Друзі, останнім часом від вас прийшло дуже багато листів з однією проблемою, у багатьох з вас не відкриваються сайти відразу декількох відомих соціальних мереж: “Однокласники”, “ВКонтакте”, а так само сайти www.youtube.com, ru.opera.com, mail.ru. Тема ця досить серйозна. Справа тут, звичайно у вірусі, який знаходиться у вашій системі і, на жаль, не завжди в одному і тому ж місці, і не завжди його дії однаково передбачувані. Тому навіть у сервісних центрах з даною проблемою зв’язуватися не люблять і просто запропонують вам перевстановити операційну систему і звичайно, цей варіант не для нас з Вами. Про те, як знайти і видалити шкідливу програму, наша стаття. Вона, звичайно, не панацея, але впевнений, дещо з нижческазаного вам стане в нагоді. Стаття вийшла довга і в ній докладно описаний реальний випадок видалення шкідливої програми. Написана простою і доступною мовою, так що все зрозуміє навіть початківець і недосвідчений в комп’ютерних справах користувач. З повагою до вас адмін.
Не відкриваються сайти
Лист від читача. З початку не хотів писати Вам, думав розберуся зі своєю проблемою сам. Недосвідченим користувачем себе не вважаю, навпаки звик завжди у всіх проблемах розбиратися самостійно і інколи допомагати іншим. Всі мої друзі про це знають і часто мене просять допомогти у вирішенні тієї чи іншої проблеми, пов’язаної з комп’ютером, але останнім часом не можу розв’язати одну задачу. У моїх знайомих з’явилася проблема – не відкриваються сайти, а останній випадок зовсім цікавий, при спробі відкрити будь-яким браузером такі ресурси як: Однокласники, В Контакті, www.youtube.com, ru.opera.com, mail.ru і навіть microsoft.com/ru виходить сторінка з зовнішнім оформленням зовні схожим на вищеперелічені сайти, але з таким повідомленням:
Виявлена загроза, браузер зафіксував спроби внесення змін в його роботу. Щоб уникнути крадіжки конфіденційної інформації, паролів і фінансів в електронних системах рекомендуємо негайно встановити останнє оновлення безпеки браузера. Що б почати оновлення підтвердіть згоду з правилами. Введіть номер телефону. На даний номер телефону буде відправлена безкоштовно смс-повідомлення з кодом, який необхідно ввести далі.
І далі у вікні браузера поле для введення номера телефону.
Для інтересу я ввів свій номер телефону і натиснув Підтвердити, тут же на телефон прийшов код з декількох цифр і така інформація Для підтвердження платежу надішліть цифру…І дурневі зрозуміло, якщо зараз послати цю цифру, то я підтверджу платіж і з мого телефону шахраї знімуть всі гроші.
В інтернеті цю проблему обговорюють вже давно, але відповідь на це питання в основному стандартний для таких ситуацій: Виправити файл hosts, перевірити комп’ютер на наявність шкідливих програм. Комп’ютер на віруси я перевірив антивірусними дисками двох виробників, на жаль ефекту це не принесло, а от з файлом hosts досить цікава ситуація виходить. В папці де він знаходиться
С:windowssystem32driversetc його просто немає, як таке може бути не зрозумію, відображення прихованих файлів і папок у системі включено, так само прибрав галочку з пункту Приховувати захищені системні файли. Створив файл hosts заново, але все одно сайти не відкриваються. До речі один раз мені попалося два файлу hosts, уявляєте, я тоді просто переустановив операційну систему.
Ну а тепер у мене запитання до вас, що робити, коли не відкриваються сайти і де шукати вірус, як вчинити, якщо пропав файл hosts або їх два? Якщо можна напишіть все покроково, дуже багато будуть вам вдячні, я впевнений. Андрій.
- Примітка: Якщо проблеми з роботою сайту у вас з’явилися недавно, то в першу чергу застосуйте відкат з допомогою відновлення системи на один, два дні тому, це повинно допомогти. Ще в більшості випадків допоможе повне сканування вашої операційної системи власним антивірусом, а так само антивірусної утилітою Dr.Web CureIt або ви можете завантажитися з антивірусного диска. Останнім часом мені дуже допомагає впоратися з цією проблемою чудова антивірусна утиліта Kaspersky Virus Removal Tool (рекомендую). Також обов’язково потрібно очистити кеш браузера.
Або читайте далі, буде цікаво. Раджу перед будь-якими діями створити точку відновлення системи або бекап цілого системного диска , якщо щось піде не так, то ви в будь-який момент зможете відкотитися назад. Хочеться дати вам пораду друзі, що б менше потрапляти в такі ситуації, звичайно, у вас повинна бути встановлена хороша антивірусна програма і звичайно вона повинна постійно оновлюватися. Так само в допомогу антівіруснік встановіть хороший менеджер автозавантаження. Якщо торкнутися вибору операційної системи, то бажано віддати перевагу Windows 7 64-bit або Windows 8 64-bit, так як 64 – розрядні системи є більш безпечними, ну і звичайно у вас повинні бути включені оновлення.
