• Уважаемые гости и новички, приветствуем Вас на нашем форуме
    Здесь вы можете найти ответы практически на все свои вопросы о серии игр «Готика» (в том числе различных модах на нее), «Ведьмак», «Ризен», «Древние свитки», «Эра дракона» и о многих других играх. Можете также узнать свежие новости о разработке новых проектов, восхититься творчеством наших форумчан, либо самим показать, что вы умеете. Ну и наконец, можете обсудить общие увлечения или просто весело пообщаться с посетителями «Таверны».

    Чтобы получить возможность писать на форуме, оставьте сообщение в этой теме.
    Удачи!

Вирусные эпидемии

Flamen

Участник форума
Регистрация
28 Янв 2009
Сообщения
4.838
Благодарности
2
Баллы
325
Внимание!!! тема предназначена для описания вирусов, свирепствующих в тот или иной промежуток времени, а также способов избавления от них.

Если у Вас какие-то проблемы на компьютере, и Вы только ищете помощи и не имеете готового решения, то Вам сюда*flowers*
__________________________________________________________________________

Winlock
(сообщение о блокировки Windows)
Компания "Доктор Веб" предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты.

В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников - новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег.


Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (владельцы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения - 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

Источник

Боремся
Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander:

– вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter;

– внизу появится строка состояния Starting Winternals ERD Commander;

– после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration;

– в окне Welcome to ERD Commander выберите свою ОС –> OK;

– когда загрузится Рабочий Стол, дважды щелкните значок My Computer;

– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);

– удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd>.tmp (может иметь атрибуты Скрытый, Системный, Только чтение);

– закройте окно ERD Commander Explorer;

– нажмите Start –> Administrative Tools –> RegEdit;

– в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];

– исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd>.tmp;

– в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe;

– закройте окно ERD Commander Registry Editor;

– нажмите Start –> Log Off –> Restart –> OK;

– во время перезагрузки нажмите Delete для входа в CMOS Setup Utility;

– установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка;

– загрузите Windows в обычном режиме;

– проверьте систему антивирусом со свежими базами.

Примечания

1. Внимание! Не поддавайтесь на уловки вирусописателей, – не отправляйте sms по указанному номеру, не дарите деньги вымогателям, создавшим вирус.

2. Кстати, установочный файл вируса-блокировщика, как правило, снабжен «лицензионным пользовательским соглашением», в котором упоминается возможность блокировки ПК. Пользователи фактически добровольно соглашаются на установку зловреда на свой ПК: кто читает при установке программ эти самые лицензионные соглашения? Тем более, что некоторые версии вируса-блокировщика практически не оставляют шансов сколько-нибудь подробно ознакомиться с пользовательским соглашением, показывая его лишь на несколько секунд (или же вовсе не показывая его!), а затем автоматически устанавливаются в систему. Но в любом случае пользователь устанавливает зловреда в систему сам!..

3. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами.

Источник(также на сайте источника, присутствует скрипт, по которому можно получить код активации)

IM-Worm.Win32.QiMiral.x (Заразные ссылки в "аське")

По русскоязычным IM-каналам прокатилась волна новой инфекции, в результате которой многие потеряли доступ к своим аккаунтам.

Пользователи ICQ, QIP, Miranda и пр. стали получать от знакомых сообщения, предлагающие скачать по ссылке файл Piggy.zip. При запуске он выводит флэш-картинку с изображением симпатичной свинки и надписью «Вы инфицированы вирусом N1H1».

Вредоносной программе, упрятанной в архив, ЛК присвоила наименование IM-Worm.Win32.QiMiral.x. Она мгновенно меняет учетные данные и начинает рассылать спам со «свинской» ссылкой по всем контактам пользователя. Как и Hoax.Win32.IMPass.al, демонстрировавший головоломку с лягушками, зловред использует бот-компонент, способный поддержать простейший диалог, если собеседник не торопится загружать вредоносный файл и пускается в расспросы.

Боремся

Если вы получили аналогичное сообщение — НЕ ОТКРЫВАЙТЕ ССЫЛКУ. Если искушение было слишком велико и вы «подхватили вирус», проверьте диспетчер задач и проведите в компьютере поиск процессов и файлов piggy. Затем воспользуйтесь процедурой восстановления пароля, который после входа на сервис нужно будет сразу сменить. И не забудьте разослать по всему контакт-листу предупреждение, что пришедшее от вас сообщение со ссылкой на Piggy.zip опасно и файл скачивать нельзя. Вам также могут помочь обсуждения темы на форумах Kaspersky Lab, VirusInfo и в блоге ХабраХабр.

