Архив метки: Avira

Ох, не легкая это работа — выкорчевывать червя

Многие люди пользуются бесплатными антивирусами. Я пользуюсь Avira и обычно антивирус спасает, но в этот раз было отнюдь не так.

Ко мне на «ремонт» привезли компьютер родственников — это было нечто забитое заразой. Доступ практически ко всем ресурсам с антивирусами был заблокирован — знакомая картина. Вставлять флешку я не решился, как впоследствии оказалось не зря. Разобрав системный блок и выкрутив два жестких диска, решил лечить вставив в свой системник. Avira долго и много пищала спикером и поскольку время приближалось к 12 ночи пришлось его отключить. Как первичный результат было закопано приблизительно 860 боевых единиц враждебной культуры. Антивирус предложил перезагрузку для полного добивания паразитов. После перезагрузки я провел повторное сканирование и выявились еще несколько десятков вирусов и троянов. Все, выключаю систему и проверяю второй диск — намного меньше, и зачистило с первого раза.

Выключив системный блок и перенеся жесткие диски обратно в родной корпус, я запустил систему. Вроде все работает — пора ставить и на нее антивирус. Запускаю Opera открывают сайт Avira — не открывается. Проверяю %SystemRoot%system32driversetchost — чисто. Ах тыж колючий ты кактус!

В списке процессов диспетчера задач видны какие то подозрительные процессы. Погуглив нашел описание jenyay.livejournal.com
Загрузился в безопасном режиме и зачистил заразу. К слову для более удобного ковыряния основных настроек использую XP Tweaker Russian Edition и еще почистил автозагрузку, которая содержала более четырех десятков подозрительных ссылок. Перезагрузка показала, что aadrive32 успешно помер, но сайт Avira по прежнему не открывался и не пинговался тоже.

Снова заглянув в автозагрузку вижу восстановленную левую ссылку. Снова перезагрузка в безопасный режим и действия по зачистке территории. Загружаюсь в обычном режиме и вижу картину — здравствуй бабашка я пришел. Все восстановлено в прежнем виде, а может еще лучшем. Поняв, что мне досталась новая зараза решил ее выловить и скормить virustotal — не тут то было! Ресурс не открывается.

Вернулся на свой основной комп и тут обнаруживаю подарочек — те же симптомы. Хитрый троян прописался и там. Все, приехали! Однако выручил ноут — на нем стояла другая система. Нет это была не красноглазая система — та у меня тоже есть, но мысль загрузить ее не пришла — системный блок был отключен от внешнего мира. Старший брат (седьмой) колосса на глиняных ногах к заразе оказался иммунен.

Перезагружаюсь в защищенный режим и забираю файл вируса на флешку. Через ноутбук загружаю на virustotal — да, зараза новая.

Что-же делать? Решаю порыться на форуме самой Avira и нахожу решение. К слову Malwarebytes’ Anti-Malware вполне себе бесплатный. Решил отрабатывать метод для начала на своем компе. Загрузившись в защищенном режиме провожу сканирование и программа находит не только искомую заразу, но и другую. После перезагрузки доступ к вожделенным ресурсам открыт. Для надежности прогнал полную проверку всех файлов. Программа умеет не только сканировать, но и мониторить, в том числе обращения к «левым» ресурсам.

Вылечив компьютер родственников решил помочь победе коммунизма во всем мире отдельно взятого антивируса над злобной заразой. Отправил репорт в лабораторию. К 21.00 следующего дня ко мне пришел ответ, что запрос обработан и спасибо.

З.Ы. На сегодня, как уже можно заметить по результату в virustotal, со зверьком знакомы несколько больше докторов. Файл cln32.exe был в числе удаленных мной вручную из корня жесткого диска, привезенного от родственников.


Антивирусный юмор по-немецки. Подборка рекламы Avira

Автор: Mario

Безопасное излечение заразы на чужом жестком диске


Сидел ночь, изучал питонские приблуды. Утром собирался завалиться спать, а вот хрен — в 10 часов утра звонок в дверь. Сосед сверху — помоги, страшный вирус съел комп. Приплыли!

Из распросов выяснил следующее: сидел никого не трогал, ничего не помню (даже браузер какой не помнит), вылезла баба слева, я нажал и все пиздец…

Понятно. Все порнуху смотрим иногда, но не у всех руки из жопы постоянно. По этому скрутил жесткий диск и унес к себе в квартиру. Дабы спокойно заниматься лечением, без преданного щенячьего заглядывания в глаза с тупым вопросом «Ну что, не получается?», повторяемым каждые 10-15 минут (иногда это бесит до неприличия).

На экране красовалось прочитанное в интернетах не раз. Суть сводилось к следующему: «Ты лох! Гони полкуска. Номер сотового для перечисления денег». Читать то я читал о таком, а в живую видел впервые — видимо привитая родителями гигиена спасает меня и в работе с сетью. В довершение ко всему в тексте красовалась ссылка на статью уголовного кодекса, видимо чтобы лох еще сильней испугался.

Наученный предыдущим горьким опытом не стал подключить жесткий диск к своему компьютеру, а решил пойти другим путем.

У многих антивирусов есть LiveCD варианты. Вы можете скачать их по следующим ссылкам:
Kaspersky Rescue Disk
Dr.Web® LiveCD
Avira AntiVir Rescue System

Поскольку на компьютере уже стояла бесплатная Avira и счастливо пропустила заразу, то я решил погонять комп загрузочным диском Dr.Web. Как результат 5 с половиной часов шуршания, нашлись пара вирусов и еще несколько подозрительных файлов, но нужного результата достигнуть не удалось. Все это время комп натужно орал кулерами. Фейл!

Далее я запустил Каспера. В загруженной с Live CD системе имеется возможность обновить базы, при наличие сетевого подключения, чем я и воспользовался.

Раз система меня поимела, то должна же быть справедливость в жизни, как компенсация небольшая. Я прогнал только проверку загрузочных разделов и файлов. Каспер сразу показал, что зараза прицепилась к c:windowssystem32userinit.exe — однако вылечить не смог и удалил файл. После перезагрузки я не увидел больше надписи «Ты лох!…», но система упорно отказывалась загружаться дальше выбора пользователя.

Взял файл от другой системы и закинул на флешку. Загрузился с диска ALT Linux School Master 5.0.1 (что было под рукой, то и использовал) в режиме LiveCD и заменил файл. После перезагрузки все прошло нормально. Дальше уже своими, стандартно отработанными за годы ремонта, способами довел систему до спортивно-рабочего состояния. В довершение опять же поставил программу Malwarebytes’ Anti-Malware, чтобы работали совместно с Avira.

Да, ежики, кололись, плакали, но продолжали использовать Avira, потому что бесплатно.

Нет, я не мог уставить систему с нуля. Сын этого непуганого (дальше идет непереводимый русский фольклор)… в общем дитя бы огорчилось, отсутствию своих загрузочных файлов в играх, а разбираться с каждой из программ у меня не было желания.

Автор: Mario