Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » adGuard - ОПАСНО ! - Троян.

Модерирует : gyra, Maz

articlebot (04-09-2014 16:48): дубль - Adguard  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

   

jonvarvar



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
adGuard - фриварная баннерорезка , активно рекламируемая в Сети.
Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже
самых маститых рукитов . Большинством антивирей не определяется (за редким  
исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно
"договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.
 
Что творит adGuard.
 
  Изначально, в 10-15 протоколах TCP/IP подменяет штатную библиотеку mswsock.dll  
на собственную adguarg.dll , начиная фактически провайдерствовать в Системе  
параллельно "мелкомягким". Внешне это малозаметно : может немного подрастает
исходящий сетевой траф., чуток подтормаживает Инет , но выглядит всё благопристойно.
 Самое интересное начинается при попытке деинсталяции : прога совершает последний  массированный скачок в Сеть ,сливая хозяевам последнее недослитое (мой Outpost от
подобной наглости аж зашёлся) ,и благополучно (для себя) покидает комп , оставляя  
испорченные протоколы TCP/IP и своего уже призрачного резидента в автозагрузе .
В итоге - полностью клинит Сеть и блокируется выход в Инет.
 
Как с этим бороться.
 
Рекомендую ещё ДО ДЕИНСТАЛЯЦИИ adGuard скачать программульку winsockxpfix.exe -
способную восстановить сетевые протоколы (они входят в ядро ОС-и и без сноса Системы поправить их можно , но непросто ). Я обошёлся без неё (неохота было вновь
колдовать с настройками), но на всяк случай иметь полезно .В 9 из 10 случаев способна
реанимировать Сеть. Можно сбросить настройки TCP/IP вручную через NetShell (через командную строку "netsh int ip reset resetlog.txt").Всё это может сработать , но без гарантий...
Я пошёл другим путём , в общем стандартным для борьбы с последствиями от подобных
вирусов:
1. Лезем в реестр , находим 3 ветки :
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
 
Здесь мы увидим множество  разделов с именами 0000000000001 000000000002 и т.д.
 до 000...25.
В каждом из этих разделов есть параметр PackedCatalogItem
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка
%SystemRoot%\system32\mswsock.dll
Это путь к необходимой для данного поставщика услуг библиотеке
Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим вместо mswsock.dll - adguard.dll .Но троян попортил не все разделы.
Копируем содержимое уцелевшего раздела в испорченный (в каждый испорченный ,
в каждой из трёх веток).Удобно пользовать что-то вроде Registrar , но вполне можно
обойтись и штатным редактором реестра.Посчитайте сколько порченых разделов поправили - потом пригодится.
 
2.Лезем в автозагруз (удобно через Autorans - но кому как) и прибиваем "привидение"
 adguard. Перезагруз.
 
Всё - Сеть худо-бедно восстановлена ! Определяемся - насколько "худо".
 
3.(Полезно - но необязательно) Запускаем AVZ (антивирь Зайцева).Сканировать систему
не надо !  Лезем в "Сервис - Менеджер Winsock - Поиск ошибок" .Получаем , что из 25
протоколов неработоспособно 10-15.Сравниваем с количеством "исправленных" нами в  
реестре - число должно совпасть , иначе возвращаемся к п.1 и перепроверяем ещё раз.
По сути мы не исправили "вирусопопорченные" протоколы , а лишь заблокировали их ,
чтоб только загрузить Инет .Сеть реанимирована , но она "хромая".Поэтому идём далее.
 
4. Отрубаем себе сеть ! (Выключаем модем) .Запускаем "Ишака" - лучше последнего -IE8  
и тупо ломимся на любой сайт , на тот же "Гугл" .Соединения ,естественно, не происходит
 , жмём на "Диагностику" сетевого соединения .И Винда немного попинговав выдаёт инфу
об ошибках в Протоколах , предлагая всё исправить , сбросом в Default . Соглашаемся.
Затем соглашаемся на перезагруз.  
Вуаля- Сеть полноценно реанимирована , НАСТРОЙКИ СОХРАНЕНЫ . Последнее важно  
для сидящих на безлимитке ADSL в "бридже" - иначе им пришлось бы самостоятельно
настраивать модем (а не только "Сетевое подключение") - а такое не всем под силу.
 