Нещодавно зателефонував мені знайомий і запитав: -«Слухай, старий, як ти думаєш, чому в мене не відкриваються сайти: Однокласники, В Контакті, mail.ru і так далі, хотів перевстановити оперу, але завантажити нову версію браузера не вийшло, я до них на офіційний сайт потрапити не можу, уявляєш. Пишуть – Виявлена загроза і потрібно негайно встановити останнє оновлення безпеки, для цього послати смс. Але ти мені казав, ніяких смс в таких випадках не посилати, тому вирішив подзвонити тобі».
Через годину я був у мого друга і при найближчому розгляді у нього на комп’ютері було те, що я і очікував.
При спробі увійти на сайт «В Контакті», нас чекало таке повідомлення – На вашу сторінку протягом 24 годин було зроблено більше 10 невдалих спроб авторизації (ви або хтось інший ввели неправильний пароль 12 разів)…
Офіційний сайт ru.opera.com так само був недоступний
http://otvet.mail.ru/ недоступний і повідомлення – Ви намагаєтеся увійти з незвичайного місця. Якщо намагаєтеся увійти зі звичного місця, можливо провайдер змінив Ваш IP-адресу…
www.youtube.com ось така билиберда
І навіть сторінка microsoft.com/ru була підмінена вірусом на такий твір: Ваша копія Internet Explorer зафіксувала спроби внесення змін до його роботу…
При спробі увійти в Однокласники, з’являлося ось таке вікно – З вашого IP зареєстрована аномальна активність.
Чому не відкриваються сайти
Тепер друзі найцікавіше, візьмемо до прикладу з всіх наведених вище – сайт www.odnoklassniki.ru далі я раджу вам ввести в командному рядку команду:
Ping www.odnoklassniki.ru
ping – службова комп’ютерна програма, розроблена для перевірки з’єднань в мережах TCP/IP. Програма ping одна з найбільш простих і надійних діагностичних засобів в мережах TCP/IP і входить в поставку всіх сучасних мережних операційних систем і хочу сказати я їй дуже часто користуюся.
Командою ping можна перевірити доступність сайту www.odnoklassniki.ru вашого комп’ютера в мережі інтернет. Простими словами, програма ping відправляє на сайт однокласники запит і відразу ж фіксує надходить відповідь, порівняти дану програму можна з луною.
Відомий такий факт друзі, що під час другої світової війни слово «ping» означало спрямований акустичний сигнал протичовнових гідролокаторів.
І що ми бачимо – Перевищено інтервал очікування для запиту (100% втрат). Тобто цей сайт www.odnoklassniki.ru нам виявляється НЕ доступний.
Найуважніші читачі можуть зауважити цікаву дивина, сайт однокласники нам виявляється не доступний, але ми туди потрапляємо і перед нами виникає попередження – За вашого IP зареєстрована аномальна активність. Так хто ж все-таки просить послати нас грошики через смс, чесно кажучи на однокласників це зовсім не схоже і ми продовжуємо наше розслідування далі.
А тепер ми поступимо по-іншому і введемо іншу команду
Ping 217.20.147.94, позначення у цифрах 217.20.147.94 це не що інше, як IP-адресу однокласників і ось будь ласка, сайт однокласники пінгуєтся і від нього приходить відповідь, відбувається обмін пакетами (0% втрат).
Все це говорить нам про те, що сайт однокласники нам все-таки доступний, але в системі запущений шкідливий процес, який забороняє нам перехід на доменне ім’я однокласників – www.odnoklassniki.ru і перенаправляє нас замість однокласників на інший фішингових (змінний)сайт, зовнішнім оформленням однокласників і попередженням – З вашого IP зареєстрована аномальна активність і так далі.
З цього випливає друзі, що якщо ви не можете увійти на сайт однокласники, то спробуйте ввести в адресному рядку браузера замість www.odnoklassniki.ru, яке належить їм на один з IP-адрес 217.20.147.94 і дуже часто вам вдасться потрапити на сайт, звичайно тут багато залежить від складності написання шкідливої програми. В особливо важких випадках зараження, нам не вдасться увійти в однокласники і через введення в адресний рядок браузера IP-адреси однокласників 217.20.147.94
Ще інформація для вас, такі фішингові сайти як правило довго не існують і рано чи пізно їх закривають, але так як вірус ще довгий час знаходиться в мережі, ви замість однокласників можете отримати порожнє біле вікно або «Веб-сторінка недоступна», або «Сервер не знайдений».
