• Главная
  • Карта сайта
Не найдено

Як видалити вірус-порноінформер, порновірус на вашому комп'ютері

І раніше, а тепер особливо, в інтернеті користувач, під час своїх прогулянок по сайтам і отриманні електронної пошти, ризикує підхопити собі проблему І раніше, а тепер особливо, в інтернеті користувач, під час своїх прогулянок по сайтам і отриманні електронної пошти, ризикує підхопити собі проблему. А саме, після включення комп'ютера з'являється вікно з пропозицією надіслати СМС на певний номер, для розблокування комп'ютера і закриття вікна, що з'явилося. Це, так звані «трояни» або «порноінформер»

Потрібно сказати, що цим займаються не зовсім хлопчики, хоча сам характер вчинку говорить про інфантильність творця подібної проблеми для інших. Чому не хлопчики? а тому що тут відчувається рука психолога - блокуючу вікно містить порнозображень і і включає автоматично у користувача рефлекс сорому. Тобто, напрям - створити стресову ситуацію і обмежити здоровий глузд. Користувач несвідомо намагається вирішити цю проблему, як можна швидше і простіше, тим способом, який йому здається найдоступнішим, приховавши факт проблеми від інших. Які кроки може зробити користувач в паніці? Наприклад, відправити СМС за вказаним номером, тим самим підтвердивши вимагача, що цей вид бізнесу ще актуальний і можна продовжувати і далі, пройшовши початковий шлях лоха. Позбудеться користувач цим пожертвуванням або слабкістю від проблеми? Ні, не позбудеться. Не буду зараз пояснювати чому, так як різновидів цих чомучок безліч.

Отже, користувач постає перед проблемою і починає з нею боротися. Звичайно ж він виходить в інтернет з іншого комп'ютера і намагається знайти відповідь на це питання на різних форумах. Найкращий спосіб, це звернутися (якщо це на роботі) до свого системного адміністратора. Для професіонала вирішити цю дитячу проблемку особливих труднощів не складе. А як бути вдома простому юзеру? На форумах ви можете наслухатися самих різних рад, але тут дві біди - незліченний список пропонованих варіантів і їх неактуальність, так як інтернет-шкідники удосконалюються (мутують) постійно і те, що було вчора або у кого-то, необов'язково повторює ваш випадок.

Що вам можуть запропонувати на форумах? Це перелік послідовного відключення налаштувань в різних типах браузерів, порекомендувати різні типи антивірусів та інших утиліт для програмної очищення комп'ютера. Це забере у вас багато часу і сил і зовсім може не допомогти вирішити проблему, так як, повторюю - шкідники мутують постійно. Тут потрібно враховувати, що останні трояни-інформери блокують комп'ютер при старті і ви не зможете ні відкотити систему (хоча це марно), ні вбити гада в треї, так як, клавіші ctrl + alt + del блокуються також і не працюють, ні завантажити і встановити новий антивірус або утиліту. Взагалі дуже мало що зможете - тільки дивитися на банер.

Що я вам можу запропонувати? Найпростіше і ефективне. Без реклами різного безлічі утиліт - потім з ними самі розберетеся, на дозвіллі, коли вирішите проблему.

Отже:

1. Перезавантажте свій комп'ютер, натиснувши на початку завантаження клавішу F8 і виберіть в меню чорного вікна «Безпечний режим». (Це для тоого, щоб запобігти самостійний старт порновіруса і мати можливість виконувати наступні операції)

Цитата:

Перш ніж приступати до очищення системи, слід видалити той контейнер, в якому вірус потрапив на ваш комп'ютер, для запобігання повторного зараження системи. Для цього, після того, як завантажитеся в безпечний режим, слід провести очищення диска від тимчасових файлів інтернету і * .tmp це можна зробити за допомогою стандартного сервісу очищення дисків. Тим, хто користується зовнішніми браузерами, типу Опери, Фаерфокса і т.д., слід скинути надбудови в цих браузерах, встановивши початкові, за замовчуванням (вірус міг встановити свою стартову сторінку і цей лінк потрібно скинути, щоб не потикатися туди знову автоматом). тільки після цих дій з очищення можливої ​​нової зарази, слід приступати до виконання послідовності пунктів, зазначених нижче

2. Натискаєте «Пуск» - «Виконати» і вводите в вікні команду «C: \ WINDOWS \ system32»

3. У меню вікна відкрилася папки йдете - «Сервіс» - «Властивості папки» - «Вид» і в самому низу списку, опцій шукаєте пункт - «Показувати приховані файли і папки», відзначаєте його і натискаєте «ОК» (це для того , щоб бачити всі файли, які не потрібні користувачеві під час звичайної експлуатації комп'ютера).

