СПАЙВАРЕ ру

На нашем сайте было уже рассмотрено множество различных программ, причём в основном эти программы предназначены для лечения уже заражённого компьютера. Winpatrol – это прекрасная небольшая утилита для мониторинга вашего компьютера. Эта программа постоянно будет проверять основные настройки и сигнализировать в случаи их изменения. Кроме этого Winpatrol может пригодиться для анализирования компьютера в случае его лечения от заражения шпионскоми программами, троянами и вирусами.

Основные возможности Winpatrol:

• мониторинг запущенных программ, возможность завершения работы любой из них, а так же запуск новой программы
• возможность автоматического удаления опасных куков
• мониторинг, проверка, удаление и изменение ассоциации файлов (то есть действия с файлом, которое будет происходить если кликнуть по нему дважды)
• просмотр скрытых файлов и возможность сделать их видимыми
• возможность просматривать список служб/сервисов
• возможность просматривать список задач (например LOP спайваре использует задачи для автозапуска)
• мониторинг, просмотр и удаление надстроек браузера (BHO)
• мониторинг, добавление, удаление программ в списке автозагрузки
• возможность узнать различную информацию о файлах, программах и процессах (издатель, версия, владелец и др.)

Скачать WinPatrol.

С момента моего последнего сообщения о поддельных антиспайварных программ прошло только половина месяца, а в Интернет появилось уже множество новых: Smartantivirus2009, SystemAntivirus2008, XP Protector 2009, Antispyware PRO XP, SpyDevastator, Cleaner2009, VirusResponseLab. Все эти программы появляются на компьютере в результате заражения через трояны, вирусы, дыры в Internet Explorer. После заражения они запускаются автоматически и выполняют «сканирование» компьютера, находя при этом множество вирусов, троянов и других опасных вещей. После чего для удаления всех этих паразитов требуют купить лицензию. НЕ СТОИТ ЭТОГО ДЕЛАТЬ НИ В КОЕМ СЛУЧАЕ!!! В конце этой статьи я расскажу как можно удалить эти подделки абсолютно бесплатно.

VirusResponseLab
Программа похожа на раннее обнаруженные AntiVirus Lab 2009 и Antispycheck.

HijackThis показывает заражение:

O2 – BHO: AVLWarning.WarningBHO – {A21C8D81-A9C7-46c6-A488-2A32FA0DAEB6} -
O4 – HKCU\..\Run: [VirusResponseLab2009] C:\Program Files\VirusResponseLab2009\VirusResponseLab2009.exe

Cleaner2009

HijackThis показывает заражение:

O2 – BHO: iercpt.iercptbho – {D4CDC21D-43BE-4101-A1EF-E379F134771E} -
O4 – HKLM\..\Run: [Cleaner2009 Freeware] C:\Program Files\Cleaner2009 Freeware\UCLN.exe /min

SpyDevastator

HijackThis показывает заражение:

O2 – BHO: IEBHO – {528A3CF7-AAF9-42FE-A5D0-2A8EDA9E299E} -
O4 – HKCU\..\Run: [SpyDevastator] C:\Program Files\SpyDevastator\SpyDevastator.exe /h

Antispyware PRO XP

HijackThis показывает заражение:

O4 – HKCU\..\Run: [s9201] C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe /autorun

XP Protector 2009

System Antivirus 2008
Выглядит подобно Antispyware 2008 XP, Internet Antivirus, Vista Antivirus 2008.

Smartantivirus2009

Как удалить эти поддельные антиспайварные программы:

• Скачайте Malwarebytes’ Anti-Malware и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание 1: если Malwarebytes’ Anti-Malware вам не помогла, то попробуйте: SmitFraudFix и ComboFix.

Если данная иструкция вам не помогла, то обратитесь на наш anti spyware форум, где я и команда Spyware-ru попытается вам помочь.

Несколько месяцев назад я уже писал об троянах использующих возможности файла autorun.inf для собственного запуска и распространения. Сегодня снова вернёмся к этому вопросу так как количество заражённых компьютеров растет, а способ который я привел в прошлый раз, довольно долог и возможно несколько сложен для неподготовленного пользователя.
Существует небольшая утилита Flash Disinfector (создана автором известной программы ComboFix), которая позволит вам легко избавиться от большинства autorun.inf троянов и защитить ваши диски от воможного заражения.