І ще вам на замітку, якщо у вас проблеми з доступом на певні сайти, обов’язково перевірте розділ реєстру, де знаходяться таблиці маршрутизації
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes] в ній взагалі нічого не повинно бути.
Як відбувається перенаправлення на фішинговий сайт
Найчастіше друзі, перенаправлення на вірусний сайті відбувається за допомогою модифікованого файлу hosts і почнемо ми наше розслідування все-таки з нього, з маленького і важливого файлу hosts, а далі по ходу статті розглянемо інші причини недоступності деяких сайтів.
Де шукати файл hosts і що робити, якщо вміст файлу hosts не відповідає оригіналу або у вас два файлу hosts, або файлу hosts у вас немає взагалі.
- Як всі ми знаємо файл hosts знаходиться за адресою C:WindowsSystem32driversetc і має атрибут “прихований”. Потрібен файл hosts для прискорення роботи в інтернеті за допомогою обходу звернення до DNS серверу. Як він це робить? А дуже просто – шляхом зіставлення їх IP-адрес доменним іменам. Зараз все зрозумієте.
Що таке DNS сервер або служба DNS? Простими словами, всі сайти розташовуються в інтернеті на певних серверах і мають замість назв позначення в цифрах. Літерні позначення сайтів придумані для зручності користувачів (тобто нас з Вами), приміром сайт www.odnoklassniki.ru має IP-адресу 217.20.147.94. Спробуйте набрати в адресному рядку сайту 217.20.147.94 і ви потрапите на сайт «однокласники».
Так от, якщо ми з вами введемо в адресному рядку будь-якого браузера назва сайту www.odnoklassniki.ru, то служба DNS відразу переведе буквене значення сайту цифри 217.20.147.94, потім ми потрапимо на сайт «однокласники».
Тепер увага. Якщо ми з вами пропишемо у файлі hosts, перед назвою сайту www.odnoklassniki.ru таку інформацію 217.20.147.94, тобто іншими словами зіставимо IP-адреса 217.20.147.94 сайту www.odnoklassniki.ru це буде виглядати ось так:
ми потрапимо на сайт «однокласники» трохи швидше ніж зазвичай, міную службу DNS. Чому? Тому що всі браузери знають, що запит до файлу hosts має пріоритет перед зверненням до DNS-серверів, тобто перш ніж виходити в інтернет, будь-який браузер дивиться інформацію у файлі hosts і така інформація як 217.20.147.94 odnoklassniki.ru означає, що IP-адресу сайту «однокласники» у такий 217.20.147.94. Після цього браузер безпосередньо, міную службу DNS, відкриває сайт «однокласники».
Зараз, я думаю, вам стало зрозуміло, чому файл hosts справжня знахідка для вирусописателя і звичайно ви розумієте, що якщо в файлі hosts прописати наприклад
94.100.191.203 www.odnoklassniki.ru, то при наборі в адресному рядку будь-якого браузера www.odnoklassniki.ru ви на сайт «однокласники» НЕ потрапите, а потрапите зовсім в інше місце – на поштовий сервіс mail.ru. Чому? Та тому що IP-адреса 94.100.191.203, є адресою поштового сервісу mail.ru і у файлі hosts прописано зіставлення IP-адреси 94.100.191.203 доменному імені www.odnoklassniki.ru.
А ось друзі живий приклад того, як використовують файл hosts вірусні програми. Даний файл hosts був на зараженому комп’ютері, зверніть увагу на його зміст. Якщо такий файл у вашій системі, то ви замість сайтів «В Контакті», odnoklassniki.ru, mail.ru, Dr.Web Касперського і потрапите на сайт з IP-адресою 83.149.127.0 (вже не функціонує вірусний сайт).
Друзі, останнім часом вірусописьменники придумали одну хитрість, якщо ви приміром відкриваєте файл hosts в блокноті, то на перший погляд вам здасться нічого підозрілого, зміст файлу hosts буде стандартним, але варто прокрутити стрілку прокручування до кінця в кінець файлу hosts, то там ви зможете виявити наприклад ось такі шкідливі запису, їх звичайно потрібно видалити.
Через деякий час вам потрібно буде перевірити файл hosts заново, якщо шкідливі записи будуть внесені знову, значить у вас на комп’ютері
працює вірус. Як його знайти написано далі в статті.
Як знайти і виправити файл hosts
Файл hosts завжди знаходиться за адресою C:Windowssystem32driversetc, але іноді користувачі його там не виявляють, відбувається це з кількох причин.
Найшвидший спосіб потрапити в папку etc – Пуск – вводимо в поле пошуку
C:WindowsSystem32driversetc
і тиснемо Enter на клавіатурі, потрапляємо в папку etc.