4. Далі шукаєте в панелі меню цього ж вікна папки кнопку «Пошук» і натискаєте її. Зліва у вас з'являється вікно (стовпець) «помічника з пошуку», в якому імені команди «файли і папки». В поле «частина імені файлу або ім'я файлу цілком" вводите - * .dll Далі вибираєте пункт «Коли були проведені останні зміни» і вказуєте діапазон або дату того дня, який передував старту комп'ютера з уже виниклою проблемою (зазвичай відбувається інфікування під час попередньої вашої роботи і потім, після включення, виникає проблема). Тобто, якщо ви працювали в першій половині дня і вимикали комп'ютер, а потім ввечері його включили і «зраділи» то дату слід вказувати поточного дня. Тиснете кнопку «Знайти»

5. Серед знайдених файлів, а їх буде трошки, і буде ваш файл-проблема. Якщо ви не встановлювали в цю дату ніяких програм, то можете сміливо видаляти всі знайдені фали не розбираючись особливо - який з них паразит (швидше за все там тільки парочка паразитів і буде), але якщо файлів багато, то придивіться до них, щоб не видалити потрібний системі. Аналізувати їх слід, перш за все, за датою появи на вашому комп'ютері. А назви у них можуть бути самі різні.

Можете перевірити таким же способом і не тільки файли з розширенням .dll, а взагалі, з будь-яким розширенням, але це вже або для гурманів або для більш складних випадків, тобто - як складеться.

Після цього можете перезавантажуватися в звичайному режимі і працювати, не забувши знову заховати приховані файли для вашої зручності. Потім вже можете думати про антивірус і взагалі робити висновки, тому що у вас з'явиться досвід.

В особливо важких випадках, не допомагає навіть безпечний режим - вірус з'являється і там і не дає провести необхідну процедуру дій. В цьому випадку, слід завантажити комп'ютер в режимі командного рядка і очистити файли * .dll необхідної дати в папці C: \ WINDOWS \ system32 руками в чорному екрані. Хто слабкий в цьому, але енергійний в діях, може підключити свій диск слейвом тимчасово до іншого комп'ютера і провести очищення свого диска за допомогою операційної системи іншого комп'ютера в тій послідовності, що вказана вище.

Буду радий, якщо ви з цим справитеся самостійно і не станете стимулювати фінансово цих виродків-вимагачів.
Так ... і не раджу звертатися з цим в міліцію, якщо ви порахуєте, що якщо вам номер телефону відомий, то міліція вас врятує і для неї все просто далі. Логіка-то ваша буде вірна, але помилково буде переконання, що міліція вам допомагатиме. Самі подумайте - номера до вас приходять відкрито .... и не один рік. Ті, хто цим вимаганням займається, мабуть, вважають себе безкарними і мають підстави так вважати

Хочу поділитися свіжим досвідом.

Так вийшло, що цю гидоту зловив сьогодні вночі я сам. Так вийшло, що цю гидоту зловив сьогодні вночі я сам
Шарілся по просторах инета в пошуках різних утиліт і клацаючи все підряд без розбору, відволікаючись на телефон і інші дрібниці. На якомусь сайті, вже й не пам'ятаю якому (занадто багато було відкрито вкладок в браузері) миготіли і порнушечние сайти (мимо них в рунеті неможливо пройти - нав'язливі з усіх боків) я і підчепив цей трипер. І не просто банер, а таку жорстоку порнуху, яка закрила весь екран і блокує комп'ютер. Досада моя відразу ж пройшла, після того, як я згадав що тут вам радив. Ось і подумав, що мені випала нагода перевірити мої поради на собі самому, не звертаючись до засобів технічним.

