СПАЙВАРЕ ру

Если вы не можете скачать программы для удаления шпионского и рекламного ПО, зайти на сайты разработчиков таких программ, то с большой долей вероятности можно сказать, что у вас не правильно определяются IP адреса этих сайтов.

Как это исправить, рассмотрим три основных способа:

• смотрим строчку с идентификатором R1, здесь и далее приведен анализ лога программы HijackThis, эта строка показывает установки прокси сервера, если вы точно уверены, что ваш браузер не использует прокси сервер, то вам нужно удалить эту строку. В случае отсутствия программы HijackThis, проверьте настройки прокси сервера в браузере и исправьте их.
• смотрим строки с идентификатором O17, они определяют днс сервера, которые использует операционная система для преобразования введенных адресов сайтов в IP адреса. Если строчки O17 присутствуют в логе HijackThis или установленные адреса не соответствуют тем которые предоставленным вам вашим провайдером, то в первом случае удалите строки O17, а во втором случае исправьте адреса днс серверов на правильные. Для этого зайдите в настройки сетевого соединения (соединения с Интернет).
• смотрим строки O1, они определяют соответствие IP адресов введенным вами адресам в браузере и за это преобразование отвечает файл HOSTS, если вы не устанавливали сами такое соответствие, то удалите эти строки. Так же надо учитывать, что HijackThis иногда не показывает в логе строки с идентификатором O1, поэтому нужно не лениться и проверить файл HOSTS самостоятельно.

Если все три способа вам не помогли, то значит у вас более серьезное заражение. Можете попробовать зайти на сайты антиспайваре разработчиков через их IP адрес, который можно узнать через любой бесплатный пинг (ping) онлайн сервис. То есть выполните пинг на нужный вам сайт, из результов пинга возьмите нужный вам IP адрес и введите его в строке адреса браузера.

Читайте также:
что такое HijackThis, анализ логов
как использовать файл HOSTS

ERUNT – бесплатная программа, которая может создавать резервные копии реестра и восстанавливать реестр из них позже.
Бывают случаи, когда возникает необходимость восстановить реестр, например после установки новой программы, которая работает некорректно, или когда ваш компьютер был заражён спайваре. В таких случаях восстановление заведомо работоспособного состояния реестра является наиболее простым способом вернуть вашему компьютеру хорошее здоровье.

Основные возможности программы:

• может создавать резервные копии реестра Windows NT/2000/2003/XP и сохранять их в любое выбранное вами место
• может делать резервные копии только системной или пользовательской частей реестра
• обладает командным интерфейсом, что позволяет работать в автоматическом режиме
• может восстанавливать реестр Windows 9x/Me/NT/2000/2003/XP
• существует русская версия

Со временем файлы реестра становятся сегментированными, реестр занимает всё больше места на жестком диске, в результате этих факторов время необходимое для поиска в нём, и загрузку данных с него так же увеличивается, что приводит к снижению скорости работы компьютера. Для удаления этих неприятных явлений вы должны использовать бесплатный оптимизатор реестра NTREGOPT регулярно, особенно после установки или удаления программ. Это уменьшит размер реестра и оптимизирует скорость доступа к нему.

Скачать ERUNT (резервирование и восстановление реестра) (eng)
Русификация ERUNT (разархивируйте в каталог ERUNT)

Скачать NTREGOPT (оптимизация реестра) (eng)
Русификация NTREGOPT (разархивируйте в каталог NTREGOPT)

Super Anti Spyware – это одна из немногих коммерческих программ, которая имеет частично урезанную бесплатную версию. Она может находить и удалять более 1 миллиона различных спайваре и их компонентов. Таких как VirusRay, AntiVirGear, VirusProtectPro, DriveCleaner, SmitFraud, Vundo, WinFixer, SpyAxe, SpyFalcon, WinAntiVirus, AntiVermins, AntiSpyGolden и множество других.

Основные возможности Super Anti Spyware.

• Быстрое, полное или выборочное сканирование оперативной памяти, жестких дисков, флэш дисков и реестра
• обнаруживает и удаляет шпионское ПО, рекламное ПО, трояны, диалеры, черви, кейлоггеры, паразитные программы, руткиты и многое другое
• слабо загружает компьютер и не конфликтует с уже установленными антиспайварными и антивирусными программами
• восстанавливает нарушенное соединение с Интернет (некоторые спайваре программы написаны не корректно и при инфицировании компьютера разрывают соединение с Интернет)
• восстанавливает возможность редактирования реестра
• восстанавливает измененный рабочий стол

Как установить Super Anti Spyware.