Файл hosts може бути прихований, що б побачити її потрібно активувати Windows відображення прихованих папок і файлів, зробіть це обов’язково.
Комп’ютер->Керування->Параметри папок і пошуку->Вигляд, знімаємо галочку з пункту “Приховувати захищені системні файли, знімаємо галочку з пункту” Приховувати розширення для зареєстрованих типів файлів, потім відзначаємо пункт Показувати приховані файли і папки і диски. Застосувати і ГАРАЗД.
Тепер приховані файли і папки будуть відображені, в тому числі і файл hosts.
Не дивуйтеся, якщо у вас після зараження вірусом у вас може виявитися два файлу hosts. Буває це так, на увазі файл hosts з розширенням .txt і якщо його відкрити, то його вміст буде відповідати оригінальному змісту файлу hosts, але це не справжній файл hosts, так у файлу hosts не повинно бути ніякого розширення, справжній і модифікується вірусом файл hosts, може мати атрибут прихований і ви його не побачите, поки не включіть в Windows відображення прихованих папок і файлів.
Кілька разів мені траплялося два файлу hosts в папці etc, все як годиться, без розширення, причому абсолютно однакових, згоден, що це неможливо, але відповідь виявився простим, вірус підміняв у цьому файлі hоsts букву «о» на букву «о» в кирилиці і він ставав непрацездатним, в подальшому вірус створював свій шкідливий файл hosts, який і використовувався системою, в результаті їх виходило як би два. Про те що робити в такому випадку, написано докладно трохи нижче.
Якщо після всіх вищенаведених дій ви так само не виявите файлу hosts, значить змінено відповідний ключ в реєстрі, відповідальний за розташування файлу hosts в операційній системі, йдемо до реєстру і дивимося ключ:
HKEY_LOCAL_MACHINESYSTEM CurrentControlSetservicesTcpipParametersDataBasePath,
повинен мати таке значення, як ви бачите на скришноте, %SystemRoot%System32driversetc, тобто З:windowssystem32driversetc, якщо ключ змінений і в ньому вказана інша папка, не etc, значить системою буде використовуватися файл hosts, який знаходиться в цій іншій папці. Повертаємо потрібні параметри.
Хочу вам сказати друзі, буває це дуже рідко і без серйозної необхідності редагувати реєстр не потрібно, але якщо ви зберетеся це зробити, то обов’язково створіть резервну копію реєстру або операційної системи.
Файл міг бути вилучений вашої антивірусної програмою, при спробі вірусу змінити його зміст. Багато разів я стикався з цим. Зверніть увагу – карантин антивірусної програми ESET NOD32, файл hosts був видалений з операційної системи при зараженні.
Але що б у вас не було, ви можете повернути файлу hosts оригінальний зміст, як вручну, так і автоматично.
Якщо ви вибрали виправлення файлу hosts автоматично (рекомендується), то потрібно пройти за посиланням на офіційний сайт Microsoft, вибрати утиліту Microsoft Fix it 50267 і натиснути усунути проблему і все, далі вам буде запропоновано перезавантажити комп’ютер і після перезавантаження операційної системою Windows буде використовуватися вже виправлений файл hosts.
Для виправлення файлу hosts вручну, я привів вам оригінальний зміст файлу hosts в операційній системі Windows 7. Повністю скопіюйте вміст оригінального файлу hosts і замінити їх зміст вашого файлу hosts.
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP для Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
Не можу відредагувати файл hosts
Друзі, якщо у вас не виходить відредагувати файл hosts, значить вам потрібно звернути увагу на наступне…
Програму notepad (блокнот) запустити від імені адміністратора.
Так само зняти з файлу hosts атрибут Тільки для читання
Ваша антивірусна програма, цілком може забороняти вам редагувати файл hosts навіть автоматично, вимкніть її на час або завантажитися в безпечному режимі.
Важлива примітка: зрештою, можна просто замінити папку “etc” на комп’ютері, з якого немає доступу на деякі сайти. Нормальну папку “etc” ви можете взяти у друзів, якщо у них встановлена така ж версія операційної системи як і у вас немає проблем з доступом на сайти. Скопіюйте у них на флешку папку “etc” і замініть їй свою.
Папка etc важить 36 кілобайт, ваші друзі запросто можуть вам послати її по скайпу.
Як знайти вірус
Після приведення в норму файлу hosts, нам потрібно буде знайти шкідливу програму на нашому комп’ютері. Що б прискорити процес нейтралізації вірусу, ви можете завантажити дуже корисну і не один раз выручавшую мене безкоштовну утиліту Dr.Web CureIt.
Як я помітив на початку статті, видаляти ми будемо реальний вірус, що знаходиться на комп’ютері мого друга і не дає йому заходити на добрий десяток сайтів.
