Комп продолжает чихать и хрюкать
10-11-2008 22:09
к комментариям - к полной версии
- понравилось!
Итак, чем же мы заболели?
Оказалось, что на этот раз под видом програмы Antiviruspro 2009 мой ком словил
Trojan.Fakealert
Судя по тому, что сайт Доктора Веба сегодня перегружен- мой комп не одинок в своей проблеме.
Что же это за вирус? найти описание именно тех номеров , что заползли ко мне 2088 и 2082 в библиотеке не удалось, но все же, вот что сообщают о подобных злодеях:
Представляет собой имитацию средства антивирусного защиты.
Trojan.Fakealert.453
(Trojan-Dropper.Win32.Agent.fum (Kaspersky), Win32/Adware.UltimateDefender (NOD32), Trojan.Packed.13 (Symantec))
Добавлен в вирусную базу Dr.Web®: 2008-03-12 19:31:48
Тип вируса: Вредоносная программа, выводящая сообщения о ложном инфицировании компьютера
Уязвимые ОС: Win NT-based
Размер: 16,896 байт
Упакован: UPX
Техническая информация
Может быть установлен на инфицированный компьютер загрузчиками или инсталляторами вредоносных программ.
При запуске создаёт в системном каталоге файл %systemroot%\system32\univrs32.dat, определяемый антивирусом Dr.Web как Trojan.Click.5043, для переадресации вводимых запросов в Internet Explorer на определённые сайты.
В системном трее отображается значок с периодически всплываемых сообщениях о якобы инфицировании компьютера:
Соединяется с удалённым сервером, автоматически скачивает непосредственно загрузчик "антивирусного средства", определяемого антивирусом Dr.Web как Trojan.Fakealert.452, устанавливает, который уже непосредственно скачивает само "антивирусное средство".
Отключает вывод предупреждающих сообщенияйвстроеннных в операционную систему антивируса, межсетевого экрана, а также системы обновлений:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify: 0x00000001
Модифицирует настройки и снижает уровень политик безопасности браузера Internet Explorer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1804: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1804: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1200: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1608: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1804: 0x00000001
Подменяет стартовую и поисковую страницы в Internet Explorer на страницы, относящиеся к Google.
Информация по восстановлению системы
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютерDr.Web CureIt! .
Для найденных объектов применить действие "Лечить".
4. Восстановить значения соответствующих ветвей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1804: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1201: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1201: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1804: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1201: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1200: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1201: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1608: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1804: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify: 0x00000000
онечно, я не уверена , что п.4. применим к моему случаю, но пока ничего более лучшего нарыть не удалось
вверх^
к полной версии
понравилось!
в evernote
Итак, чем же мы заболели?
Оказалось, что на этот раз под видом програмы Antiviruspro 2009 мой ком словил
Trojan.Fakealert
Судя по тому, что сайт Доктора Веба сегодня перегружен- мой комп не одинок в своей проблеме.
Что же это за вирус? найти описание именно тех номеров , что заползли ко мне 2088 и 2082 в библиотеке не удалось, но все же, вот что сообщают о подобных злодеях:
Представляет собой имитацию средства антивирусного защиты.
Trojan.Fakealert.453
(Trojan-Dropper.Win32.Agent.fum (Kaspersky), Win32/Adware.UltimateDefender (NOD32), Trojan.Packed.13 (Symantec))
Добавлен в вирусную базу Dr.Web®: 2008-03-12 19:31:48
Тип вируса: Вредоносная программа, выводящая сообщения о ложном инфицировании компьютера
Уязвимые ОС: Win NT-based
Размер: 16,896 байт
Упакован: UPX
Техническая информация
Может быть установлен на инфицированный компьютер загрузчиками или инсталляторами вредоносных программ.
При запуске создаёт в системном каталоге файл %systemroot%\system32\univrs32.dat, определяемый антивирусом Dr.Web как Trojan.Click.5043, для переадресации вводимых запросов в Internet Explorer на определённые сайты.
В системном трее отображается значок с периодически всплываемых сообщениях о якобы инфицировании компьютера:
Соединяется с удалённым сервером, автоматически скачивает непосредственно загрузчик "антивирусного средства", определяемого антивирусом Dr.Web как Trojan.Fakealert.452, устанавливает, который уже непосредственно скачивает само "антивирусное средство".
Отключает вывод предупреждающих сообщенияйвстроеннных в операционную систему антивируса, межсетевого экрана, а также системы обновлений:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify: 0x00000001
Модифицирует настройки и снижает уровень политик безопасности браузера Internet Explorer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1804: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1804: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1200: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1201: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1608: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1804: 0x00000001
Подменяет стартовую и поисковую страницы в Internet Explorer на страницы, относящиеся к Google.
Информация по восстановлению системы
1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютерDr.Web CureIt! .
Для найденных объектов применить действие "Лечить".
4. Восстановить значения соответствующих ветвей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1201: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1804: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1201: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1201: 0x00000001
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1804: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1201: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1200: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1201: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1608: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1804: 0x00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify: 0x00000000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify: 0x00000000
онечно, я не уверена , что п.4. применим к моему случаю, но пока ничего более лучшего нарыть не удалось
Комментарии (2):
Сыграем_в_крокет
10-11-2008-22:14
удалить
главное гонорею не подхватить , а вирусы - дело житейское...
Волшебница_Сольвейг
10-11-2008-22:25
удалить
настяприноситсчастье, Настен, я не стала озвучивать-ты сама догадалась- я думаю это и есть аналог компьютерной гонореи- и этот Trojan.Fakealert - представляет цифровую версию грамотрицательного микроорганизма Neisseria gonorrhoeae(
з.ы.: я скверно знаю английский- поэтому назване трояна уж больно ассоциируется с ругательством
з.ы.: я скверно знаю английский- поэтому назване трояна уж больно ассоциируется с ругательством
Комментарии (2):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник Комп продолжает чихать и хрюкать | Волшебница_Сольвейг - Ненаучное разнословие |
Лента друзей Волшебница_Сольвейг
/ Полная версия
Добавить в друзья
Страницы:
раньше»