Тож почнемо:
Я відразу ж вирішив перевірити той LiveCD від Док.Веба, який вам радив постами вище. Я його скачав, залив на диск і вставив в впав комп, запустивши комп'ютер з нього. Досить довго вантажився і видав недружній інтерфейс для рядового користувача - лінуксових середовище та англомовний інтефейс. Є там і файловий менеджер, який свої завдання виконує, але на найнижчому рівні ... щойно одна назва. Але я вирішив випробувати сканування системного диска на предмет зараження, щоб зрозуміти - яке користувачеві від цього толку. Запустив сканер і ... .понял, що я не дочекаюся результату, а тому залишив комп'ютер включеним, за виконанням цього завдання і ліг спати. Прокинувшись вранці, виявив, що процес сканування триває !!! Чекати закінчення я не став, тому що вже було ясно, що таке сканування нікого не задовольнить і гарантій ніяких не дає, а тому тупо чекати невідомого результату не варто.
Засукавши рукава і на свіжу голову взявся знову видаляти цю біду вручну. До цього мене спонукало ще й те, що в нашій країні складно покладатися на антивірус тому, що більшість наших співгромадян використовують софт, який визначається антивірусними програмами, як віруси, а ця погань, яка відвідала мене сьогодні вночі мала зовсім вірусну природу, а звичайне шахрайство, коли під звичайну кнопку на сайті господар сайту, який ви відвідуєте, підсовує скрипт з неприємними наслідками. Ось ви і натискаєте на цю кнопочку (як натиснув і я), а наслідки від натискання зовсім інші, ніж ви очікували. Тому вам і раджу - йти з тих сайтів, де нав'язлива реклама, стрибають довільні вікна і відбувається переадресайія без вашого контролю. Нехай там розважаються ті, хто це чудовисько створював.

Продовжимо. Насамперед, я визначив ступінь ураження, щоб зрозуміти механізм впливу, а вона виявилася така - порнозаставка на весь екран, немає панелі завдань і меню «Пуск». Природно, скинути це з робочого столу не виходить стандартними засобами. Пробую перезавантажуватися в безпечний режим - ця гидота і там ... .ясно. Насамперед необхідно очистити те, що закриває робочий стіл.
Натискаємо клавіші ctrl + alt + del - з'являється диспетчер задач. У Владко «додатки» тиснемо кнопку внизу «нове завдання» і у вікні вводимо в рядку шлях - C: \ Тепер у нас з'явилося вікно провідника з вмістом диска C: \. У меню вікна шукаємо кнопку «сервіс» - «властивості папки» - «вид» і ставимо галочку на пункті «показувати приховані файи і папки». Тепер нам стали доступні ті місця, де ховається зараза, а ховається вона у тимчасових каталогах користувача. Тому очищаємо вміст ось цих каталогів: C: \ Documents and Settings \ [ім'я користувача] \ Local Settings \ Temp; C: \ Documents and Settings \ [ім'я користувача] \ Local Settings \ Temporary Internet Files; C: \ WINDOWS \ Temp і вміст інших тимчасових каталогів, якщо є (браузерів Opera, Mozilla і т.д.). Можуть бути випадки, коли і «диспетчер задач» виявиться заблокований. В цьому випадку можна скористатися файловими менеджерами типу far, norton, volkov, file navigator, розташованими на флеш і стартувати менеджер, вказавши шлях до виконуваного файлу в командному рядку типу E: \ fn \ fn.exe, де «Е» буква диска вашого флеш накопичувача. Можна і використовувати вже раніше встановлені менеджери на вашому комп'ютері, якщо встановлювали свого часу, наприклад, той же Total Comander, соответсвенно вказавши в командному рядку шлях до виконуваного файлу.

Після очищення тимчасових каталогів, приступаємо до відновлення функцій системи. Так як у нас немає робочого столу, то робимо висновок - збитий шлях до файлу explorer.exe. Йдемо туди. Для цього запускаємо редактор реєстру C: \ WINDOWS \ regedit.exe і йдемо далі - [HKEY_LOCAL_MACHINE] - [SOFTWARE] - [Microsoft] - [Windows NT] - [CurrentVersion] - [Winlogon].

Значення строкового REG_SZ-параметрів Shell має бути - explorer.exe (швидше за все там у вас красується шлях і ім'я файлу, який заповнював робочий стіл, або посилання на інтернет-ресурс),
а строкове значення REG_SZ-параметрів Userinit має бути C: \ WINDOWS \ system32 \ userinit.exe.
Якщо у вас інакше, то зробіть так, як зазначено вище.

