adGuard - ОПАСНО ! - Троян. - [1] :: Программы :: Компьютерный форум Ru.Board

adGuard - фриварная баннерорезка , активно рекламируемая в Сети.
Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже
самых маститых рукитов . Большинством антивирей не определяется (за редким
исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно
"договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.

Что творит adGuard.

Изначально, в 10-15 протоколах TCP/IP подменяет штатную библиотеку mswsock.dll
на собственную adguarg.dll , начиная фактически провайдерствовать в Системе
параллельно "мелкомягким". Внешне это малозаметно : может немного подрастает
исходящий сетевой траф., чуток подтормаживает Инет , но выглядит всё благопристойно.
Самое интересное начинается при попытке деинсталяции : прога совершает последний массированный скачок в Сеть ,сливая хозяевам последнее недослитое (мой Outpost от
подобной наглости аж зашёлся) ,и благополучно (для себя) покидает комп , оставляя
испорченные протоколы TCP/IP и своего уже призрачного резидента в автозагрузе .
В итоге - полностью клинит Сеть и блокируется выход в Инет.

Как с этим бороться.

Рекомендую ещё ДО ДЕИНСТАЛЯЦИИ adGuard скачать программульку winsockxpfix.exe -
способную восстановить сетевые протоколы (они входят в ядро ОС-и и без сноса Системы поправить их можно , но непросто ). Я обошёлся без неё (неохота было вновь
колдовать с настройками), но на всяк случай иметь полезно .В 9 из 10 случаев способна
реанимировать Сеть. Можно сбросить настройки TCP/IP вручную через NetShell (через командную строку "netsh int ip reset resetlog.txt").Всё это может сработать , но без гарантий...
Я пошёл другим путём , в общем стандартным для борьбы с последствиями от подобных
вирусов:
1. Лезем в реестр , находим 3 ветки :
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.
до 000...25.
В каждом из этих разделов есть параметр PackedCatalogItem
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка
%SystemRoot%\system32\mswsock.dll
Это путь к необходимой для данного поставщика услуг библиотеке
Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим вместо mswsock.dll - adguard.dll .Но троян попортил не все разделы.
Копируем содержимое уцелевшего раздела в испорченный (в каждый испорченный ,
в каждой из трёх веток).Удобно пользовать что-то вроде Registrar , но вполне можно
обойтись и штатным редактором реестра.Посчитайте сколько порченых разделов поправили - потом пригодится.

2.Лезем в автозагруз (удобно через Autorans - но кому как) и прибиваем "привидение"
adguard. Перезагруз.

Всё - Сеть худо-бедно восстановлена ! Определяемся - насколько "худо".

3.(Полезно - но необязательно) Запускаем AVZ (антивирь Зайцева).Сканировать систему
не надо ! Лезем в "Сервис - Менеджер Winsock - Поиск ошибок" .Получаем , что из 25
протоколов неработоспособно 10-15.Сравниваем с количеством "исправленных" нами в
реестре - число должно совпасть , иначе возвращаемся к п.1 и перепроверяем ещё раз.
По сути мы не исправили "вирусопопорченные" протоколы , а лишь заблокировали их ,
чтоб только загрузить Инет .Сеть реанимирована , но она "хромая".Поэтому идём далее.

4. Отрубаем себе сеть ! (Выключаем модем) .Запускаем "Ишака" - лучше последнего -IE8
и тупо ломимся на любой сайт , на тот же "Гугл" .Соединения ,естественно, не происходит
, жмём на "Диагностику" сетевого соединения .И Винда немного попинговав выдаёт инфу
об ошибках в Протоколах , предлагая всё исправить , сбросом в Default . Соглашаемся.
Затем соглашаемся на перезагруз.
Вуаля- Сеть полноценно реанимирована , НАСТРОЙКИ СОХРАНЕНЫ . Последнее важно
для сидящих на безлимитке ADSL в "бридже" - иначе им пришлось бы самостоятельно
настраивать модем (а не только "Сетевое подключение") - а такое не всем под силу.

И ещё .Манипуляции через "Свойства сетевого соединения - Исправить" , а не через
браузер неэффективны .Проверено.Так что п.4 - это отнюдь не через "попу".
И уж если пп.1-4 не помогут (маловероятно , но - вдруг) , тогда пользуйте проги ,
упомянутые в самом начале.Но вероятна потеря настроек.Кому последнее неважно ,
так может и лучше сразу через них.
В конце можно опять запустить AVZ и убедиться :
"Настройки LSP проверены. Ошибок не обнаружено"

Модерирует : gyra, Maz
articlebot (04-09-2014 16:48): дубль - Adguard	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2