Злостный троян WINHELP32

на одном из компов в офисе прокрался троян…
НОД32 визгнул, но не смог побороть его, только лишь система ушла автоматом в перезагруз…
так вот, троян прописался в автозагрузке, сохранив свои вредные системные файлы.
Все эти файлы частично были удалены с помощью утилиты AVZ, но какая то часть трояна, где то еще закралась в системе и не давала изменить порядок автозагрузки…
так вот этот вирусо-троян вырубил NOD32 из автозагрузки, прописав вместо него и других программ себя, т.е. WinHelp32, причем в двух экземплярах… а когда я пытался в msconfig поставить галку чтоб загружался антивирус во время загрузки Виндоус и убирал галочки напротив Winhelp32, то он эти действия просто НЕ сохранял…
При попытке удаления этих файлов из реестра, система выдывала ошибку, что якобы нельзя их удалять.
Хотел было поставить свеженький Ad-aware дабы очистить эту гадость, но тщетно! в данном случае вообще при установке система вылетала в синий экран смерти.

Этот троян так же поддерживают два файла “сообщника” vmmreg.dll, video.sys, которые при удалении главного, возрождались как робот-убийца из жидкого металла в фильме Терминатор-2
Файл video.sys постоянно восстанавливался в скрытой папке windows/system32/webmin

Чем лечить и уничтожить бяку?

Читать полностью »

Трояны, вирусы и шпионские модули – достали!

Буквально месяц назад заразился трояном :)

На рабочем компьютере стоял NOD32… словил троян с вирусом, каюсь что смотрел сайты через Internet Explorer,  причем НОД заметил только один троян, в то время как в автозагрузку прописалось несколько инфицированных файлов, после которых комп попросил меня перезагрузиться…

Троян оказался весьма продвинутым, вывел на экран сообщение с именем моего компа, а комп имел имя такое же как у меня :)

Я конечно сперва очень удивился, когда открывая “Мой компьютер” увидел табличку с надписью о системной ошибке и следующим текстом:
Attention, (имя)! Some dangerous viruses detected in your system. Microsoft Windows XP files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
Click OK to download the antispyware. (Recommended)

При нажатии на “ок” заходит на http://ie-antivirus.com/download.php (раз от раза ссылки меняются), а если нажать Cancel переходит на http://free-viruscan.com/id/4912933/4/1/

Всё это напоминает какую-то злостную шутку.
Причём, НОД32 в это время тихонечко сидит в углу и не дергается.

Если перевести то сообщение на наш язык, то выглядит это так: “Внимание! Ваша система подверглась заражению очень опасным вирусом и для лечения просто жизненно необходимо скачать наш IE Antivirus антишпион”. Вы скачиваете вроде-как антивирус (файл ieav.exe), устанавливате его и о чудо, он находит у вас целую пачку троянов, червей и вирусов ;)

Но тут фишка – чтобы удалить найденное, надо перейти на сайт http://ieantivirus.com/ и купить лицензию на IE Antivirus :)
Вот такие вот мошенники есть, сперва заражают ваш комп, а потом еще требуют за “лечение” деньги :)

Стоит заметить, что список найденных у вас вирусов конечно же абсолютно левый, то есть ничего такого у вас в вашем компьютере нет, кроме самого инфицированного ИЕ-Антивируса :)
И вроде как ничего страшного нет в этой всей истории – если бы не окно с сообщением о вирусе каждую минуту.

Чем лечить и чем убить этого гада?

Читать полностью »

Новый троян шифрующий файлы

Лето, 2008 год.

На пороге войны с чайниками, был изобретен жестокий вирус-троян Encoder.19,  который после проникновения на машину жертвы, шифрует пользовательские файлы с расширениями .jpg, .psd, .cdr, .mp3, .mov, .doc, .xls, .ppt, .rar, .zip, .pdf и многими другими.

Троян Encoder.19 по принципу работы аналогичен вредоносной программе Gpcode, но чуть пострашнее.

После попадания на машину Encoder.19 сканирует все несъемные накопители и шифрует в них файлы.

То есть, владелец инфицированного компьютера фактически лишается доступа ко всей своей информации, в том числе к фотографиям, документам, фильмам, музыке и архивам. После выполнения операций шифрования троян Encoder.19 оставляет на жестком диске файл crypted.txt, в котором предлагает пользователю заплатить за дешифратор 10 долларов. (один из видов заработка хакеров-вандалов)

Впрочем, эксперты по вопросам компьютерной безопасности традиционно не рекомендуют пользователям, чьи компьютеры пострадали от трояна, платить шантажистам. Компания “Доктор Веб” для восстановления зашифрованных файлов предлагает воспользоваться специально разработанной бесплатной утилитой te19decrypt.exe.

В процессе работы утилита te19decrypt.exe создает рядом с закодированными файлами их расшифрованные версии без окончания .crypt. При этом компания “Доктор Веб” подчеркивает, что зашифрованные файлы удалять не следует, поскольку не исключена возможность некорректной расшифровки.

из обсуждений:

как посмотрю новый сезон начался.. антивирусные конторы новые трояны шлепают, продажи опять не радуют или привлечение свежих капиталов?! пиарятся господа хорошие, вечный бизнес-механизм…

а: – а зачем нужны антивирусы, я 5 лет в инете – 2 раза винду переставлял….
б: – они заменяют прямые руки ;)
а: – кому?
б: – очевидно тому,  у кого они кривые :)