Будьте бдительны: злонамеренные сообщения в системе обмена мгновенными сообщениями — не редкость, ЛК регистрирует по 2-3 таких рассылки в неделю. По оценке экспертов, очередное «свинство» — самая массовая за последние полгода спам-кампания на IM-сервисе, и она еще не закончилась.

Источник

Koobface(червь социальных сетей)

«Лаборатория Касперского» предупредила о всплеске активности «червя» Koobface, заражающего сайты социальных сетей и способного собирать конфиденциальную информацию о пользователе.

Как говорится в сообщении компании, по наблюдениям группы исследователей «Лаборатории Касперского», в течение трех последних недель командные серверы Koobface отключались или подвергались лечению в среднем три раза в сутки. Командные серверы используются для посылки удаленных команд и обновлений на все компьютеры, зараженные данным червем.

Алгоритм заражения Koobface таков: комментарии и сообщения, отправляемые пользователям через зараженный аккаунт, содержат ссылку на подложный сайт YouTube, откуда под видом установочного файла новой версии проигрывателя Flash Player, к примеру, на компьютер пользователя попадает сетевой червь.

Боремся
Эксперты советуют по возможности не раскрывать в сети личную информацию: домашний адрес, телефонный номер и другие данные, а также использовать современные браузеры последних версий. В случае массовой эпидимии следует отключить обработчик java-сценариев. Защитить может проверенный антивирус.
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.177
Благодарности
16
Баллы
400
Re: Вирусная эпидемия

Есть такое дело. Сам не раз и не два сталкивался за последнее время. К счастью, почти всегда можно решить проблему без переустановки системы. В принципе, могу набросать примерный план борьбы с этой пакостью, благо все более-менее одинаково бывает:) Жрец, если найдешь хорошее решение, выложи. Если нет, я добавлю в шапку свой вариант что ли:)
 

siryksv

Участник форума
Регистрация
5 Окт 2009
Сообщения
567
Благодарности
1
Баллы
225

Flamen

Участник форума
Регистрация
28 Янв 2009
Сообщения
4.838
Благодарности
2
Баллы
325
Re: Вирусная эпидемия

Жрец, если найдешь хорошее решение, выложи. Если нет, я добавлю в шапку свой вариант что ли

Добавил ручной вариант устранения, автора и источник указал
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.177
Благодарности
16
Баллы
400
Re: Вирусная эпидемия

Имхо, автор перемудрил немного..Как соберусь с силами, все-таки поделюсь более коротким способом. Более универсальным:) Правда в отличие от этого "терапевтического" мой вариант скорее "хирургический"::)
 

soulless_665

Участник форума
Регистрация
3 Мар 2009
Сообщения
938
Благодарности
1
Баллы
185
Re: Вирусная эпидемия

у меня было что-то такое некоторое время назад, я просто зашел через безопасный режим и удалил из автозагрузки эту пакость и сам файл, и больше я о нем не слышал, может какая-то недоразвитая версия попалась
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.177
Благодарности
16
Баллы
400
Re: Вирусная эпидемия

soulless_665, да тебе повезло;)
 

Flamen

Участник форума
Регистрация
28 Янв 2009
Сообщения
4.838
Благодарности
2
Баллы
325
Заразные ссылки в «аське»

По русскоязычным IM-каналам прокатилась волна новой инфекции, в результате которой многие потеряли доступ к своим аккаунтам.

Пользователи ICQ, QIP, Miranda и пр. стали получать от знакомых сообщения, предлагающие скачать по ссылке файл Piggy.zip. При запуске он выводит флэш-картинку с изображением симпатичной свинки и надписью «Вы инфицированы вирусом N1H1».

Вредоносной программе, упрятанной в архив, ЛК присвоила наименование IM-Worm.Win32.QiMiral.x. Она мгновенно меняет учетные данные и начинает рассылать спам со «свинской» ссылкой по всем контактам пользователя. Как и Hoax.Win32.IMPass.al, демонстрировавший головоломку с лягушками, зловред использует бот-компонент, способный поддержать простейший диалог, если собеседник не торопится загружать вредоносный файл и пускается в расспросы.

Если вы получили аналогичное сообщение — НЕ ОТКРЫВАЙТЕ ССЫЛКУ. Если искушение было слишком велико и вы «подхватили вирус», проверьте диспетчер задач и проведите в компьютере поиск процессов и файлов piggy. Затем воспользуйтесь процедурой восстановления пароля, который после входа на сервис нужно будет сразу сменить. И не забудьте разослать по всему контакт-листу предупреждение, что пришедшее от вас сообщение со ссылкой на Piggy.zip опасно и файл скачивать нельзя. Вам также могут помочь обсуждения темы на форумах Kaspersky Lab, VirusInfo и в блоге ХабраХабр.