Далі прибираємо залишки агресії на ваш комп'ютер. Для цього йдемо в "Пуск - програми - стандартні - службові - призначені завдання". Тут ви побачите те, що закривало ваш робочий стіл (заставка), тобто не сама заставка, а шлях до неї (програми, віддалені вже вами з тимчасових каталогів). Подивившись уважніше на рядок завдань, які встановилися крім вас, ви виявите, що режим запуску у них встановлений при старті Windows. Всі ці завдання слід видалити. Якщо ви самі не планували раніше завдань, то у вас там нічого не повинно бути.

Тепер можете перезавантажити комп'ютер і ввійти в нього вже нормально.

Всі ці дії, описані вище, можна зробити і за допомогою LiveCD, а точніше за допомогою ERD-Comander. В цьому випадку вам, завантажившись з CD, не знадобитися працювати в командному рядку, а можете працювати мишкою в графічному інтерфейсі.

Способів у тих, хто винаходить ці гидоти безліч, але і прибрати все це - способів теж не мало.

Після перезавантаження, коли ви переконалися, що увійшли в систему нормально і побачили свій робочий стіл, дуже раджу відкотити назад систему, вбудованої стандартною утилітою Windows "відновлення системи". Справа в тому, що я описав легкий випадок, але зловмисники, які написали свій скрипт, можуть піти і трохи далі, збивши у вас і групові політики безпеки, а це ви можете відразу і не помітити і виявите вже коли впретеся при необхідності, яка виникне через час. Тому дотримуйтесь в програми - стандартні - службові - відновлення системи. І вибирайте там дату відновлення на пару днів раніше дати, коли сталася проблема. Ваші всі налаштування відновляться в колишньому обсязі, ну, а якщо настройки і не були збиті, то ви нічого не втратите. Пояснювати ж як і це привести в порядок в ручному режимі - дуже клопітно і об'ємно. Та таке і не роблять фахівці на звичайних ПК, таке робиться тільки на серверах, а на ПК використовують відкати - просто і не клопітно.

Вся процедура ручного видалення проблеми у мене зайняла хвилин п'ятнадцять, разом з ранковим чаюванням.

Є ще один вид нежитю не дуже серйозний або зовсім несерйозний, але приносить початківцям або не глибокий користувачам проблеми.

Часто користувач при вході на сайти "вконтакте", "однокласники" або інші впирається в імітацію справжнього вікна, наприклад, "однокласників". У вікні йому пропонується будь-яка погань у вигляді відправки тієї ж SMS. Ви повинні розуміти, що ви, при наборі адреси в рядку браузера, набравши правильну адресу, потрапили в помилкове вікно. При цьому, інші сайти працюють без проблем.

Як з цим боротися? Дуже просто - потрібно прибрати цю підміну. Вона знаходиться за адресою:

C: \ WINDOWS \ system32 \ drivers \ etc \ HOSTS

Необхідно відкрити цей файл HOSTS за допомогою текстового редактора "блокнот" і видалити рядок, де написано, в даному випадку - "Одноклассники.ру". Тобто видалити весь рядок, де присутня назва цього сайту. Також і у випадку з іншими сайтами - вконтакте і т.д.

Сьогодні до мене, з ранку, звернувся користувач, у якого при включенні комп'ютера вийшло вікно повідомлення про вірусну загрозу. Банер, що вискочив при старті комп'ютера мав, як би, офіційний вид вікна повідомлення одного з типів антивіруса з пропозицією відправити СМС на вказаний номер, з метою отримання подальших інструкцій з видалення вірусу.

Звертаю вашу увагу, що це така ж погань, як і описаний вище вірус з порнозаставкамі та іншими заставками-банерами. Спільне в них одне - отримання грошей за допомогою СМС. Серед програмістів ця гидота не відноситься до категорії вірусів, так як має дещо іншу природу, але проблем простим користувачам приносить чимало, тому що далеко не завжди виявляється антивірусними програмами.

Чи не виявився різними антивірусними програмами та утилітами і цей продукт (я спеціально проекспериментував на пробу).

Як же з цим боротися? Я зробив дуже просто, що і вам раджу:
Завантажився в безпечному режимі і увійшов в папку C: \ WINDOWS \ system32
Потім з пошуку (див. Пости вище в цій темі), намагався знайти файли * .dll, що з'явилися на цьому комп'ютері вчора перед вимиканням, тобто поставив діапазон пошуку одного дня, в даному випадку - 19.01.2010.

