8965 375 2418 на сумму 370 рублей после чего вы найдете на выданном терминалом чеке код ... бла бла бла..

не вижу смысл приводить это бред написанный 14летним подростком. Почему 14 летним? да потому что это феерически глупый троян с очень глупой текстовкой. Телефон кстати  может быть другой, это сути дела не меняет, это творение одного человека.

Лечится элементарно:

16Мар/100

Очередной WinLocker

Первый реальный троян за последний год которого я вижу в корпоративной сети, абсолютно новый, у касперского даже нет описания, только имя ему 15го марта присвоили.

Где и как его умудрился поймать работник ума не приложу. Symantec его не знает и даже не пикнул, впрочем у пользователя все равно ограниченые права и максимум что троян смог, это прописался в автозагрузку для этого пользователя. Причем я могу запустить тот же taskmgr со  своими правами и прерасно его видеть и убить, правда он запускается в двух экземплярах и по одному не убивается, оставшийся сразу запускает себе пару.

Вылечил очень просто,   запустил консольку и выполнил команду  taskkill /f /im sfogcydx.exe

Потом  почистил автозагрузку и отправил на анализ в symantec.

Ну а еще я использовал бесплатный софт CureIT от DrWeb. Впрочем он ничего не нашел т.к. и не было ничего больше. Семантик несмотря на тормознутость вполне эффективно справляется со своей работой.

Враг не пройдет:)

4Фев/100

ВИРУСы и трояны заполонили интернет

Что удивительно, если смотреть статистику посещений блога самые популярные записи связаны в вирусами и вымогателями денег. Примерно 40% посетителей следуют инструкциям по удалению вируса и наверняка излечиваются, но коментариев увы не оставляют.
Люди если какая то программа (вирус троян и т.п.) вымогает у вас денег, просит отправить SMS и т.п. не делайте этого!!! Вылечить такой вирус можно и даже довольно просто!
Если у вас вирус просит отправить код на номер 5121 и маскируется под якобы антивирус Internet security прочитать как вылечиться можно тут
Если вирус маскируется под "ПО Toget Access" и просит СМС на номер 1350 то инструкция по лечению тут
т.к. подобные вирусы существуют в большом количестве у них могут быть другие коды и номера. Большую часть можно подобрать по адресу http://www.drweb.com/unlocker/index/?lng=ru
а остальные найти в интернете. Например на форуме ixbt http://www.ixbit.ru/forum?open=1239364609_732

P.S. Последнее время в Интернете очень просто попасться на удочку к мошенникам. Они раскинули свои сети в Сети и делают свое черное дело. Вот такая вот аналогия с рыбаками. Кстати о рыбалке: рыбалка в Астрахани это нечто! в дельте Волги есть специальные рыболовные базы и базы отдыха. Туда приезжают и ловят такую рыбу, что потом остаются незабываемые впечатления!

Метки записи: , Нет комментариев
2Фев/101

внимание internet security обнаружил вредоносное по на вашем компьютере

Принесли еще один ноутбук, а на нем еще один вирус
Простой способ лечения:
Появляется окно "внимание internet security обнаружил вредоносное по на вашем компьютере"

отправьте sms  a507815200 на номер 5121

ну естественно все позаблокировано, программы не запускаются и т.п.

Лечим:

идем по адресу http://www.drweb.com/unlocker/index/?lng=ru

в предложенное окошко вводим  код  который просит отправить вымогатель, а полученный код вставляем в трояна, комп перезагрузится. и вроде как работает. Теперь необходимо вылечить все оставшиеся следы и ошметки от вируса

Качаем бесплатную утилиту Cure it  и прогоняем ее по компу, Затем ставим нормальный антивирус и обновляем его.

25Янв/108

Очередной вымогатель денег

принесли "посмотреть ноутбук"
мол денег просит, 🙂 как обычно, где-то поймали трояна, который просит отправить SMS.
Мне понравилась формулировка шантажиста:

Вам был предоставлен бесплатный час доступа к порноматериалам,
Пробный период использования истек Доступ в сеть заблокирован!

Уведомление о необходимости активации ПО Toget Access.
Для активации ПО Toget Access необходимо отправить смс на номер 1350 с цифрами 532057268.
Внимание!!!! Попытка обмануть систему активации может причинить вред компьютеру.

Все это большими буквами на красном фоне

Самое интересное пользователь не далее как вчера КУПИЛ в магазине AVP2010, обновил его и после этого поймал трояна.
Хотя надо еще уточнить где это он его купил, а то может это троян и был:)
В общем приступаю к лечению.

Как обычно в таких случаях окно несворачиваемое, сделать особо ничего нельзя.
В инете нашел код активации (3097) который подошел и надоедливое окно убралось.
Затем убираем эту гадость из реестра

Должно быть так

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000

у меня было "Userinit"="\\.\globalroot\systemroot\system32\userinit.exe,"
Второго параметра может не быть совсем, это тоже нормально.
Ну и самое главное ставим Антивирус (Nod32, Kaspersky, Symantec, Dr. Web любой какой вам нравится).
Обновляем его и делаем полную проверку системы.

Для того что бы в будущем подобного не возникало необходимо всегда иметь обновленный рабочий антивирус, отключить автозапуск с флешек, не отключать файрвол и всегда обновлять windows.Ну и не стоит посещать сомнительных сайтов пестрящих порнобаннерами...:) и запускать всякую ерунду присылаемую по почте.