• Скачайте Super Anti Spyware.
• Закройте все запущенные программы и открытые окна Windows.
• Дважды кликните по файлу SUPERAntiSpyware.exe для запуска процедуры установки программы.
• Во время процедуры установки ничего не меняйте, если вы не уверены в своих действиях.
• После установки появиться сообщение предлагающее обновить Super Anti Spyware, кликните по кнопке ДА(YES).
• После окончания обновления, запустится процедура настройки Super Anti Spyware. Следуйте указаниям. Можете оставить всё без изменений.
• Далее откроется диалог(Protect home page) позволяющий настроить защиту домашней страницы от изменений.
• Кликните кнопку Protect Home Page.
• Откроется главное окно программы.

Как использовать Super Anti Spyware для удаления спайваре, троянов и других вредоносных программ.

• Запустите Super Anti Spyware.
• Кликните кнопку Scan your computer.
• Кликните по кнопке Next (Далее).
• Запустится процедура сканирования. Она займёт довольно много времени, поэтому наберитесь терпения.
• После окончания процедуры сканирования кликните по кнопке OK.
• Кликните NEXT (Далее) для начала удаления найденных вредоносных программ.
• Возможно понадобиться перезагрузить компьютер для завершения процесса удаления, в этом случае подвердите перезагрузку кликнув по кнопке OK.

Скачать Super Anti Spyware вы можете кликнув по этой ссылке

SdFix это бесплатная программа для удаления троянов, руткитов, шпионских и других вредоносных программ. Эту утилиту создал AndyManchesta.

Несколько примеров того, что удаляет SDFix. (в том виде как их определяет HijackThis)

Трояны бэкдоры (backdoors) и ирцботы(IRCBot):

F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\accwiz.exe
F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\astra32.exe
F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\Avsynmgr.exe
F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\BTStack.exe
F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\BTTray.exe
F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\ctfmon.exe
F2 – REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
…

Трояны Ranky/Ranck:

F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\config\svchost.exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\etc\services.exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\NT\nrcs.exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\1.tmp
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\mbti.exe
…

Загрузчики троянов, Прокси, Бэкдоры, трояны кейлоггеры:

F2 – REG:system.ini: Shell=explorer.exe %Temp%\cryptfg.exe
F2 – REG:system.ini: Shell=Explorer.exe boot
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\alg32.exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\MSACCESS.exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
F2 – REG:system.ini: Shell=explorer.exe C:\WINDOWS\system\lsass.exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\explorer..exe
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
…

HackerDefender:

O23 – Service: MSDN Driver (msdndr) – Unknown owner – C:\WINDOWS\system32\msdndr.pif
O23 – Service: MSDV Driver (msdvdr) – Unknown owner – C:\WINDOWS\system32\msdvdr.pif
O23 – Service: ro0 Service (ro0Srv) – Unknown owner – C:\WINDOWS\system32\ro0\ro0.exe
O23 – Service: Time Service (TIME) – Unknown owner – C:\WINDOWS\system32\(RandomName).exe

Трояны и руткит компоненты:

__oddysee.sys
asc355.sys
asc355O.sys
asc3550a.sys
asc3550o.sys
asc3550p.sys
asc3550u.sys
asc3550v.sys
backsys.sys
core.sys
…

Примечание:

• если при запуске sdfix появляется сообщение об ошибке «The command prompt has been disabled by your administrator. Press any key to continue . . .», то в этом случае выполните следующие действия, Кликните по кнопке Пуск, далее выбрать пункт Запустить, далее введите «%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg» и нажмите Enter. После этого попробуйте запустить sdfix снова.
• если при запуске sdfix быстро выскакивает и исчезает окно командной строки (Windows XP и Windows 2000), то нужно кликнуть по кнопке Пуск, далее выбрать пункт Запустить, далее ввести «%systemdrive%\SDFix\apps\FixPath.exe /Q Reboot ». После этого попробуйте запустить sdfix снова.
• если sdfix продалжает не запускаться, то проверьте системную переменную %comspec%. Для этого кликните правой клавишей по иконке Мой компьютер, в контекстном меню выберите пункт Свойства, далее закладку Дополнительно и внизу шелкните по кнопке Переменные среды. В нижней части появившегося окна проверьте, что значение переменной ComSpec это «%SystemRoot%\system32\cmd.exe», если это не так, то отредактируйте значение этой переменной.

