alteya

вот я нашла статейку одну, для тех кто ищет и думает, какой антивирус поставить. здесь человек высказывает свое мнение, и я с ним вполне согласна. рекомендую

Антивирусы & stuff: Информация для начинающих

Практически каждый день можно увидеть анонс какого-нибудь нового антивируса, и, как правило, коментарием к нему часто служат споры по поводу, какой все же антивирус лучше. В 99% случаях такие коментарии выглядят ввиде фраз, что этот антивирус фигня, а вот этот крут, на что сразу следует третий коментарий, что все это фигня и вот ставте этот. Очень редко можно прочесть коментарий пользователя, который на примерах, как правило из собственного опыта, делает сравнение обсуждаемых антивирусов из которых можно сделать логический вывод.

По собственному опыту так же заметил, что всего один отрицательный комментарий к какой-либо новой антивирусной программы сразу может отбить желание поэкспериментировать самому. В голову хоть и закрадывается мысль о том, что очень вероятно, что человек, оставивший такой коментарий необладает достаточными знаниями в этой сфере, дабы сдлать такой вывод, чтобы к нему стоило прислушаться, а лишь скорее хочет выделится из толпы и показать что он в этом разбирается. Лично у меня такие коментарии вызывают некоторое сомнение в умственном развитии того пользователя, который оставил этот коментарий. Я нехочу никого обидеть, и если в ходе статьи я каким-либо образом это случайно сделаю - заранее прошу прощения.
В своей статье я хотел бы поделиться своим опытом в вопросе выбора способов защиты своего персонального компьютера от вредоносных программ. Я не буду писать очень заумные фразы, более того я постараюсь изложить свой материал таким образом, чтобы он был максимально полезен именно тем пользователям персональных компьютеров, которые мало знакомы с проблемами обеспечения его безопасности, а так же для тех, кого разного рода коментарии о крутости того или иного антивируса приводят в замешательство.

Недавно в комментариях промелькнул вопрос пользователя о том, на сколько эффективна связка нескольких антивирусов. Скажу сразу, что эффективнее, чем держать один антивирус, однако это приведет к уменшению производительности ПК и, самое главное, такие связки не всегда проходят гладко - один антивирус может начать ругаться на другой, приняв его за что-то вредоносное. Гораздо эффективнее использовать несколько различных программ, которые выполняют свою определенную функцию по защите компьютера:
- Антивирус - мониторинг файлов при их чтении/записи, проверка почты и регулярная проверка дисков
- Firewall для мониторинга соединений (и тоже почты, впринципе)
- Программы для проверки на наличие spyware/adware
- Программа для мониторинга доступа в разделы реестра, которые отвечают за автозагрузку приложений/сервисов/activeX компонентов при загрузке системы.

Такой набор представляет уже из себя гораздо более надежную систему, пробиться через которую вредоносным программам будет намного сложнее, чем то же использование нескольких антивирусных программ. На данном этапе опять всплывает вопрос о том какой антивирус тогда лучше использовать, и тут я отвечу что тот, который бы регулярно обновлялся, который бы ел по возможности меньше ресурсов и был популярен за свою качественную службу. Кстати говоря наверняка многие после этих слов представили себе NOD32 в качестве такого антивируса, да я и сам был бы среди них, если бы прочитал эту статью неделей раньше, но, как оказалось, он незаметил несколько неприятных вещей у меня на компе, и в результате чего я его удалил, оставив его пока лишь на ноуте.

Приведу в качестве примера список того софта, что я использую:
1. AntiVir (который сменил NOD32)
2. Ad-Aware + AdWatch
3. Outpost Firewall

Подобная конфигурация стоит у меня уже достаточно долгое время и нареканий не вызывала и ресурсов ела тоже не много.

__________________
ин Баку

alteya

В один прекрасный момент ты понял, что в твоей системе завелся троян. И эта мысль мучает тебя днем и ночью. Твой любимый антивирус вместо рьяных поисков гаденыша весело объявляет, что все чисто, деньги уплачены не зря. И начинаешь ты чахнуть от безысходности, появляется депрессия, пропадает потенция, сосед набивает тебе морду, пиво становится невкусным, рейтузы не налезают, появляется перхоть, месячные, кариес, целюлит. В конце концов ты решаешь покончить жизнь самоубийством и вешаешься на открытом приводе CD-ROM'а. Печальная картина, согласись. Мне такое развитие событий совсем не нравится, поэтому будем проблему решать и находить, где же поселился твой компьютерный зверек. Начнем с самых простых мест, так сказать, «официальных».

Главное меню / Программы / Автозагрузка
Место, предназначенное непосредственно для автозагрузки программ. Так как большинство программ в последнее время предпочитает пользоваться реестром, то многие пользователи уже привыкли, что «Автозагрузка» у них девственно чиста, и практически не заглядывают в эту папку. Поэтому шансы остаться незамеченным есть, но все-таки обнаружить постороннего тут слишком легко. Хотя существует и более интересный вариант: если установлен Microsoft Office, то велика вероятность, что в этой папке находится ярлык «Быстрый запуск Microsoft Office» (речь идет о русскоязычной версии), изменив путь этого ярлыка на свою программу, можно значительно увеличить шансы на успех. А вот на функционировании самого Офиса это не скажется. Работает на всех версиях Windows.

win.ini
В секцию [windows] этого файла можно добавлять строчки вида «run=path». Где path - полный путь и название исполняемого файла (например, «c:\windows\system\spy.exe», только без кавычек), который будет запускаться при загрузке операционной системы. Этот метод тоже не отличается изобретательностью, поэтому легко обнаруживается. Работает только на Windows 95/98.

