Антивирусы vs Вирусы, Вирусные эпидемии И борьба с ними Опции

[Griz]

Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!!
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html

[AK]

существенно участились случаи заражения компьютеров SpyWare программой, которая по моей классификации называется Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdvWare.WinAd).
Проявлением Spy.Winad является появление в памяти двух посторониих процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается. Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win98).
Все известные мне версии заложены в базы AVZ. Для ручного поиска нужно искать файлы с именами winad.exe, winadx.dll, winadx.inf, clientcom.dll, winclt.exe, syncroad.exe, winsync.exe, ccomm.dll и архивы с именем bridge-c*.cab.
Кроме того, Spy.WinAd создает CLSID 15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6 в реестре.

Будьте бдительны Я у себя эту ***ь и муть еле вывел...правда всего за 20 минут ручками... Проверяйте процессы...

Интересные факты:

Поковырявшись в реестре нашёл такую фихню в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallWindows AdControl:
UninstallString C:Program FilesWindows AdControlWinAdCtl.exe /Remove

Вот это найдено в инете:

Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют... )))))).
А если еще его прочесть....
Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ , и ещё,
что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...

И как убивать эту заразу:

Здраствуйте, сегодня я "ознакомился" с этим ненавистным AdTools.
Сейчас расскажу как это было.
Итак, я искал какой-то крэк-файл для моего любимого Flash'a,
и вдруг комп подвис. Ни одна страница не грузится (у меня dial-up),
а значок с двумя компами непрерывно горит, как будто что-то грузится и
мешает всему остальному. Я зашел в taskmgr (у меня WinXP), и нашел
там два странных процесса - WinAdTools.exe и WinRatchet.exe.
Они не завершаются, а после перезагрузки процессы снова работают.
Если я удаляю ключ запуска с виндой hklmsoftwaremicrosoftwindowscurrentversionrun WinAdTools, он появляется снова! Но я быстро снёс его, может мне такая "легкая" версия адтулза попалась, но он стерся сам с помощью "Установка и удаление программ", а дальше я покопался в реестре и вычистил остатки вируса.
Ещё, если "Установка и..." не помогает, попробуйте загрузится в safe mode
,adtools автоматически не запустится и его можно спокойно удалить.
Папки в которых он сидит я нашел только Program FilesWindows AdTools и
WindowsDownloaded Program Files, где сидит его CLSID. В реестре просто набирайте "ПоискAdTools" и сносите все ключи, понаделанные этим гадом.
После этого я Лавасофтом 6 проверял - ничего нет. Интересно, что это за стремный сайт windupdates.com с которого пришло это?
И еще, кто-нибудь знает, где мог успеть нагадить AdTools за 5 минут, пока я его удалял?
Я надеюсь он не спер мои пароли в инет...по крайней мере autoexec.nt у меня в порядке.

[ 22. Июнь 2005, 19:34: Сообщение отредактировано: Z@rRaZZa ]