Как использовать SDFix

• Скачайте SDFix по ссылке приведенной ниже.
• Дважды кликните по загруженному файлу и вы запустите процесс автоматической распаковки файла. Все файлы будут распакованы в %systemdrive%\SDFix, то есть в каталог SDFix на вашем системном диске (диске где находиться каталог Windows)
• Далее перезагрузите компьютер в безопасном режиме. Зайдите в каталог SDFix и кликните дважды по файлу RunThis.bat
• Нажмите Y для начала сканирования.
• По окончанию сканирования ваш компьютер будет перезагружен, при последующей его загрузке будут удалены все найденные трояны, спайваре и тд.
• По окончании удаления на экран будет выведен созданный лог файл, где будут указаны какие действия выполнила программа.

Примечание: перед началом работы sdfix делает резервную копию реестра используя программу ERUNT, что позволяет в случает необходимости сделать отмену изменений.

Скачать sdfix

После того как в адресной строке браузера вы ввели нужный вам адрес сайта и нажали Enter, браузер определяет ip адрес этого сайта, и далее уже запрашивает с него нужную вам информацию. Процесс определения ip адреса имеет два этапа, сначала проверяется hosts файл а затем производится попытка определения ip адреса через днс сервер. Таким образом, если мы пропишем в hosts файле строчку формата «1.2.3.4 sample.ru», то при определении ip адреса для сайта sample.ru будет получено значение 1.2.3.4

Этим можно воспользоваться для блокирования блокирования баннеров, рекламы и опасных сайтов. Для примера, добавление в hosts файл строчки вида «127.0.0.1 ad.doubleclick.net» заблокирует всю рекламу с этого сайта. В данной строчке ip адрес 127.0.0.1 – это системный ip адрес компьютера, а так как на вашем компьютере нет установленного веб сервера, то запрос на этот адрес ничего не возвращает (точнее возвращает сообщение об ошибке соединения), и реклама не показывается.

Для использования hosts файла, нужно знать где он находиться. Его можно найти с помощью функции поиска. Но можно и воспользоваться данными приведенными ниже. Hosts файл находиться для

• Windows XP в каталоге C:\WINDOWS\SYSTEM32\DRIVERS\ETC
• Windows 2K в каталоге C:\WINNT\SYSTEM32\DRIVERS\ETC
• Windows 98, Me в каталоге C:\windows\hosts
• Mac в системном каталоге или каталоге настроек (например, Mac HD:System Folder:Preferences:Hosts)

Перед изменением сделайте резервную копию вашего hosts файла. Далее загрузите готовый hosts файл. Разархивируйте, скопируйте файл в нужное место как было сказано выше или запустите файл mvps.bat для автоматического копирования.

После обновления hosts файла необходимо его защитить от дальнейшего изменения. Некотрые спайваре программы могут изменять hosts файл и это нужно предотвратить. Для этого кликните правой клавишей по hosts файлу, выберите в появившемся меню пункт Свойства, в появившемся окне поставьте галочку напротив Только чтение, нажмите OK для сохранения изменений.

В последнее время набирает тенденция распространения шпионского и рекламного ПО через поисковые машины. Многие из нас используют их для каждодневного поиска нужной информации, но мы не часто задумываемся о том, что они нам показывают в результатах поиска.

Рассмотрим небольшой пример.
Установим предварительно SiteAdvisor – дополнение для браузера. Выполним теперь поиск по такому широко распространенному запросу как screensaver в гугл.

Красными и желтые иконки в результатах поиска вставлены не гуглом, а SiteAdvisor`ом. Это сигнализирует о том, что посещать эти сайты не безопасно и судя по нашим результатам, шесть из десяти рекламных объявлений имеют такой рейтинг, то есть сайты на которые ведут эти объявления могут быть сами по себе опасны, распространять опасные программы, собирать адреса электронной почты для дальнейшего их использования в спам рассылках.
SiteAdvisor устанавливает предупреждающие иконки не просто так, а по результатам тестирования, автоматического и ручного – это когда сайт в ручную проверяют эксперты в области безопасности и обыкновенные пользователи Интернет.
Поисковые машины делают большие деньги принимая платные объявления. Практически любой может разместить рекламу в поисковых машинах, но при этом рекламировать не полезный продукт, а программу которая после инсталляции окажется совсем не таким продуктом как описано в рекламе. Такое часто встречается и в нашей повседневной жизни. Поэтому не нужно слепо доверять всему что показывают поисковые машины.