И ещё .Манипуляции через "Свойства сетевого соединения - Исправить" , а не через
 браузер неэффективны .Проверено.Так что п.4 - это отнюдь не через "попу".
И уж если пп.1-4 не помогут (маловероятно , но - вдруг) , тогда пользуйте проги ,
упомянутые в самом начале.Но вероятна потеря настроек.Кому последнее неважно ,
так может и лучше сразу через них.
В конце можно опять запустить AVZ и убедиться :
"Настройки LSP проверены. Ошибок не обнаружено"

Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 16:25 11-11-2009 | Исправлено: jonvarvar, 16:28 11-11-2009
Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jonvarvar
ну а зачем новую тему то создавть?
сам жекрасно наешь. что есть тема про это г....
там бы и запостил...

----------
Я прав! Если не прав
Любимое занятие форумчан - экстраполировать свой частный случай на большинство. И чем экзотичнее случай - тем глобальнее выводы

Всего записей: 38758 | Зарегистр. 26-02-2002 | Отправлено: 16:44 11-11-2009
jonvarvar



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ну а зачем новую тему то создавть?  
сам жекрасно наешь. что есть тема про это г....  

 
 Извиняюсь , но подумал , что уж очень актуально . Не один , не двое через
это г... уже влетели . А его всё впихивают , и народ продолжает ставить . И мало  
того , что ОСи потом переустанавливают  , часто и не понимают , из-за чего Сеть  
накрылась. Но это те , кто уже попробовал снести Г...уарда , а сколько ещё в  
сладком неведении - они его пока не трогают , оно им и не воняет... Может хоть
так заметят с какой "бесплатняшкой" имеют дело . Дай Бог ошибиться , но мнится  
мне ещё и то , что "прожка" эта посерьёзнее, чем обычный троянчик ...  
  Так что за дубль - искренне извиняюсь , но мгб. хоть так кому в глаза бросится , а то  
до того топика планктон вряд ли доплывёт.

Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 17:30 11-11-2009
ZorDen

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Лучше не пользоваться фриварными программками в области защиты, коих сейчас развелось немало. Доверяйте ломаным софтинам, если ж денег нет на то, чтобы купить лицензионную.

Всего записей: 162 | Зарегистр. 12-10-2006 | Отправлено: 17:47 11-11-2009
jonvarvar



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Доверяйте ломаным софтинам, если ж денег нет на то, чтобы купить лицензионную

 
 Согласен , но как это народу объяснить. Вы б видели сколько челов этот "guard"  
именно с вареза повыкачивало...Предпочтя , тут же , рядом лежащей пропатченой  
AdMuncher . Верно греет быть "честным". А тут и фривара ,и руссификшн , и минимум  
настроек ,и куча "положительных отзывов" ,и полезняшности до край...
В итоге имеем , что имеем. А имеем мы потенциальные предпосылки к эпидемии , подобной той , что пару лет назад накрыла Украину. Уж очень похожи и ядро , и  
поведение того и "гуардовского" вирусов. Там всё вылилось в глобальный слив  
финансовой корпоративной инфы . И у нас - ну, не верится мне , что тем серьёзным  
дядечкам ,что сочинили сей проект (а это - ИМХО - не средненькие хакеры) ,интересны  
кредитки домашних юзеров...А вот их компы ,как плацдарм...

Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 18:44 11-11-2009
Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jonvarvar
ZorDen
давайте все таки перейдем в уже созданную тему...
 
jonvarvar
справедливости ради...
понятно, что программа дрянь - но я ее удалил безо всяких последствий для системы...

----------
Я прав! Если не прав
Любимое занятие форумчан - экстраполировать свой частный случай на большинство. И чем экзотичнее случай - тем глобальнее выводы

Всего записей: 38758 | Зарегистр. 26-02-2002 | Отправлено: 19:15 11-11-2009
Gacop



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Spybot-S&D. его определил

Всего записей: 6 | Зарегистр. 30-09-2008 | Отправлено: 14:51 14-01-2010
ndch

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ага, а на 3proxy Win7 и некоторые антивирусы ругаются.
 
Добавлено:
Но это бред.

Всего записей: 6477 | Зарегистр. 31-08-2008 | Отправлено: 14:55 14-01-2010
jonvarvar



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Ага, а на 3proxy Win7 и некоторые антивирусы ругаются.  
 
Добавлено:  
Но это бред.

