1

Тема: Вредоностное ПО

Создавая эту тему, я подумал: "А что мы здесь всё пишем о хороших и полезных программах? Ведь нам же ещё подсовывают уйму дерьма под грифом "FREE" и не только под ним." Наверняка, все или почти все сталкивались с программами-гадами.
Предлагаю, всем участникам, высказываться в этой теме по поднятому вопросу.
Давайте помогать друг другу не наступать на те же "грабли" ...

2

Re: Вредоностное ПО

Adguard

                                                   http://s018.radikal.ru/i511/1202/2e/afa4ca37867d.jpg
Описание программы (от разработчика):
Adguard известная программа для блокировки рекламы и всплывающих окон. Adguard незаметно работает на компьютере, ограждая вас от рекламы, ускоряет загрузку страниц и экономит трафик. Помимо фильтра рекламы, программа имеет функции защиты от фишинговых и вредоносных сайтов и оберегает компьютер от вирусов, а пользователя - от посещения мошеннических сайтов.
(это полные «лажи» ИМХО Raven)
 
  [size=5]АГА! Как бы не так.[/size] Вот истинная её роль:
[size=2](только для зарегистрированных участников форума)[/size]
[hide]
adGuard - фриварная баннерорезка , активно рекламируемая в Сети.
Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже
самых маститых рукитов . Большинством антивирей не определяется (за редким 
исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно
"договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.

                   Что творит adGuard.

Изначально, в 10-15 протоколах TCP/IP подменяет штатную библиотеку mswsock.dll  на собственную adguarg.dll , начиная фактически провайдерствовать в Системепараллельно "мелкомягким". Внешне это малозаметно : может немного подрастает исходящий сетевой трафик, чуток притормаживает Иннет , но выглядит всё благопристойно.
Самое интересное начинается при попытке деинсталляции : программа совершает последний  массированный скачок в Сеть , сливая хозяевам последнее недослитое,и благополучно (для себя) покидает комп , оставляя испорченные протоколы TCP/IP и своего уже призрачного резидента в автозагрузке .
В итоге - полностью клинит Сеть и блокируется выход в Интернет.

                     Как с этим бороться.
Рекомендую ещё ДО ДЕИНСТАЛЯЦИИ adGuard (если её всё же устанавливали, или сейчас она у вас работает) скачать программульку winsockxpfix.exe - способную восстановить сетевые протоколы (они входят в ядро ОС-и и без сноса Системы поправить их можно , но непросто ).
Я обошёлся без неё (неохота было вновь колдовать с настройками), но на всяк случай иметь полезно .В 9 из 10 случаев способна реанимировать Сеть. Можно сбросить настройки TCP/IP вручную через NetShell (через командную строку "netsh int ip reset resetlog.txt"). Всё это может сработать , но без гарантий...
Я пошёл другим путём , в общем стандартным для борьбы с последствиями от подобных вирусов:
1. Лезем в реестр , находим 3 ветки :
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

Здесь мы увидим множество  разделов с именами 0000000000001 000000000002 и т.д.  до 000...25.
В каждом из этих разделов есть параметр ProtocolName.
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка %SystemRoot%\system32\mswsock.dll (или @%SystemRoot%\System32\wshtcpip.dll,-60100, или @%SystemRoot%\System32\wshtcpip.dll, ххх...)
Это путь к необходимой для данного поставщика услуг библиотеке.
Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим вместо mswsock.dll wshtcpip.dll - adguard.dll. Но троян попортил не все разделы.
Копируем содержимое уцелевшего раздела в испорченный (в каждый испорченный , в каждой из трёх веток). Удобно использовать что-то вроде Registrar , но вполне можно обойтись и штатным редактором реестра. Посчитайте сколько порченых разделов поправили - потом пригодится.

2.Лезем в автозагруз (удобно через Autorans - но кому как) и прибиваем "привидение"  adguard.
Перезагрузка.

Всё - Сеть худо-бедно восстановлена ! Определяемся - насколько "худо".

3. (Полезно - но необязательно) Запускаем AVZ (антивирь Зайцева).Сканировать систему не надо !  Лезем в "Сервис - Менеджер Winsock - Поиск ошибок" .Получаем , что из 25 протоколов неработоспособно 10-15.Сравниваем с количеством "исправленных" нами в реестре - число должно совпасть , иначе возвращаемся к п.1 и перепроверяем ещё раз.
По сути мы не исправили "вирусопопорченные" протоколы , а лишь заблокировали их, чтоб только загрузить Инет .Сеть реанимирована , но она "хромая". Поэтому идём далее.

4. Отрубаем себе сеть ! (Выключаем модем). Запускаем "Ишака" - лучше последнего и тупо ломимся на любой сайт , на тот же "Гугл". Соединения ,естественно, не происходит, жмём на "Диагностику" сетевого соединения .И Винда немного попинговав выдаёт инфу об ошибках в Протоколах , предлагая всё исправить, сбросом в Default .
Соглашаемся.
Затем соглашаемся на перезагрузку. 
Вуаля- Сеть полноценно реанимирована , НАСТРОЙКИ СОХРАНЕНЫ .
Последнее важно  для сидящих на безлимитке ADSL в "бридже" - иначе им пришлось бы самостоятельно настраивать модем (а не только "Сетевое подключение") - а такое не всем под силу.

И ещё. Манипуляции через "Свойства сетевого соединения - Исправить" , а не через браузер неэффективны. Проверено.Так что п.4 - это отнюдь не через "попу".
И уж если пп.1-4 не помогут (маловероятно , но - вдруг) , тогда используйте проги, упомянутые в самом начале.Но вероятна потеря настроек. Кому последнее неважно, так может и лучше сразу через них.
В конце можно опять запустить AVZ и убедиться :
"Настройки LSP проверены. Ошибок не обнаружено"
[/hide]