Що б виявити вірус, нам в першу чергу потрібно досліджувати всі програми, які завантажуються разом з операційною системою, тобто вивчити автозавантаження. Перше правило вірусної програми – потрапити в автозавантаження, інакше він просто буде лежати на жорсткому диску простим файлом і звичайно нам знадобиться для цього хороший інструмент. Не потрібно нічого складного і виберемо ми з вами вже знайому нам, ефективну і просту програму AnVir Task Manager, але володіти ви їй повинні професійно, на всі 100%. Завантажуємо її на офіційному сайті http://www.anvir.net/ і встановлюємо. Перш ніж вступити в бій, можемо пройти курс молодого бійця – переглянути хороший навчальний відеоролик.
При установці програми НЕ вибирайте повну установку, а виберіть Налаштування параметрів і зніміть галочки з усього, що вам не знадобиться, залиште тільки на пункті Запустити AnVir Task Manager (рекомендується)
і Додати іконку на робочому столі. Дуже може згодитися іконка завантаження процесора. І звичайно поставте галочку на Стартувати AnVir Task Manager при завантаженні Windows.
Запускаємо програму AnVir Task Manager і вивчаємо автозавантаження
Відкривши програму AnVir Task Manager, не чекайте того, що в її вікні ви побачите програму або процес з назвою «Я вірус». Тут нам потрібно включити нашу голову. В першу чергу потрібно звернути увагу на те, що програма AnVir Task Manager надає досить вичерпну інформацію по всіх файлів і процесів, є навіть такий пункт, як – Рівень ризику, програма як би підказує нам, на які потрібно звернути увагу.
В першу чергу дивимося на зовсім незнайомі нам файли і процеси, що знаходяться в автозавантаженні, приміром з дивними назвами.
- Але іноді друзі, вірус буде маскуватися під цілком корисну і потрібну програму, як у нашому випадку. Для кращого засвоєння матеріалу, давайте знайдемо вірус разом на комп’ютері мого друга.
Дивимося автозавантаження і бачимо – найпершим в автозавантаженні знаходиться додаток adobe_flash_player.exe, тобто іншими словами, якщо міркувати логічно, то даний файл претендує на приналежність компанії-розробнику Adobe Systems, відомого виробника таких продуктів як: Adobe Acrobat, Adobe Photoshop, Adobe Flash Player і так далі. Клацніть на ній правою кнопкою миші і ставимо галочку на Детальна інформація і тут же відкривається детальна інформація про нашому файлі. За попереднім прогнозом AnVir Task Manager, наш файл є небезпечним.
В нашому випадку потрібно думати, що файл adobe_flash_player.exe належить продукту Adobe Flash Player і повинен перебувати в належній програмі Adobe Flash Player папці
C:WindowsSystem32MacromedFlash для операційної системи Windows 7 32bit.
Або
C:WindowsSysWOW64MacromedFlashдля операційної системи Windows 7 64bit.
Але знаходиться наш дивний файл adobe_flash_player.exe як не дивно зовсім в іншій папці. Клацаємо правою мишею на назві файла і вибираємо в меню – Перейти -> Показати файл у провіднику, називається папка Автозавантаження.
У цій папці знаходяться ярлики програм, які необхідно запустити користувачеві разом з операційною системою. Кожен вірус просто мріє потрапити в цю папку і запустити свій шкідливий процес при наступному завантаженні системи. Самі ми туди цей файл не поміщали і тим більше незрозуміло, навіщо він нам взагалі власне потрібен.
У Windows XP папка Автозавантаження знаходиться за адресою
C:Documents and SettingsІм’я користувачаГоловне менюПрограмиАвтозавантаження
У Windows 7 папка Автозавантаження знаходиться за адресою
C:UsersALEXAppDataRoamingMicrosoftWindowsStart MenuPrograms
Звичайно даний факт має викликати у вас підозру.
Крім того, якщо у вікні програми AnVir Task Manager вибрати Всі записи, то ми побачимо файл цього планувальника програми Adobe Flash Player і називається він Adobe Flash Player Updater і має як і годиться свій виконуваний файл. Тиснемо Перейти -> Показати файл у провіднику
– FlashPlayerUpdateService.exe, який знаходиться в папці
C:WindowsSystem32MacromedFlash – для 32-бітних операційних систем
Або
C:WindowsSysWOW64MacromedFlash – для 64 – бітних операційних систем
Тобто без розмови файл adobe_flash_player.exe є вірусом і його потрібно видалити.
За допомогою програми AnVir Task Manager можна перевірити будь-який файл на віруси. Вибираємо службу, клацаємо на неї правою мишею на нашому файлі adobe_flash_player.exe і натискаємо меню пункт Перевірити на сайті www.virustotal.com
Відповідь більш ніж красномовний, звичайно це вірус.