 
 В "ХРюшке" тому же COMODO , с его "параноидальной" эвристикой очень не нравится  
штатный paint ... Но после того , как пару раз посидишь с отрубленным Netом и повыковыриваешь заразу из сетевых протоколов (всё "ручками","ручками"), абы  
только не сносить в очередной раз Систему, - начнёшь внимательнее относиться к "бреду" антивирусников . Когда ж до народа дойдет , что сегодня никакие  
антивири-антишпаи не в состоянии обеспечить автоматическую защиту  ОСы  
от сетевых угроз , тем более от НОВОГО поколения вирусов ; спасибо , что хоть и с  
частыми ошибками . но "подбрёхивают" на них.

Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 19:17 17-01-2010
lghweb2112

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сдаётся мне всё это похоже на правду - неадекватно ведёт себя прога

Всего записей: 1 | Зарегистр. 12-05-2011 | Отправлено: 20:59 12-05-2011 | Исправлено: lghweb2112, 15:39 13-03-2012
volneb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Всего записей: 1 | Зарегистр. 12-05-2011 | Отправлено: 19:59 12-05-2011

Какой прозорливый юзер!

----------
i5-2500к, Noctua NH-U9B SE2, ASUS SABERTOOTH Z77, Zotac GTX 470, Samsung DDR3 1600 MHz 4096MBх4, SAMSUNG 850 pro 128, Chieftec APS-850C, Chieftec Dragon Black

Всего записей: 1411 | Зарегистр. 23-04-2007 | Отправлено: 21:38 12-05-2011
regno



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Удаляйте штатно и проблем не будет. ::: По запросам "умельцев"

Всего записей: 12 | Зарегистр. 12-03-2009 | Отправлено: 02:18 15-05-2011
imheton60



Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что за ахинею вы все тут несёте? Я пользуюсь adguard уже полгода и очень доволен.Ей просто нет равных
в "подлунном мире".Admuncher просто отдыхает!

Всего записей: 1 | Зарегистр. 10-05-2011 | Отправлено: 14:14 29-05-2011
xChe



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imheton60

Цитата:
Я пользуюсь adguard уже полгода и очень доволен.Ей просто нет равных  
в "подлунном мире"

И на скольких форумах надо такое отписать чтобы халявный ключег дали?

Всего записей: 4007 | Зарегистр. 07-05-2006 | Отправлено: 14:30 29-05-2011
CHELDAN



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
imheton60

Цитата:
Я пользуюсь adguard уже полгода и очень доволен.Ей просто нет равных  
в "подлунном мире".Admuncher просто отдыхает!

у меня тоже месяца 4 стоит, доволен

Всего записей: 2178 | Зарегистр. 15-01-2003 | Отправлено: 15:41 11-06-2011
iqs

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Стоит пол-года,что такое рекламма-забыл.adGuard - ОПАСНО ! - Троян-полный бред.
Пользуюсь Nodom и Outpost Firewall Pro-лицензия.
Раз в неделю проверяю систему-Spybot - Search & Destroy.И никто ничего не находит.

Всего записей: 20 | Зарегистр. 18-08-2009 | Отправлено: 16:01 11-06-2011
dma1br

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
jonvarvar
так что за троян-то?

Всего записей: 206 | Зарегистр. 13-05-2009 | Отправлено: 06:48 13-07-2011
Amplifire



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Странный троян, и помогает и гадит, я сомневаюсь, что это троян, скорее недоработка(пропадает сеть), лично пользовался пару раз - нечего подобного не замечал.

Всего записей: 272 | Зарегистр. 09-11-2008 | Отправлено: 07:23 13-07-2011
Mikola84



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
adGuard - фриварная баннерорезка , активно рекламируемая в Сети.  
Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже  
самых маститых рукитов . Большинством антивирей не определяется (за редким  
исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно  
"договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.  
 
Что творит adGuard.  

 
ВРАНЬЁ!
Сам пользуюсь с марта, доволен.
Минус её в том, что блокирует некоторые добропорядочные сайты. Но исправляется этот косяк, отключение некоторых фильтров.
 
 

Всего записей: 563 | Зарегистр. 27-05-2010 | Отправлено: 11:58 01-08-2011 | Исправлено: Mikola84, 08:51 02-08-2011
vyka



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Очень хорошая прога,только ей и пользуюсь.

Всего записей: 615 | Зарегистр. 18-06-2010 | Отправлено: 10:47 29-09-2011
   

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » Программы » adGuard - ОПАСНО ! - Троян.
articlebot (04-09-2014 16:48): дубль - Adguard


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru