Социальные сети стали настоящим кладезем распространения вирусов в интернете.Опишем здесь еще один интересный вирус. Итак, вы установили антивирус и в один прекрасный день его просто не стало в вашей системе, на вашем ноутбуке, давайте разберемся. Как Вы уже поняли у вас вирус. Как же он попал на Ваш ноутбук, Вы ведь никуда не заходили, ничего не скачивали, а в результате вирус. Оказывается, есть такой вирус, вредоносная программа, распространяется с зараженного сайта в домене .ru под видом архивов с личной информацией, принадлежащей пользователям социальной сети В Контакте
Вирус называется Trojan.VkBase.1 Как он работает? Скачивается исполнительный exe-файл, который формируется на вредоносном сайте динамически, в зависимости от параметров поиска, которые ввёл пользователь. При запуске трояна выводится окно, внешне напоминающее интерфейс проводника Windows с содержащимися в нем необходимыми приватными сведениями. Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Далее производится перезагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей:
Kaspersky, Comodo, AGAVA, Symantec, McAfee, Avast, Avira, NOD 32.
Для перезагрузки системы в безопасном режиме Trojan.VkBase.1 редактирует системный файл boot.ini, в результате этих действий к параметрам загрузки системы добавляется параметр /safeboot:network, что соответствует запуску системы в безопасном режиме с поддержкой сети.
Для запуска сервиса вируса в безопасном режиме Windows, в системном реестре создаётся следующая запись:
HKLM\System\CurrentControlSet\Control\SafeBoot\Network\zipdrivers
После загрузки системы в безопасном режиме сервис вредоносной программы автоматически стартует и удаляет установленный в системе антивирус. Далее отключается сервис контроля учётных записей пользователей (UAC), а также вносятся изменения в работу системы, которые позволят впоследствии вирусу запускать исполняемые файлы, загружаемые из Интернета без уведомления пользователя.
Кроме того, программа создаёт свою копию в файле \WINDOWS\TEMP\tray_tmp.exe и дополнительно устанавливает себя на запуск в ветке системного реестра:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
После этого параметры загрузки системы возвращаются в исходное состояние и система перезагружается в обычном режиме, загружает с вредоносного сервера два исполняемых файла, именуются какTrojan.Winlock.2477 и Trojan.Fakealert.19448. Последний загружается лишь в том случае, если удаление установленного в системе антивируса завершилось успешно. Trojan.Winlock.2477 записывается в каталог Windows под именем win32boot.exe, после чего запускается. Trojan.Fakealert.19448 записывается в каталог Windows под именем av_soft.exe, после чего также запускается. Файл tray_tmp.exe после всех этих действий остаётся в системной папке и продолжает запускаться. При этом сервис zipdrivers также продолжает запускаться, хотя и остаётся неактивным. При своём запуске tray_tmp.exe проверяет наличие файла, соответствующегоTrojan.Winlock.2477 и в случае его отсутствия снова загружается с сервера и запускается.
Как видим ничего сложного, лечится элементарно с загрузки из того же лайф-CD (как удалить баннер способ 5). Запускаем редактор реестра, находим и лечим поврежденные ветки реестра, заходим через проводник, удаляем созданные файлы, затем проверяем ноутбук на вирусы. Рекомендуем воспользоваться сервисами Доктора Вэб. После чего загружаем ноутбук и проверяем все ли работает. Если самостоятельно не получается, мы можем вам помочь.
Стоимость услуги по удалению вируса с ноутбука 1000 рублей, сделаем в течение одного дня.Вирус блокирует сайты антивирусных программ.
Получила широкое распространение следующая проблема: антивирус не обновляется, при этом Вы знаете, что ключ рабочий. Смотрите файл hosts по ветке WINDOWS\system32\drivers\etc\hosts, все нормально. Что делать?Можно нам заплатить 500 рублей, а можно разобраться самим. Как это сделать сейчас расскажем.
Заходим в меню Пуск/Выполнить и вводим команду ping ftp.drweb.com, пингуем сайт DrWeb. В результате сайт не найден. Через команду nslookup ftp.drweb.com. узнаем ip-адрес сайта 81.176.67.170. Теперь опять следует пропинговать сайт, ping 81.176.67.170. Проделав эти манипуляции, мы убедились, что у нас на ноутбуке вирус. Закачиваем CureIT - продукт компании DrWeb, после ее запуска будет обнаружен вирусWin32.HLLW.Shadow.based. Именно этот вирус заблокировал ваши обновления.
Есть еще один способ, но он как показывает практика, менее эффективен. Заходим в меню Пуск/Выполнить, набираем CMD. Затем соответственно нажать Выполнить. Далее вводим route –f , жмем ввод. После того как окно закрылось, необходимо перезагрузить ПК. Вот и очистили кэш-маршруты, все заработало. Утилитой EConfickerRemover.zip или CureIT после этого пользоваться строго обязательно. Рекомендуем CureIT.
Напоминаем о лицензионности софта. При лицензионном софте, вирусы проникают значительно реже, чем при пиратском. Так, что выбор за Вами.