Цікаво, що вірусний файл нам вдалося видалити тільки в безпечному режимі.
Після видалення вірусу, наш комп’ютер немов ожив, припинилися помітні пригальмовування, які були до цього, але на жаль увійти на потрібні сайти нам так і не вдалося. Шукаємо проблему далі.
Дивимося автозавантаження далі, нічого незвичайного немає, інші програми зустрічаються постійно і тим більше вони вимкнені з автозавантаження: WinAMP agent, Praetorian – Захисник Яндекс, Skype, Download Master.
Втім в автозавантаженні присутній ще три процесу, належать пристрою Panasonic, швидше за все це принтер.
Panasonic Device Manager і Panasonic Device Monitor, а так само Panasonic MFS PC FAX.
Питаю у одного, чи є у нього принтер або який-небудь пристрій фірми Panasonic, чую ствердну відповідь, що є принтер Panasonic, але останнім часом з ним відбуваються дивні речі, на ньому практично нічого неможливо надрукувати і періодично виходять якісь помилки.
Вимикаю на час всі три процесу з автозавантаження. Далі думаю переглянути докладно пункт Автозавантаження – Всі записи, тут інформація про автозавантаженні повніше і треба сказати недосвідченому користувачеві відключати процеси тут треба обережніше і зі знанням справи.
Тут так само присутні два процесу належать принтера Panasonic, давайте спробуємо безпосередньо перейти до вкладці процеси. Клацаємо правою мишею на Panasonic Local Printer Service і вибираємо Перейти до процесу
і переходимо у вікно програми AnVir Task Manager під назвою Процеси. У цьому вікні ми бачимо два процесу належать принтера Panasonic.
Служба Panasonic Local Printer Service – виконуваний файл LMSRVNT.EXE знаходиться за адресою
C:Program FilesPanasonicLocalCom
і друга
Служба Panasonic Trap Monitor – виконуваний файл Trapmnnt.exe знаходиться за адресою
C:Program FilesPanasonicTrapMonitor
Перевіряю обидва процесу по черзі на сайті www.virustotal.com і другий процес виявляється шкідливим, а файл Trapmnnt.exe виявляється інфікований вірусом.
Завершую обидва процесу, клацаємо на назві потрібного нам процесу правою кнопкою миші і вибираємо в меню – Завершити процес.
Далі спокійно заходжу на всі сайти, які раніше були недоступні, можна сказати, що не очікував такого успіху. Комп’ютер навіть не довелося перезапускати. Якщо вірити сайту www.virustotal.com файл Trapmnnt.exe заражений вірусом Win32.Sality по версії Avast. Даний вірус заражає файли з розширенням EXE, модифікуючи їх зміст і відповідно змінюючи їх розмір.
Якщо ви не довіряєте сайту www.virustotal.com, то можна копнути глибше.
Є такий дуже хороший сайт filecheck.ru з інформацією з файлів Windows, на цьому сайті можна дізнатися вичерпну інформацію практично про будь-якому файлі, тобто до якої програмі належить, в якій папці повинен знаходитися, який займати розмір і так далі.
Так от, інформація по даному файлу була така
Trapmnnt.exe знаходиться в підпапках “C:Program Files”. Розмір файлу для Windows 7/Vista/XP становить 69,632 байт.
По перше не збігався розмір файлу, в моєму випадку він становив 72 856 байт порівняно з оригіналом 69,632.
Так само не збігалися контрольні суми (хеш-суми) оригінального файлу Trapmnnt.exe з моїм файлом.
Контрольна сума – деяке значення, що застосовується для перевірки цілісності даних, може використовуватися для детектування комп’ютерних вірусів.
http://ru.wikipedia.org/wiki/Контрольная_сумма
Друзі, допоможе визначити контрольну суму файлу безкоштовна програма HashTab, завантажити її можна на офіційному сайті програми, після установки вона додає в меню “Властивості файлу додаткову вкладку “Хеш-суми файлів”. Програма автоматично вимірює контрольну суму за наступними алгоритмами:
*CRC32
*MD5
*SHA-1
Коротше не потрапляв мій файл Trapmnnt.exe у список нормальних файлів, видаляти я його поки не став і вирішив перевірити заради інтересу весь системний диск (C:) антивірусної утилітою зі свіжими антивірусними базами – Dr.Web CureIt. Буквально через дві-три хвилини, павучок Dr.Web CureIt знайшов наш инфицируемый файл Trapmnnt.exe і видалив його. Більше на комп’ютері вірусів знайдено не було.