Flash Disinfector выполняет следующие функции:

• удаляет с корня всех доступных дисков известные ей файлы троянов
• восстанавливает возможность редактирования реестра
• восстанавливает работу Восстановления системы
• удаляет из реестра автозапуск autorun.inf троянов
• создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков

Как использовать Flash_Disinfector.

Cкачайте Flash_Disinfector кликнув по этой ссылке и сохраните на вашем рабочем столе.

Когда файл загрузится, то на вашем рабочем столе появится иконка программы выглядящая следующим образом.

Иконка программы Flash Disinfector

Кликните дважды по иконке Flash Disinfector для запуска программы.
После этого откроется следующее диалоговое окно.

Flash Disinfector просит вас подключить к компьютеру вашу флешку или USB диск (или несколько дисков).

После того как вы вставили или подключили все ваши диски кликните по кнопке OK для запуска процедуры их очищения от троянов. При этом так же будут удалены файлы autorun.inf со всех доступных дисков и создан защищённый каталог autorun.inf для дальнейшей защиты ваших дисков от заражения.

Когда программа закончит работу то появится следующее сообщение.

Flash Disinfector закончил работу.

Перезапустите компьютер.

Таким образом программа делает то, что было написано в прошлой моей инструкции. Кроме этого позволяет удалить в автоматическом режиме трояны со всех ваших дисков и защитить их от дальнейшего заражения (защита не 100%, но блокирует большинство autorun.inf троянов).

Если у вас возникли вопросы по этой инструкции или вам необходима помощь, то обратитесь на наш компьютерный форум.

В последнее время активизировался троян который своими действиями напоминает два: это joke-bluescreen[McAfee] и Generic Downloader.k [McAfee] (trojan downloader apher [Webroot], Scam.Iwin [CounterSpy], Win32/Shadown!generic [VET], Trojan-Downloader.Win32.Tiny.bn [Kaspersky]). Этот паразит после заражения компьютера скачивает и устанавливает поддельные антиспайваре программы (Antivirus XP, IE Defender), призывая пользователя к покупке лицензии на эти программы (эти не программы не помогут вам).
Этот троян распространяется посредством спама (сообщения с заголовком cnn.com breaking news или msnbc.com breaking news), дыр в браузерах и Java машине.
Основные проявления трояна:

• после загрузки компьютера, в качестве фона рабочего стола устанавливается синий цвет
• появляется сообщение, что компьютер инфицирован и требуется установить антиспайварную программу
• при сканировании антивирус находит перечисленные выше трояны
• возможно отключение некоторых функций Windows (System restore, Taskbar)
• резкое замедление работы компьютера

Как удалить троян:
Для начала скачиваем программы HijackThis и Combofix.
Запускаем HijackThis, выполняем сканирование, для этого кликните по кнопке «Do a system scan only», затем отмечаем в открывшемся окне следующие строки (если они присутствуют):

O4 – HKLM\..\Run: [DLI32] C:\WINDOWS\dli32.exe
O4 – HKLM\..\Run: [sysrest32.exe] C:\WINDOWS\system32\sysrest32.exe
O4 – HKCU\..\Run: [CDriver] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [DDriver] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [alpha] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [beta] c:\microsoft\svchost.exe
O4 – HKCU\..\Run: [gamma] c:\microsoft\svchost.exe
O4 – HKLM\..\Run: [SMrhcjlaj0ee91] C:\Program Files\rhcjlaj0ee91\rhcjlaj0ee91.exe
O4 – HKLM\..\Policies\Explorer\Run: [CDriver] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [DDriver] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [alpha] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [beta] c:\microsoft\svchost.exe
O4 – HKLM\..\Policies\Explorer\Run: [gamma] c:\microsoft\svchost.exe
O9 – Extra button: (no name) – {9034A523-D068-4BE8-A284-9DF278BE776E} – http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 – Extra ‘Tools’ menuitem: IE Anti-Spyware – {9034A523-D068-4BE8-A284-9DF278BE776E} – http://www.securesoftwarefeed.com/redirect.php (file missing)
O22 – SharedTaskScheduler: cariniana – {5c770fbc-cc2f-4acd-93e8-e6f0594307fd} – C:\WINDOWS\system32\gnjsjc.dll (file missing)