Smitfraudfix – это бесплатная программа, которая удаляет рекламное и шпионское ПО. Если у вас изменилась домашняя страница, выскакивают окна с рекламой, ссылки по которым вы кликаете в брайзере ведут совсем не туда куда указывают, то вам необходимо попробовать эту программу.
Эта программа поможет вам удалить: AdwarePunisher, AdwareSheriff, AlphaCleaner, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntivirusGolden, AVGold, BraveSentry, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, PestCapture, PestTrap, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smitfraud, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinHound, Brain Codec, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Codec, HQ Codec, iCodecPack, iMediaCodec, Image ActiveX Object, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, PrivateVideo, QualityCodec, Silver Codec, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec и многое другое.

Перед использованием Smitfraudfix, распакуйте архив в специально созданный каталог. Зайди в каталог и вы увидите следующие:

Режимы работы.
Запустите программу и вы увидите главное меню.

Для выбора нужного вам режима, введите число которое соответствует этому режиму и нажмите клавишу Enter.

Поиск спайваре.
Выберите режим 1 – Search. После окончания сканирования, программа сохранит лог в файле C:\rapport.txt

Удаление спайваре. Рекомендуется загрузить ваш компьютер в защищенном режиме (Safe Mode).
Выберите режим 2 – Clean.
Программа спросит у вас о необходимости очистки реестра (Do you want to clean the registry ?), нажмите Y и подтвердите свой выбор клавишей Enter. Этим вы разрешите программе удалить из реестра все, что ассоциировано с найденным спайваре.
Далее Smitfraudfix проверит инфицирование файла wininet.dll, если этот файл заражен, то вам будет предложено заменить его (Replace infected file ?) на не зараженный файл. Нажмите Y и подтвердите свой выбор клавишей Enter.
Для окончания очистки системы от заражения программа перезапустит ваш компьютер.
Так же как и при сканировании все свои действия программа записывает в лог файл – C:\rapport.txt

Восстановление списка безопасных узлов.
Выберите режим 3 – Restore Trusted Zone. Программа спросит у вас подтверждение (Restore Trusted Zone ?), нажмите Y и после этого клавишу Enter.

Скачать Smitfraudfix (exe вариант, рекомендуется)
Скачать Smitfraudfix (zip вариант)

Домашняя страница SmitfraudFix (Eng).

Примечание 1: в настоящее время автор программы упростил жизнь пользователям и стал распространять программу в виде exe файла, то есть для использования этой утилиты достаточно её скачать и запустить.

Безопасный режим работы Windows часто необходим для удаления шпионского ПО, рекламного ПО, вирусов, троянов. Этот режим работы Windows отличается от нормального тем, что при его выборе загружаются только самые необходимые драйверы и компоненты системы. После того как компьютер загрузиться вы можете делать практически всё тоже самое что и в нормальном режиме.

Для запуска компьютера в безопасном режиме выполните следующее

Перезагрузите свой компьютер.

После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8.

Перед вами покажется меню загрузки Windows как показано ниже.

Выберите безопасный режим (Safe Mode) – первую строчку и нажмите Enter.

Когда компьютер загрузиться в безопасном режиме вы увидите следующее сообщение.

Кликните по кнопке Да и вы можете приступить к работе с компьютером в безопасном режиме.

Если компьютер не загружается в безопасном режиме

Такое возможно если вирус или троян удалили или повредили части реестра Windows, которые отвечают за загрузку компьютера в безопасном режиме. Для решения этой проблемы скачайте и запустите бесплатную утилиту SafeBootKeyRepair. Перезапустите компьютер и попробуйте войти в безопасный режим снова.

Обновление 1: если утилита SafeBootKeyRepair недоступна, то вы можете попробовать эту. Скачайте и распакуйте, в архиве reg файл с дефолтными значениями ключей реестра обеспечивающими правильный запуск безопасного режима. Кликните по файлу дважды, для установки этих дефолных значений.
Обновление 2: Если предыдущие способы востановления загрузки компьютера в безопасном режиме вам не помогли, то попробуйте следующее. Скачайте и установите Super Antispyware. Запустите, в главном окне кликните по кнопке Preferences, далее по вкладке Repairs, в списке выберите Repair broken SafeBoot key, после чего кликните по кнопке Perform Repair…

Если у вас возникли вопросы по этой инструкции или она вам не помогла, то обратитесь на наш компьютерный форум.

Примечание: обращаюсь ко всем, у кого возникли проблемы с запуском компьютера и программы описанные в инструкции не помогли или не подходят. Комментарии – это не то место, где нужно задавать вопросы, ПОЖАЛУЙСТА обращайтесь на наш форум, в соответствующий раздел! Форум предоставляет больше возможностей в плане обсуждения ваших проблем и поиска их решения!