Ніяких нових файлів з даними розширенням не знайшлося. Тоді я змінив тип пошуку, прибравши пошук по розширенню і викликав пошук взагалі всіх файлів з'явилися в даний день. Пошук знову не дав результатів.

Тоді я перейшов в папку на рівень вище - C: \ WINDOWS \ і задав пошук без розширення на дату минулого дня. Програма пошуку видала, щось, близько десятка-півтора файлів. На файли з розширенням * .txt і * .log я уваги звертати не став, а ось на інші звернув - відкривши кожен працюєте в текстовому редакторі і переглянувши записи в них. Ті файли, де були записи до вказаної дати (всередині), я залишив, а ось ті, де записи починалися датою минулого дня - видалив.

Подібні файли можуть зустрітися з самим різним назвою і можуть бути де завгодно, як в корені диска "С", так і в папках профілю користувача.

Так, всі описані в цій темі дії для Windows ХР.

Ну і не забувайте про антивірусних програмах. Оновлюйте їх регулярно і сканувати при підозрах свій диск. Не змінюйте кардинально думку в негативну сторону про свій антивірус, якщо він вам одного разу не допоміг, адже ви навіть не знаєте скільки разів він вас виручив.

Ще раз звертаю вашу Рамус, что всі віскакують ПОВІДОМЛЕННЯ, что предлагают вам послати СМС з метою вам помочь, або зв'язати з бюро допомоги, повінні оброблятіся вашим розумом. Будь то повідомлення "антивіруса" або "системи". Знайте, що виробник антивірусних продуктів так робити не буде ніколи. Подібні повідомлення вас завжди повинні насторожувати.

І не намагайтеся йти по легкому шляху, який вам задав шкідник - послати СМС. Пам'ятайте, що цей шлях, в результаті, виявиться найважчим і безрезультатним.

Відстеження завантаження шпигунських програм в системі Windows

Випадково натрапив в інтернеті на статтю, яка, як мені здалася, буде цікава і доступна для розуміння простому користувачеві для загального розвитку. Стаття стара, але почитати її варто, для загального розуміння.

Публікую цю статтю разом з ім'ям автора:

Цитата:

Автор: Трофименко А.В. ( [email protected] )
Джерело: whatis.ru

Останнім часом в Інтернеті часто зустрічаються питання про те, що при використанні Internet Explorer відбувається зміна стартової сторінки, при завантаженні по посиланню відкриваються зовсім інші сторінки. Я сам зіткнувся з цим і тому вивчав проблему на собі. Перше, що радили, це скористатися спецпрограми типу Ad-aware і Антивірус Касперського з новими базами. Це правильно і на якийсь час вирішує проблему, але потім знову все повторюється. Я ж вирішив з'ясувати вручну де прописується шпигун і як мені здається з'ясував це. Я не письменник і не журналіст, стиль моєї писанини прошу не критикувати, пишу тому що сам не знайшов в одному місці докладного опису як і що відбувається і вирішив заповнити цей. Може кому буде цікаво.

Отже, зустрівшись з тим, що ваш Internet Explorer став завантажувати не ті посилання, перше що можна порадити - це поставити Ad-aware і Антивірус Касперського з новими базами і просканувати комп'ютер. Але якщо ви хочете самі вирішити цю проблему, то моя стаття для Вас. Також я постараюся описати свої дії докладно, може кому з початківців стане в нагоді в якості методики пошуку шпигунів. Фахівцям це може буде зайве. Вони і без мене це знають, тому я адресую статтю в першу чергу для початківців.

Для спостережень я використовував два комп'ютера: на роботі Windows XP без сервіс паків і вдома спочатку також Windows XP без сервіс паків, потім поставив послідовно SP-1 і SP-2.