Будьте бдительны: злонамеренные сообщения в системе обмена мгновенными сообщениями — не редкость, ЛК регистрирует по 2-3 таких рассылки в неделю. По оценке экспертов, очередное «свинство» — самая массовая за последние полгода спам-кампания на IM-сервисе, и она еще не закончилась.

Источник
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.177
Благодарности
16
Баллы
400
Жрец, я обьединил темы, мы ведь не можем создавать по теме на каждый тип вирусни и.т.п.:D Давайте тут тогда обо всем сообщать и делиться способами "лечения". Название темы тоже немного подправил*flowers*
 

Flamen

Участник форума
Регистрация
28 Янв 2009
Сообщения
4.838
Благодарности
2
Баллы
325
Жрец, я обьединил темы, мы ведь не можем создавать по теме на каждый тип вирусни:D Давайте тут тогда обо всем сообщать и делиться способами "лечения". Название темы тоже немного подправил*flowers*

Окей*flowers* Думаю надо про каждую в шапку закинуть, и в спойлер спрятать, а перед спойлером название эпидемии написать:)
 

xterm

Участник форума
Регистрация
25 Июн 2009
Сообщения
5.177
Благодарности
16
Баллы
400
Жрец, да, исключительно полезная идея. Собственно весь подраздел для подобных вещей и создавался:) Давай тогда так: пишем название, тип, потом в первом спойлере описание, а во втором по соседству - способ лечения;)
 

Алексанчес

Участник форума
Регистрация
24 Дек 2009
Сообщения
919
Благодарности
2
Баллы
185
я пару недель назад подхватил этого блокиратора винды. Принёс хард другу, почистил с помощью програмки на сайте доктора веба, принёс домой - винда не запускается (только безопасный режим). Залез через него, всё разрешил в мсконфиг - эта зараза всё блокирует, в тч востановление системы. Я полез в администрирование, и вообще не нашёл там вкладки о нём. Недолго думая, кинул все важные файлы на флешку, и снёс винду. Вот и вся история моего лечения (хотя я не советую использовать настолько радикальные методы :D)
 

Coreward

Участник форума
Регистрация
14 Июн 2009
Сообщения
3.369
Благодарности
22
Баллы
330
А я недавно подхватил такую заразу, как Brontok. Скажу, штука назойливая и неприятная, хоть и написанная на VisualBasic. Что делает этот хмырь? Скрывает "Свойства папки", перезагружает печатную машинку после открытия Проводника и рассылает всякую хрень по почте. Может создавать на заражённом компьютере файлы .ехе-шники, которые легко отстрелять, т.к. зараза создаёт экзешники с точно таким же названием, где, в какой папке создан файл. Например, файл "Мои документы.ехе" в папке "Мои документы". Выглядит абсурдно и нелепо. Распространяются через флешки, почту, другие масс-сторедж устройства.
Паршивец явно хочет жить, а потому запрещает редактировать реестр, меняет настройки "Проводника" (скрытые файлы и папки, а также расширения файлов, юзер, увы, не увидит), а ко всему прочему файл вируса имеет такую же иконку, как и стандартные папки в WinXP, поэтому .exe файл при скрытых расширениях (а как же, файлы вируса обладают атрибутом "Скрытый") можно легко принять за папку и непреднамеренно запусть на выполнение.
Итак, подведём итоги нашего ознакомления. Свойства папки не открываются, при открытии Проводника или cmd компьютер улетает далеко и надолго, а в диспетчере задач появились странные процессы KesenjanganSosial.exe, smss.exe и crss.exe?
Тогда первым делом скачиваем небольшой файл для отката реестра. Он вернёт на места все изменения, внесённые заразой.
Далее лезем в появившиеся Свойства папки. Если нету - повторите операцию с файлом и подождите минуты две-три. Появилась? Отлично. Теперь полезли туда и отключили сокрытие скрытых файлов и папок, далее - по вкусу, что было (как удобнее), то и ставим.
Лезем в С:\Documents and Settings\<имя пользователя>\Local Settings\Application Data и наблюдаем там... csrss.exe, inetinfo.exe, lsass.exe, services.exe, smss.exe, svchost.exe, winlogon.exe. Фтопку. Если не наблюдаем - успел вычистить антивирус.
Всё. :)
 

Flamen

Участник форума
Регистрация
28 Янв 2009
Сообщения
4.838
Благодарности
2
Баллы
325
Добавил в шапку инфу о червячке Koobface
 
Сверху Снизу