Антивирусные программы и методики

Вирусы и антивирусы. Можно рассуждать о них бесконечно. Извечное соперничество пушки и брони. И, по всей вероятности, конца-краю ему не видно.
Итак. Утверждать на сегодняшний день можно лишь одно - золотые времена, когда вирусы создавались ради самоутверждения, канули в Лету и не вернутся уже никогда. Стоит заметить, те далекие предтечи современных вредителей были в большинстве случаев безобидны и единственной целью имели - заявить о себе и ... как не странно - прославить гения-программиста. Увы. Сегодня в мире вирусов правит Её величество Коммерция. Да как вобщем-то почти повсеместно. Нда...
Во первЫх строках желаю заявить раз и навсегда - ни одну из современных антивирусных программ я не выделяю среди сородичей ее. Рекламировать ни одну из них не собираюсь. Отношусь к ним ко всем эмоционально равнодушно, посему заранее предупреждаю оскорблённые чувства фанатов NOD32, Avast и пр. Я их всех одинаково не люблю.
Не люблю, но естественно признаю, что без их... присутствия на компьютерах было бы... еще хуже.

Ну а теперь - к делу.
Далее - в порядке обратной хронологии я буду просто и незатейлево делиться своими победами над вирусами, если кому-то информация придется кстати - буду рад.

17 декабря 2009 г.
Вирус. [название неважно - да и не признал его никто]
Симптомы - вроде бы локер-блокиратор, но при достаточном разрешении экрана типа-работать можно, ибо картинка занимает 800x600 в правом нижнем углу. (недоработочка...).
Текст следующий: "Доступ в сеть заблокирован"... "File Downloader" и естественно - отправить СМС...
*** А еще бывает "Toget Access"
Решение найдено.
Фокус со временем. :-) Опубликую позже.
Да простой фокус - в BIOS откатываем время на "за час до того, как схватили вирус". Ну "за час" - это уж слишком... - за сутки - самое то. Если точно определить время заражения затрудняемся - хоть на год, лишь бы наш антивирус с ума не сошёл. Вредна-прога с экрана пропадает. Пропадает, но мы то знаем, что она еще жива! - обновляем базы (а вот тут то - задумываемся, почему я рекомендовал не слишком далеко в прошлое), и - запускаем ПОЛНУЮ проверку. Находим вирус, уничтожаем, радуемся. В случае, если НЕ НАХОДИМ вирус - иллюзий о чуде не питаем, меняем антивирус, свежие базы - ему, запускаем полную проверку, дальше - знаем, что делать.
А так - пишите!!!
P.S. Кстати - был случай в нашей деревне - помогло следующее: ищем в реестре всё, что связано с "File Downloader" (либо "Toget Access") - удаляем - смотрим, что получится.

22 декабря 2009 г.
Вирус: Packed.Win32.Krap.w
Текст: "Вы нарушили условия лицензионного соглашения. iLite Net Accelerator"
Чтобы получить код активации отправьте СМС с номером на номер для России - 3649
Симптомы - самые ужасные - я вообще в восторге от предусмотрительности программиста - в безопасный режим грузимся - да! - но - с тем же баннером на весь экран и ничем не полечиться! Последняя лазейка - безопасный режим с командной строкой - последняя надежда - в безопасный режим попадаем - но окно командной строки пролетает 0,05 сек и улетает безвозвратно.
Решение напрашивается само собой. Грузимся с чего угодно кроме больной операционки - любым доступным способом побеждаем босса - удаляем экзешник вируса, затем грузимся с (еще не совсем здоровой) нашей ОС и любым любимым ;-) вирусным сканером (обновляем предварительно базы!) добиваем пехоту.
Кстати, то, что Ваш антивирус пропустил виря, вовсе не говорит о его несостоятельности - скорее о несвоевременно обновленных базах. Причем несвоевременно обновленных не Вами, а фирмой-издателем. Реестр еще чистим в обязательном порядке.
И естественно - обновляем базы антивирусного монитора, который к тому времени должен ожить! :-)
Кстати - обнаружена интересная модификация - без exe-шника прикрученного к UserInit... - но - традиционно - с dll-ками при AppInit_DLLs. (Удалил в реестре - удали на диске!!!)
Модификация была поймана Opera - и ТЕЛО жило в кэше Opera (и средствами Opera оттуда не удалялось!) видимо для виря разница есть...
Обязательно (!!!) добиваем партизан (dll) в c:\windows\system32 !!! Хорошо себя показал при зачистке KAV WS (естественно со свежайшими базами!)