Закройте все открытые окна кроме HijackThis и кликните по кнопке Fix Checked. Запуститься процесс удаления.
Примечание 1: после названия переменной, например CDriver, gamma, стоит имя файла трояна, так вот путь к нему может быть разным, не только c:\microsoft\. Поэтому впервую очередь обращайте внимание именно на имя переменной, а затем проверяйте её значение.
Примечание 2: Строки с идентификатором O9 не существенны, они не отвечают за автозапуск.
Примечание 3: Обратите внимание на строки с идентификатором O22, имя «cariniana» может быть абсолютно любым, так же как и имя самого файла. Поэтому перед пометкой этой строки на удаление, проверьте её в Интернет.

Перезагрузите компьютер. Если часть симптомов заражения осталось, то выходит вы полностью не очистили свой компьютер. Следующий шаг – это запуск Combofix.

Запустите Combofix и следуйте указаниям.
Примечание 1: все указания на английском языке, ничего особо важного там не написано, вам будет предложенно ознакомиться с правилами использования программы и подтвердить запуск процедуры сканирования и лечения компьютера. Так что смело можете кликать ДА/YES/OK.
Примечание 2: перед использованием Combofix автор рекомендует отключить ваш антивирус.

Если данная иструкция вам не помогла, то обратитесь на наш антиспайварный форум, где я и команда Spyware-ru попытается вам помочь.

За прошедший месяц появилось множество поддельных антивирусных и антиспайварных программ, все они хотят одного – денег, за удаление того, чего нет. Кстати, трояны посредством которых они попадают на компьютер пользователя они так же не удаляют.
Итак наши герои, которых мы рассмотрим сегодня: XP Guard, AntiVir64, MSAntivirus, Power Antivirus, SpywarePrevent, XpertAntivirus, Antivirus XP 2008, Total Secure 2009. Некоторые из этих программ похожи на уже рассмотренные нами ранее (1, 2, 3), а некоторые выделяются новым интерфесом.

Total Secure 2009

Программа похожа на IEAntivirus.
HijackThis показывает заражение:

O4 – HKCU\..\Run: [TotalSecure2009] C:\Program Files\TotalSecure2009\scan.exe

Antivirus XP 2008

HijackThis показывает заражение:

F2 – REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\oembios.exe,
O4 – HKLM\..\Run: [lphc31tj0ev99] C:\WINDOWS\system32\lphc31tj0ev99.exe

XpertAntivirus

Загружается с сайтов: xpertantivirus.com : 91.208.0.230, scanner-xpertantivirus.com : 91.208.0.246.

SpywarePrevent

Загружается с сайта: spywarePreventer.com : 216.255.186.253.

Power Antivirus

Загружается с сайта: 91.208.0.231, scanner-pwrantivirus.com : 91.208.0.246.

MS Antivirus (это далеко не антивирус компании Microsoft)

Загружается с сайтов: msantivirusxp.com : 91.208.0.229; msscanner.com : 91.208.0.228.
HijackThis показывает заражение:

O4 – HKLM\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe
O4 – HKCU\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe

Antivir64

Загружается с сайта: Antivir64.com; IP Address: 78.157.142.7

XP Guard

Загружается с сайта: XP-Guard.com; IP Address: 92.62.101.35

Как удалить этих паразитов:
Все эти поддельные программы и их инсталляторы, можно удалить используя Malwarebytes’ Anti-Malware (очень неплохая и бесплатная антиспайварная программа).

• Скачайте и установите её на компьютер. Запустите.
• Откройте закладку Обновления, и кликните по кнопке Проверить обновления.
• Откройте вкладку Сканер, и кликните по кнопке Проверить.
• После сканирования кликните OK, вам будет показан результат сканирования.
• Удалите всё что было найдено.

Примечание 1: некоторые из этих паразитов можно удалить с помощью SmitFraudFix, ComboFix.
Примечание 2: Вместе с Antivirus XP 2008 на компьютер проникает довольно трудно удаляемый троян tdssserv.sys, он блокирует запуск некоторых антиспайварных и антивирусных программ, но Malwarebytes’ Anti-Malware может его удалить, на данный момент. (Авторы паразитов тоже не дремлют)

Если же это лекарство не помогло, то обратитесь на наш анти спайварный форум за помощью.