Так як наш файл Trapmnnt.exe з вірусом був видалений, я вирішив повністю видалити програмне забезпечення і драйвери принтера Panasonic через утиліту Видалити або змінити програму, після чого повністю видалив папку
Panasonic з C:Program Files і потім заново встановив драйвера на наш принтер Panasonic, після установки з’явилася нова папка:
C:Program FilesPanasonic і наш принтер Panasonic став друкувати нормально.
Багато хто може сказати – Ну от, навіщо були всі ці танці з бубном, коли з самого початку можна було застосувати антивірусну утиліту Dr.Web CureIt і вона вирішила б усі проблеми. Згоден з Вами частково, так як іноді буває, що і Dr.Web CureIt відмовляється допомогти.
Друзі, ще одне дуже важливе зауваження. Часто після видалення вірусу, проблеми з доступом на певні сайти у вас будуть все одно, так як вірус змінює у властивостях мережевого протоколу налаштування DNS, а саме DNS-адреси. Як все виправити, читаємо далі.
Де ще можуть бути віруси на комп’ютері при подібних проблемах
Якщо ви маєте проблеми з доступом на певні сайти, то обов’язково увійдіть в Підключення по локальній мережі – Властивості
Пуск-Панель управління – Мережа і інтернет-Центр управління мережами і загальним доступом-Зміни параметрів адаптера, далі заходимо в Властивості Підключення по локальній мережі
Протокол інтернету версії 4 (TCP/IPv4) і Властивості
Якщо ваш провайдер інтернету надає всім комп’ютерам в мережі IP-адреси автоматично, то у вас тут повинно бути виставлене:
Отримати IP-адресу автоматично Отримати адресу DNS-сервера автоматично.
Але буває вірус прописує тут свій Бажаний DNS-сервер і виглядає це наприклад так,
в цьому випадку потрібно видалити зміни внесені вірусом та відмітити пункт Отримати адресу DNS-сервера автоматично і натиснути ОК.
В іншому випадку, багато провайдерів інтернету присвоюють всім комп’ютерам в мережі певні IP адресу, Маску підмережі і Основний шлюз, Бажаний DNS-сервер, Альтернативний DNS-сервер.
Останній раз у моїй практиці був випадок, коли вірус змінив у мого знайомого
Бажаний DNS-сервер і він кілька днів, не міг увійти на сайти Вконтакте і Однокласники
Тому при проблемах з доступом до певних сайтів, потрібно всі адреси перевірити, зазвичай вони прописані в договорі з вашим провайдером. Якщо договір загублений і адреси ви не пам’ятаєте, то потрібно зв’язатися з провайдером і уточнити всі адреси.
Як скористатися інтернет-сервісом, що надає загальнодоступні сервери DNS або що таке OpenDNS
Друзі, якщо у вас не відкриваються сайти, є ще два способи вам допомогти, але для їх застосування ще раз нагадаю вам що таке DNS сервер або служба DNS? DNS (системи доменних імен) була винайдена у 1983 році Підлогою Мокапетрисом. Всі без винятку сайти в інтернеті розташовуються на певних серверах і мають замість назв позначення в цифрах. Літерні позначення сайтів придумані для зручності нас з вами-простих користувачів, наприклад сайт www.odnoklassniki.ru має IP-адресу 217.20.147.94. Якщо набрати в адресному рядку сайту 217.20.147.94 то ви потрапите на сайт «однокласники».
Якщо ж ввести в адресному рядку браузера назва www.odnoklassniki.ru, то постійно працює в інтернеті служба DNS відразу переведе буквене значення сайту цифри 217.20.147.94, потім ми потрапимо на сайт «однокласники».
Так ось друзі в 2006 році вченим Девідом Улевичем була запущена своєрідна альтернатива вже існуючої служби DNS, створений проект отримав назву OpenDNS. Передбачаю запитання – навіщо нам потрібен цей самий OpenDNS. Якщо у вас проблеми з доступом на певні сайти, в силу різних причин (віруси, помилки браузера і так далі) то спробуйте скористатися цим сервісом, в деяких випадках допоможе, це перевірено, для цього потрібно всього лише відкрити Властивості протокол інтернету версії 4 (TCP/IPv4), відзначити пункт Використовувати такі адреси DNS-серверів і ввести Бажаний DNS-сервер 208.67.222.222 і Альтернативний DNS-сервер 208.67.220.220.
Раджу вам перед експериментами створити точку відновлення системи.
Якщо ви використовуєте роутер, значить вводити все це треба в налаштуваннях роутера.
Даний спосіб не підійде, якщо ваш провайдер прописав вам у Властивостях Протоколу інтернету версії 4 (TCP/IPv4) свої бажані і альтернативні DNS-адреси, що буває досить рідко.
До речі, сервіс OpenDNS має велику кількість додаткових можливостей, в основному це захист від шкідливих сайтів і небажаного контенту для дітей, при бажанні ви самі можете вказати ті сайти, на які з вашого комп’ютера буде заборонений доступ.