Коли я вперше зіткнувся з цією проблемою, то для з'ясування де ж що грузиться став перевіряти, по-перше, пункт «Автозавантаження». У мене в ньому варто тільки завантаження офісу. По-друге, ключі реєстру відповідальні за автозавантаження програм: це розділ реєстру
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Curr entVersion
а в ньому підрозділи Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. У цих розділах є строкові ключі (деякі розділи порожні), що відповідають за запуск програм. Назва ключа може бути довільним, а в якості значення у них вказується запускається програма, якщо треба - то з параметрами. Зверніть увагу на розділи, в назві яких є "Once". Це розділи, в яких прописуються програми, запуск яких треба зробити всього один раз після наступного завантаження системи. Наприклад, при установці нових програм деякі з них прописують туди ключі, що вказують на ті чи інші налагоджувальні модулі, які запускаються відразу після перезавантаження комп'ютера. Такі ключі після свого запуску автоматично видаляються. У параметрі
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Curr entVersion \ Run
я знайшов одну програму з ім'ям з довільного набору букв. Програма була записана в папці Windows, дата створення виявилася свіжа. Зрозумівши що це шпигун, вирішив потім з ним розібратися. Власникам лінійки Win98 рекомендую заглянути ще й в файл win.ini в розділ [windows]. У ньому є два параметри load і run. Якщо в них записані якісь програми, то варто перевірити які саме і чи потрібні вони Вам. Крім цього в реєстрі є параметр
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppInit_DLLs
У ньому можна прописати DLL які будуть завантажуватися при всіх завантаженнях в усі запускаються Windows процеси, які використовують бібліотеку User32.DLL. У мене цей параметр порожній.

Таким чином все перевіривши я знайшов тільки одного шпигуна в параметрі реєстру, що відповідає за автозавантаження програм. Перезавантаживши комп'ютер я відразу вивів на екран диспетчер задач Windows і поспостерігав, як цей процес завантажившись при старті системи відпрацював кілька хвилин і вивантажився. Вирішивши що він завантажує DLL в пам'ять і вже потім вона грає роль шпигуна, я цей параметр видалив з реєстру і з папки Windows.

Перевірив ключі реєстру:

1. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ URL \ DefaultPrefix
Значення параметра за замовчуванням має бути "http: //"

2. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ URL \ Prefixes
Там повинні бути наступні значення параметрів:
"Ftp" = "ftp: //"

"Gopher" = "gopher: //"

"Home" = "http: //"

"Mosaic" = "http: //"

"Www" = "http: //"

і не повинно бути ніяких адрес інтернет. У мене там стояли url, які я і видалив.

Вирішивши, що зі шпигуном покінчено, я заспокоївся і деякий час працював все нормально, але через кілька днів повторилося знову те ж саме, що було відразу помітно тому що змінювалася стартова сторінка. Вирішивши, що працюючи в Інтернеті я знову ловлю заразу, я також вручну прибрав з автозавантаження з'явився файл, в імені якого були вже інший набір букв, але порівняння файлів з попереднім видавало, що вони однакові. Видалив файл і виправив ключі реєстру, тому що там знову прописувалися url. Звичайно можна було відразу хильнути сервіс паки, але я вирішив спостерігати що ж буде далі. Будинки поставив SP-1. Попрацювавши я став більш уважно стежити і звернув увагу, що в один день відбулися зміни сторінки і url в той час, коли я не був підключений до Інтернету. Зараження так само сталося і на домашньому комп'ютері при роботі в Інтернет. До цього він не був заражений з чого я зробив висновок що SP-1 не є захистом від використовуваної шпигуном діри.

Висновок: шпигун так і сидів на робочому компі; на домашньому тільки що відбулося зараження, тільки вносив зміни він мабуть не відразу, а через кілька днів, мабуть щоб залучати менше уваги. Якби він відразу вносив зміни після мене, то я б раніше зрозумів, що шпигун продовжує працювати і не припинив би пошуки. А так я втратив кілька тижнів, думаючи що ловлю шпигуна з Інтернету, в той час, як він сидів у мене і продовжував працювати.