Реестр
Раздел реестра «HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run» самый юзаемый различными троянами, а также всякими ICQ-шными, AVP-шными и прочими детекторами, которые так и лезут в автоматическую загрузку, чтобы посильнее загадить тебе систему. Именно из-за этого я крайне не рекомендую пользоваться этим способом. Работает на всех версиях Windows.
Все эти способы хорошо известны, и посторонняя программа, использующая их для автозагрузки, быстро обнаруживается. Тем более, что сейчас появилось много утилит, отслеживающих изменения в критических участках системных файлов и реестра.

Замена файла
Замена другого автозагружаемого файла - еще один часто применяемый метод, являющийся дальнейшим развитием предыдущих трех. Суть его состоит в том, чтобы заменить один из файлов, которые уже автоматически выполняются операционной системой при загрузке. Для сохранения работоспособности системы оригинальный файл переименовывается и запускается из внедренной программы. Описанный выше пример с ярлыком «Быстрый запуск Microsoft Office» является частным вариантом этого способа, т.к. оригинальный файл можно и не запускать.
Можно развить эту идею дальше: не заменять другой файл, а склеивать его вместе с трояном во время инсталляции шпиона. Естественно, при запуске такого двойника должны активизироваться обе программы.
Но это все - цветочки, так сказать. При разработке первых версий шпиона Donald Dick были найдены более интересные места, куда можно поселить паразитов.

VXD
А именно для Windows 95/98 было решено грузить шпиона через свой драйвер VXD. Список загружаемых драйверов находится в реестре в разделе «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ VxD». Кроме загрузки основного модуля серверной части шпиона, этот драйвер предоставлял и некоторые другие функции, которые проще реализовывались в VXD.

В Windows NT/2000, как известно, другая система драйверов, и VXD там отсутствуют. Но тот способ загрузки, который удалось найти для этих операционок, превзошел все ожидания. В разделе реестра «HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Session Manager» в параметре «BootExecute» можно прописать программу, которая будет запускаться во время инициализации операционной системы (еще до загрузки графической оболочки и сервисов), однако полноценный PE-EXE файл работать тут не будет. Поэтому сюда при инсталляции шпиона прописывается маленький загрузчик. Все что он делает - это добавляет сервис Donald Dick в реестр. А сам сервис после запуска первым делом убирает себя из реестра. И так при каждой перезагрузке. Таким образом, при работе никаких подозрительных сервисов в реестре не обнаруживается. Пользователь, если и замечает посторонний работающий процесс, понять не может, откуда же он берется.
Как показал опыт, методы оказались действительно очень эффективными. Особенно для NT/2000.

DLL
Однако использование VXD для загрузки шпиона в Windows 95/98 нам показалось все-таки не самым лучшим способом. Поэтому при разработке Donald Dick 2 было решено исследовать другие малоизвестные или недокументированные места, куда можно приживить шпиона. Поиск увенчался успехом. В Microsoft Windows 95/98 была найдена скрытая возможность автозагрузки динамических библиотек при старте операционной системы.
Но сначала о том, как происходили поиски. Мы просмотрели список всех загруженных модулей и отметили для себя те, которые отсутствовали в стандартных местах автозагрузки. Среди них оказалась программа mprexe.exe. Эта информация конечно мало полезна. Ведь исполняемый модуль может быть запущен другим автозагружаемым модулем или драйвером. Но при изучении самого mprexe.exe мы обнаружили интересную ссылку на несуществующий раздел реестра «HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ MPRServices». А также упоминание весьма интересных параметров: «DLLName», «EntryPoint» и «StackSize». Мы проделали следующий эксперимент. Для начала создали этот раздел в реестре. Затем в нем создали подключ «TestService». Параметрам этого подключа присвоили нужные значения: в строковые «DLLName» и «EntryPoint» поместили название своего DLL файла и название экспортируемой из него процедуры, соответственно, а числовому параметру «StackSize» присвоили ноль.
При загрузке операционной системы процесс mprexe.exe создал в своем контексте новый поток для вызова указанной процедуры из нашей DLL, после чего процедура выполнила свои действия. Т.е. если осуществлять запуск шпионской программы через собственную DLL, то проблема незаметной автозагрузки Трояна будет решена. Но я рекомендую сделать несколько иначе. Гораздо лучше реализовать всю работу шпионской программы непосредственно в DLL. Дело в том, что в этом случае автоматически решается еще одна важная задача - обеспечение невидимости. Так как сервер шпиона в этом случае является отдельным потоком процесса mprexe.exe, то никаких посторонних подозрительных процессов в системе просто не появляется. Это уже другая тема, но если тебе будет интересна проблема обеспечения невидимости, я расскажу об этом в ближайших номерах Х.
Естественно, после обнаружения такого места, вероятно специально предназначенного для поселения шпионов и троянов, оставалось найти нечто подобное в Windows NT/2000. Были сомнения, что это удастся. Но оно действительно нашлось. Полностью идентичное вышеописанному, только загрузкой библиотек занимается сервис Winlogon. В разделе реестра «HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify» добавляется произвольный подключ с очень похожими параметрами. Радует, что эта возможность оказалась вполне документированной. Подробное описание есть в MSDN.
Таким образом, метод оказался универсальным. Оформить шпиона в виде динамической библиотеки можно и для Windows 95/98, и для Windows NT/2000.
Можно найти и более хитрые способы автозагрузки. Все ограничивается лишь твоей фантазией и интересом к поиску скрытых возможностей Windows. А их всегда было предостаточно.