Як очистити вміст кешу зіставлення імен DNS клієнта і навіщо це робити?
Служба DNS клієнта має свій окремий кеш, у якому можуть накопичуватися непотрібні записи, час від часу його потрібно очищати. Це також повинно допомогти при певних труднощі з доступом на деякі сайти.
Для очищення кеша DNS, потрібно запустити командний рядок від імені адміністратора і ввести ipconfig /flushdns. Все, кеш DNS успішно очищений.
Якщо все вищесказане Вам не допоможе і вірус вам знайти не вдалося, то для вас є ще інформація
У програмі AnVir Task Manager є параметра Всі записи, якщо відкрити його, то відкриється ще дуже багато цікавого, наприклад звернемо увагу на ось цю запис – Mario Forever Toolbar.
Я вважаю подібні Toolbarы абсолютно не потрібними, тим більше в автозавантаженні.
В першу чергу вимкніть Mario Forever Toolbar в надбудовах Internet Explorer.
Потім відключити надбудову в самій програмі AnVir Task Manager і видаліть записи в реєстрі. Видалити повністю Toolbar можна через вбудовану утиліту Windows змінити або Видалити програму. Якщо не вийде, то видаляйте всю папку цілком, знаходиться вона за адресою C:Program FilesMario Forever і почистіть реєстр.
Ще можна сказати, що потрібно обов’язково перевірити папки тимчасових файлів. У Windows 7 папку
C:USERSимя користувачаAppDataLocalTemp, там дуже часто знаходяться вірусні файли, наприклад зверніть увагу на скришнот, зроблений на ще одному зараженому комп’ютері, у цій папці знаходиться файл TUlug.exe і він прописаний в автозавантаженні. Перевірку на www.virustotal.com не пройшов і без сумніву, його потрібно видалити.
Trojan.Mayachok.1
Ще у мережі йдуть розмови про вірус Trojan.Mayachok.1, який є не чим іншим як .dll – динамічних бібліотекою. Даний вірус має пряме відношення до нашої проблеми, так як це шкідлива програма, краде гроші з рахунків клієнтів мобільних операторів, пропонуючи користувачам відповісти на вхідне СМС-повідомлення.
Друзі, про нову модифікацію цього вірусу Trojan.MayachokMEM.4, готується стаття. Trojan.MayachokMEM.4 відрізняється від Trojan.Mayachok.1 і виробляє свої деструктивні дії в системі трохи по іншому, але хочу вам сказати заздалегідь, з ним чудово справляється антивірусна утиліта Dr.Web CureIt, як завантажити та користуватися антивірусною утилітою Dr.Web CureIt, можете прочитати в нашій статті «Як перевірити комп’ютер на віруси», посилання на початку цієї статті
У разі зараження вірусом Trojan.Mayachok.1, в гілку реєстру
Для користувачів x32 розрядних систем:
HKLMSOFTWAREMicrosoftWindows NTCurrent VersionWindowsAppinit_Dlls
У параметр Appinit_Dlls, додається значення, приблизно такого змісту (назва вірусу генерується випадковим чином), наприклад
“C:windowssystem32fxqxtph.dll”
Все це потрібно видалити, а потім видалити сам вірусний файл за адресою відповідно до запису в реєстрі
C:windowssystem32fxqxtph.dll
Так само потрібно видалити створені одночасно з fxqxtph.dll файли з розширенням .tmp з каталогів
C:windowssystem32 і C:windowsSYSWOW64 (на 64 бітних системах).
Для користувачів x64 розрядних систем:
Вірус буде знаходитись в папці C:windowsSYSWOW64fxqxtph.dll”
Хочу вас застерегти, перш ніж все-таки видаляти будь-якого значення параметра AppInit_DLLs, пошукайте в пошуковиках інформацію, може ці значення внесли потрібні вам програми.
Вірус змінив властивості ярлика браузера
Зверніть увагу на ярлик Вашого браузера, так як часто вірус дописує в нього свою інформацію, яка скидає домашню сторінку браузера, в результаті браузер при запуску відкриває шкідливий сайт.
Щоб перевірити це, треба клацнути на ярлику браузера правою мишею і вибрати «Властивості».
На вкладці «Ярлик» в пункті «Об’єкт» дивіться дописані вірусом параметри з адресою шкідливого сайту. Наприклад, якщо ярлик браузера не модифікований вірусом, то в ідеалі повинно бути так
“C:Program Files (x86)Operalauncher.exe”
“C:Program Files (x86)Opera”
Після зараження вірусом буде приблизно так
“C:Program Files (x86)Operalauncher.exe”http://home.webalta.ru/
і шкідливу запис http://home.webalta.ru/ потрібно буде видалити з властивостей ярлика.