Перевіряючи комп'ютер, і, в першу чергу, папку Windows за датою створення файлів, я звернув увагу на файл qwe7972.ini в папці Windows \ System32. Особливість його була в тому, що після кожної перезавантаження у нього змінювалася дата і час створення файлу, тобто при кожному завантаженні якась програма пише в файл інформацію. Причому інформація у файлі була нечитаемая - просто набір символів в рядках. По виду схожий на інші ini файли, тобто також у файлі [розділи], в розділах параметр = значеніе_параметра, тільки інформація була зашифрована. Відразу висновок, що інформацію намагаються від нас приховати і, природно, таким файлом треба зацікавитися. Якби це була система, то були б звичайні записи хоча б і на англійському. Відсортувавши файли в папці на ім'я я побачив файл qwe7972.dll. Природно напрошується висновок що саме ця бібліотека і пише інфу в файл, з огляду на що у них однакові імена і дата створення DLL свіжа, а систему я ставив давно і ніяких оновлень не проводив, у всякому разі на робочому компі. Тому файл з такою датою ніяк не міг потрапити на комп'ютер в результаті моїх дій. Залишилося розібратися як бібліотека вантажиться. Прибравши шпигуна з автозавантаження (як я вже писав файл з ім'ям з набору букв) і перезавантажити я побачив, що час файлу qwe7972.ini змінилося, отже бібліотека продовжує завантажуватися і працювати. Спробував видалити бібліотеку, але система видала, що об'єкт заблокований, що підтвердило здогад про роботу бібліотеки в даний момент. Скориставшись програмою ProcessInfo з доданих до книги Ріхтера «Windows для професіоналів», я подивився які процеси вантажать цю DLL. Це виявився EXPLORER і тільки він їй користувався (є й інші проги для перегляду інформації про процеси, але я в той час читав книгу Ріхтера і для досвіду використовував його проги). Я порівняв файл EXPLORER з робочого компа зі свідомо справним файлом з дистрибутива Windows. Виявилося, що вони однакові і на той момент у мене не виникло версій як же вантажиться бібліотека, тобто змін в заголовок файлу не вносилися. Перезавантаживши комп в безпечному режимі я цю бібліотеку видалив. З антівірусніков на той час я використав Нортон Антивірус з новими базами, оновлюваними раз в тиждень, але Нортон на цю бібліотеку не лаявся. Я поставив Касперського 5 з новими базами. У копії цієї бібліотеки Каспер побачив шпигуна.

Близько місяця все було нормально поки у мене не було вирішене одне питання - як же бібліотека вантажилася? Через місяць на робочому компі я знову побачив проблеми, стартова сторінка вже так явно не змінювалася, але відбувалися зміни url в реєстрі і при роботі в IE відкривалися зовсім інші посилання, а не ті, на які я натискав. Йдучи уторованим шляхом я виявив в папці Windows \ System32 бібліотеку qweХХХХ.dll, де замість "ХХХХ" вже інші цифри, а також ini файл з тим же ім'ям. Що стоїть на компі Каспер вже не бачив в ній шпигуна.

Перезавантажити в безпечному режимі я цю бібліотеку видалив. Все знову встало на місця. Оновив бази Каспера. Але мені все не давала спокою думка як бібліотека вантажилася. Я перевіряв все ключі відповідальні за автозавантаження програм, там видаляв все підозріле, і, навіть коли там залишалися тільки необхідні програми, яким я довіряю, бібліотека все одно вантажилася. Читаючи літературу я зустрів інформацію, що є і ще можливість завантаження яку я не перевіряв.

В Internet Explorer вбудована технологія Browser Object Helper. Дана технологія дозволяє вбудовувати іншим програмам свої плагіни в IE і виконувати якісь дії під час його роботи. Так, наприклад, надходять качалки. У мене стоїть FlashGet. Дана технологія може бути використана і для спостереження за діями користувача в IE і замість його дій виконувати свої, в тому числі для завантаження інших сторінок замість тих на які хочемо перейти по посиланню.

Об'єкти завантажуються через BHO зберігаються в ключі:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Explorer \ Browser Helper Objects
де перераховані значення з ім'ям рівним CLSID завантажується об'єкта. У ключі
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID
знаходимо по CLSID розділ з ім'ям цього CLSID. У ньому можна подивитися параметри об'єкта, в тому числі і шлях до завантажується бібліотеки в параметрі \ InprocServer32 \ (За замовчуванням) = "шлях до завантаженого об'єкта".

Подивившись дані ключі я побачив, що через них вантажилися ці DLL, і хоча фактично самі файли я видалив, але ключі відповідальні за завантаження залишилися на місці. Тобто EXPLORER не змінювався, він залишався саме тим яким і був при установці WINDOWS, інші проги не Грузія бібліотеки, використовувалося те, що було вбудовано розробниками. При завантаженні EXPLORER переглядав ключі реєстру і довантажувати бібліотеки. Якщо якийсь із них не було, то це просто пропускалося не вивільняючи ніяких повідомлень.