23 декабря 2009 г.
Avast! сдался несмотря на обновленные базы.
Всё вручную... Обязательно запаситесь 100% рабочим (приводы у пользователей... разные) WinPE. В нужный момент не забудьте прикрутить профиль пользователя словившего виря. (Это когда к реестру приступаем). Еще одна победа над Krap.
На сей раз быстро, красиво, жестоко.
Аллилуйя!

04 января 2010 г.
Думал - на праздниках - затишье. Ан нет.
Порноинформер. 552009 - смс - на номер 5373 или 7250. Последняя цифра предлагаемого сообщения меняется случайно. Разблокировщик Веба такой комбинации не знает.
Решение: "123456789" (любые 9 символов). Либо - время биосом на месяц ВПЕРЁД.
Не забываем на радостях полечиться.
Всем весЁлого рождества!

21 и 23 января 2010 г.
Наитипичнейший порнобаннер требует послать 3457 19 на 2474.
Под ударом - Касперский и Avast! - обоим - привет! ОС - Windows XP в обоих случаях.
Обращаем внимание на число "19" - если там - 19 - считайте повезло! - даже скучновато - грузимся в Безопасном режиме (именно грузимся - разрешено!) - вручную чистим -
C:\Windows\Temp
C:\Documents and Settings\[пользователь, словивший порнобаннер]\Local Settings\Temp
Перезагружаемся, радуемся.

24 января 2010 г.
Порнобаннер (порноинформер - не вижу разницы) требует послать 3457 на 2474.
Потерпевший - NOD32. И - само собой - Windows XP.
Чистка временных папок (см. выше) не помогла. Но - находим живой интернет - бегом на Dr.Web - и - ну наконец-то!!! - там обновленная страница разблокировщиков! - текст - смс - раз - текст - смс - два - победа!
Не забываем на радостях полечиться.

06 июня 2010 г.
Порнобаннер. Вроде бы - сотни уже растоптаны вдребезги и даже скучновато как-то...
Что же не так??? А вот что - как же мы получим код разблокировки - в смысле - где же привычный четырехзначный номер и текст СМС???
Обнаглели!!!
"Спасибо за установку рекламного модуля"
Для... "...отправить на счет абонента билайн..." ( Beeline ) - с указанием реально существующего номера (!!!) 350 р.
В любом ближайшем терминале приема платежей.
ИЗ КАКОГО МЕСТА МЫ ПОЛУЧИМ КОД РАЗБЛОКИРОВКИ???
Dr.Web и Касперский ничем в подобной ситуации не помогут.
Заблокированы все варианты загрузки включая безопасный режим с командной строкой. Грузимся с WinPE (любой ЗАГРУЗОЧНЫЙ диск с операционной системой), запускаем редактор реестра - нужен НАШ HKLM.
Ищем HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Cмотрим его значение (строка) - любуемся на месторасположение нашего вируса!!! (можете его скопировать на память или для чего ещё ;-) - банальный exe-шник!)
Возвращаем переменной Shell значение "c:\windows\explorer.exe". Ну и удаляем-таки exe-шник то.
Из личного опыта - ни единый антивирус в системе НИЧЕГО не найдёт - на посттерапевтические проверки время можно не тратить.