Moderat
Newbie | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата: На компе похоже побывал зверь. Что-то я почистил, но осталась проблема
НЕ пускает на ряд сайтов, в частности антивирусные, микрософт - идет сообщение типа неправильно набран адрес. От браузера не зависит. От провайдера то же - прбовал из разных точек. файл host -нормальный. Где еще есть ограничения? и как от них избавиться? |
У меня такая же история. Этого зверя зовут Вирут, он очень опасен. Вот что он делает:
* Вирут внедряется в процесс WINLOGON.EXE и паразитирует внутри него
* Вирут устанавливает поддельный сертификат безопасности Microsoft Windows
* Вирут модифицирует файл HOSTS, посмотрите внимательно самую верхнюю строчку. У меня появились три лишние строчки:
127.0.0.1 jL.chura.pl
и снизу 2 строчки
92.241.176.188 advanced-virus-remover2009.com
92.241.176.188 www.advanced-virus-remover2009.com
При проверке выяснилось, что IP адрес 92.241.176.188 транслируется в доменное имя pechkin.wahome.ru
Об этом я сразу сообщил администрации wahome.ru, но мой запрос остался без ответа (прошло уже 2 недели).
* Вирут перехватывает все DNS запросы всех приложений и блокирует процесс определения IP адресов для любых доменов в названии которых присутствуют следующие строки:
eset
avg
microsoft
windowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
defender
rootkit
malware
spyware
virus
* Вирут хитрым образом обходит межсетевой экран и открывает себе лазейку в брандмауэре Windows Firewall, там есть одна уязвимость, которую Микрософт еще не устранил (если перед названием приложения поставить пару вопросительных знаков, и прописать эту строку напрямую в реестр, то в списке программ, которым разрешен выход в Интернет, эту программу не видно). Я обнаружил это сам.
* Вирут полностью зомбирует ваш компьютер, и он становится одним из послушных рабов всемирного Ботнета. Через каналы IRC на ваш компьютер загружают любой необходимый злоумышленникам софт и запускают программы без вашего ведома. Эти программы могут перехватывать все клавиатурные нажатия, пароли. Крадут данные ваших кредитных карт, пароли к платежным системам типа WebMoney, PayPal, Яндекс Деньги и т.п. Крадут пароли к вашим банковским счетам и снимают с них все деньги через веб порталы. Злоумышленники даже умеют заходить с вашего компьютера по протоколу HTTPS на подобные порталы, используя сохраненные в вашем обозревателе Internet Explorer, Firefox, Opera пароли! Только вы об этом ничего не подозреваете. Сейчас во всем мире уже зомбировано таки образом 10 миллионов компьютеров.
Центр управления Вирутом находится в Польше (sys.zief.pl, core.ircgalaxy.pl). Всемирным Ботнетом управляет группа хакеров из России и Украины, им активно помогают китайские коллеги из КНР.
* Вирут модифицирует системные файлы операционной системы Microsoft Windows
------------------------------------------------------------------
eamon.catp
eamon.inf
eamon.sys
Amon monitor
ESET Smart Security
----------------------------------------------------------------------
EL515.SYS
3Com Fast EtherLink ISA Adapter
3Com Fast Etherlink ISA Network Driver
-----------------------------------------------------------------------
winlogon.exe
Windows NT Logon Application
---------------------------------------------------------------------------
comctl32.dll
Common Controls Library
---------------------------------------------------------------------------
SFC.DLL
Windows File Protection
SFC_OS.DLL
Windows File Protection
-----------------------------------------------------------------------
USER32.DLL
Windows XP USER API Client DLL
-------------------------------------------------------------------------
SHLWAPI.DLL
Shell Light-weight Utility Library
--------------------------------------------------------------------------
WSOCK32.DLL
Windows Socket 32-Bit DLL
---------------------------------------------------------------------------
WININET.DLL
Internet Extensions for Win32
---------------------------------------------------------------------------
KERNEL32.DLL
Windows NT BASE API Client DLL
-------------------------------------------------------------------------------
PROTOCOL.INI
--------------------------------------------------------------------------------
* Вирут отключает защиту файлов в операционной системе Microsoft Windows
* Вирут умеет обманывать все основные антивирусные программы, стоит ему только хоть раз запуститься на вашем компьютере. Ни Доктор Веб, ни НОД32 при этом не обнаруживают Вирута и не видят его!
Это новое поколение супер-вирусов.
Остерегайтесь Вирута!
Лечить операционную систему после внедрения Вирута практически невозможно.
Сейчас уже все основные антивирусные программы как бы умеют лечить зараженные Вирутом файлы, но часто после подобного лечения программы перестают запускаться (особенно если они были упакованы каким-нибудь хитрым упаковщиком наподобие Аспака)
У мена на диске C: вирут заразил несколько тысяч файлов с расширением EXE и SCR.
Некоторые файлы вылечились нормально, а некоторые после лечения Доктором Вебом перестали запускаться.
Чтобы избавиться от Вирута не обязательно форматировть жесткий диск.
Но придется, вероятно, переустановить операционную систему в режиме восстановления.
Если это не поможет, придется переустановить Windows по полной программе в тот же самый каталог.
Сейчас я нахожусь в процессе восстановления. Для этого пришлось купить второй компьютер и подключить к нему хард диск от зараженного ноутбука.
Перепечатка данной статьи разрешена со ссылкой на автора: Александр Фирсов (гсм собака ру точка ру).
Спасибо за внимание.
|
. 
. Система не грузится, а нужен доступ именно от самой системы 
. С тех пор от НОДа подальше держусь 