Таким чином можна вручну розібрати що нам треба в даних ключах реєстру, а що ні, і видалити шпигуна. А можна скористатися спецпрограми, наприклад, BHO Captor або WinPatrol. Остання мені особливо сподобалася, так як крім цього видає багато іншої корисної інформації по тому що запускається на комп'ютері. Але перша, що добре, має в комплекті вихідні тексти на DELPHI. У всякому разі, та версія яку я скачав. За ісходникам можна подивитися використовувані ключі реєстру.

Ось в принципі і все, що я хотів розповісти в своїй статті. Технологія завантаження BHO для мене була відкриттям. Якщо про вищеописаних ключах і методах завантаження я чув раніше і при пошуку шпигуна їх використовував, то BHO я відкрив для себе вперше, і до цього часу загальнодоступних місцях я не зустрічав опису цього, тому вирішив заповнити прогалину.

Звичайно, якщо використовувати більш нові версії програм для спостереження за системою і регулярно оновлювати бази, то ці шпигуни будуть видалені (Каспер також повідомляє, що об'єкт DLL заражений і видалити його неможливо, тому що він заблокований. Доводилося перезавантажувати в безпечному режимі і видаляти вручну), але для мене було цікаво розібратися самому де це відбувається. Крім того хочеться сказати слово на користь установки сервіс паків: хоча SP-1 дозволяв шпигунові пролізти в систему, то SP-2, що стоїть у мене вдома, поки не дає цього зробити. Мабуть діру, через яку шпигун ліз на комп'ютер, він закриває. Зараз подумую і на роботі встановити сервіс паки.

Ще раз повторюся - моя стаття для початківців, фахівців прошу мене не лаяти. Можливо Вам це було вже давно відомо, але раніше серед відповідей на рішення даної проблеми посилання на технологію BHO я не бачив.

Ціна СМС

Так, мабуть варто сказати, хай не про найголовніше, але дуже неприємний надалі для тих, хто все ж відправить СМС за вказаним нахабному номеру.

Ваш номер потрапляє в базу даних тих людей, до яких ви звернулися в надії на відкуп. Вам це не говорить ні про що?

Зовсім недавно, одна знайома зізналася, що відправила в паніці СМС, не знаючи що робити. У відповідь їй прийшло повідомлення, що на її рахунку недостатньо коштів (у неї було, як вона сказала, що щось близько трьохсот рублів на рахунку) Зовсім недавно, одна знайома зізналася, що відправила в паніці СМС, не знаючи що робити

Її врятувало те, що був пізній вечір і вона полінувалася йти поповнювати рахунок. А на ранок настав просвітлення і вона вже думала про зміну номера. Надіславши одного разу, ви зовсім не гарантовані від подальших довільних спустошень вашого рахунку.

Читайте по цій же темі ще тут

Чому не хлопчики?
Які кроки може зробити користувач в паніці?
Позбудеться користувач цим пожертвуванням або слабкістю від проблеми?
А як бути вдома простому юзеру?
Що вам можуть запропонувати на форумах?
Що я вам можу запропонувати?
Як з цим боротися?
Як же з цим боротися?
Близько місяця все було нормально поки у мене не було вирішене одне питання - як же бібліотека вантажилася?
Вам це не говорить ні про що?
Провайдеры:
  • 08.09.2015

    Batyevka.NET предоставляет услуги доступа к сети Интернет на территории Соломенского района г. Киева.Наша миссия —... 
    Читать полностью

  • 08.09.2015
    IPNET

    Компания IPNET — это крупнейший оператор и технологический лидер на рынке телекоммуникаций Киева. Мы предоставляем... 
    Читать полностью

  • 08.09.2015
    Boryspil.Net

    Интернет-провайдер «Boryspil.net» начал свою работу в 2008 году и на данный момент является одним из крупнейших поставщиков... 
    Читать полностью

  • 08.09.2015
    4OKNET

    Наша компания работает в сфере телекоммуникационных услуг, а именно — предоставлении доступа в сеть интернет.Уже... 
    Читать полностью

  • 08.09.2015
    Телегруп

    ДП «Телегруп-Украина» – IT-компания с 15-летним опытом работы на рынке телекоммуникационных услуг, а также официальный... 
    Читать полностью

  • 08.09.2015
    Софтлинк

    Высокая скоростьМы являемся участником Украинского центра обмена трафиком (UA — IX) с включением 10 Гбит / сек... 
    Читать полностью