__________________
ин Баку

RootBoy

Лучше скажи мне вот одно, как удалить это - http://500.filost.com?
Он находится здесь, автоматически записывается - C:\WINDOWS\System32\vbsys2.dll
нехочу очистить реестр

__________________

alteya

твой троян имеет название

Trojan-Clicker.Win32.Agent.ac


Видимые проявления: Открытие в браузере посторонних страниц

Распространяется чаще всего в виде cab архива, типовое имя - 777.cab
Архив содержит внутри два файла - start.inf (inf файл для инсталляции трояна в систему) и vbsys2.dll (собственно, сам троян).

Работа start.inf сводится к одной команде по инсталляции:
run=rundll32 %EXTRACT_DIR%\vbsys2.dll start path=%EXTRACT_DIR%\vbsys2.dll

vbsys2.dll имеет размер 94208 байта (размер варьируется от версии к версии, но несущественно), написан на Microsoft Visual C с применением MFC, сжатие и шифровка исполняемого файла не применяются. Экспортирует несколько функций, в частности функцию "start".
Автозапуск данного трояна производится не совсем нестандартным образом - в реестре регистрируется CLSID {54645654-2225-4455-44A1-9F4543D34546} с описанием "System Check Application", а затем в ключе реестре HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad создается параметр SysCheck2, ссылающийся на данный CLSID. Сам файл vbsys2.dll размещается в папке WINDOWS\System32

После перезагрузки vbsys2.dll загружается процессом explorer.exe, никаких мер по маскировки этой DLL и ключа ее автозапуска не применяется. Вредоносное действие трояна состоит в том, что с некоторым интервалом он пытается открыть в браузере одну из заданных страничек (вероятно, для накрутки ее посещаемости) Изученные экземпляры обращались к logih.com, filost.com, открываемые URL имеют вид типа "540.filost.com/randomsites/banner.aspx", "www7.logih.com/777/help.asp".

Автоматический поиск:
AVZ обнаруживает известные ему версии по сигнатурам и производит эвристически поиск новых версий.

Обнаружение вручную:
1. Поиск библиотеки с характерным именем vbsys2.dll среди библиотек, загруженных процессом explorer.exe
2. Поиск посторонних элементов автозапуска, способ запуска - при помощи ShellServiceObjectDelayLoad
3. Поиск в реестре CLSID 54645654-2225-4455-44A1-9F4543D34546
Первые две операции удобно делать по протоколу анализа системы AVZ

Удаление вручную:
1. Удалить файл vbsys2.dll при помощи отложенного удаления AVZ (Файл/Отложенное удаление). При этом элемент автозапуска должен удалиться автоматически;
2. Перезагрузиться;
3. Проверить, удалился ли CLSID 54645654-2225-4455-44A1-9F4543D34546 при помощи поиска в реестре AVZ. Если не удалился - удалить вручную

__________________
ин Баку

alteya

или же
возьми программы Adware и Spyware с последними обновлениями.они тебе помогут.(ну по крайней мере я надеюсь). если что дай ответ как все прошло.
и еще когда будешь ето делать, навсякий случай создай резервную копию реестра

__________________
ин Баку

alteya

вот еще программка советую, удаляет трояны

Trojan Remover 6.5.1

Trojan Remover - Программа, специализирующаяся на отлавливании троянских программ - полезная в хозяйстве вещь, ведь вполне может случиться так, что стандартный антивирусник не сможет не то что удалить, но и обнаружить какой-нибудь особо изощренно изготовленный троян (в настощий момент программа способна обнаружить и удалить более шестнадцати тысяч троянов, и эта база данных постоянно пополняется).
скачать
объем около 5 мб

__________________
ин Баку

Exellent

Trojan Remover 6.5.1 vse chasti ee nado skachat' ili dostatochno odnoj ?

alteya

достаточно одной

__________________
ин Баку

Exellent

Blagadarju , klassnaya shtuka - uzhe pomogla , a to u menya vsyakie stranicy vyletali do etogo ... a sha proskaniroval , i vse otlichno

kazbek5551

narod esli est adaware to nada skachet etu pragrammu ili aware hvataet?