В этой статье автор делится своим опытом в борьбе с рядом вредоносных программ, которые появляются в Интернете практически регулярно.
«Баннер-попрошайка»
Одну из первых вредоносных программ я «поймал» 17 декабря 2009 г., скачивая книжки и программы. При этом некоторые сайты сбрасывали рекламу (в основном всякую муть: интернет- казино и порно). С какого сайта на мой ПК попала вредоносная программа-вирус iLite Net Accelerator определить не удалось. Окно (баннер) этой программы устанавливается поверх всех окон, блокирует исполнение почти всех программ и требует денег, методом отправки SMS с кодом на определенный короткий номер. Для психологического воздействия в окне вируса работает таймер (красные цифры) с посекундным отсчетом на 3 часа. По истечении 3-х часов окно сбрасывается и появляется вновь при запуске большинства программ. Вредоносное ПО также выполняет следующие действия:
- препятствует запуску «Диспетчера задач» и «Редактора реестра»;
- навязчиво отображает баннер или перезагружает ОС при попытке запуска некоторых приложений;
- препятствует загрузке ОС в безопасном режиме;
- противодействует запуску антивирусных инструментов;
- дезактивирует «Восстановление системы Windows».
Типичный образец вредоносного ПО iLite Net Accelerator (и ему подобных) состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке system32, размером около 130 КБ (размер варьируется в зависимости от конкретного образца). В системе может присутствовать также исполняемый файл system32/sd га64. ехе.
Чуть позже начали появляться и другие подобные вредоносные программы-«попрошайки» с более красиво оформленными баннерами: Get Accelerator, Digital Access, Get Access, Download Manager v1.34 и др.. Все эти вирусы-«попрошайки» даже объединили в семейство Trojan- Ransom.Win32.Digitala.
Антивирусные программы в то время их не вылавливали, кроме специальной программы AVPTool от Касперского. Кроме того, после AVPTool была необходима чистка по специальной методике. Все это можно было найти в Интерне те. Постепенно программы, подобные iLite Net Accelerator, начали исчезать и к 2014 году исчезли почти совсем. В последнее время они заражают компьютеры очень редко.
Замечу, что утилита AVPTool удаляла ПО семейства Trojan-Ransom.Win32.Digitala в 2010 году не полностью – «хвосты», замедляющие работу ПК, оставались. Радикально избавиться от последствий этого ПО мне удалось переустановкой Windows с форматированием системного диска.
«Полезные» китайские программы
Таких программ несколько. Автору приходилось стакиваться с двумя из них: 2345.com и Baidu, точнее с группой программ Baidu.
Заражением этими вредоносными программами происходит практически одинаково в фоновом режиме при скачивании заинтересовавшего пользователя контента, как правило, программ или книг с непроверенных сайтов. Очень часто заражение происходит через Торрент.
Поскольку характерных признаков эти вредоносные программы не имеют, и в программные коды компьютера они не внедряется, то своевременная идентификация и блокирование этих программ антивирусами и большинством специализированных утилит затруднено.
Стандартное удаление этих программ через «Установку и удаление программ» из «Панели управления» удаляет эти программы только из меню «Установки и удаление программ», но сами эти программы разбрасывают свои «хвосты-щупальца» в разные самые укромные места системного диска. Поэтому после такого «удаления» эти программы продолжают работать, раздражая пользователей своей неубиваемостью. Они постоянно совершенствуются и модернизуются и их новые версии удаляются все сложнее и сложнее.
Поэтому в этой статье рассмотрены именно основные подходы к удалению таких вредоносных программ.
Программа 2345.com классифицируется как браузер-угонщик. Основной проблемой, которую создает 2345.com (рис.1) является то, что он перенаправляет наши запросы в браузерах на сайты, которые могут повредить операционную систему ПК. Кроме того 2345.com эксплуатирует уязвимости в системе безопасности компьютера и изменяет настройки используемых на нем браузеров (Internet Explorer, Google Chrome, Mozilla Firefox и т.д.). Кроме того программа 2345.com замедляет работу ПК, загружая его ресурсы.
Если на свою беду Вы накликали Baidu!
Китайская компания Baidu (переводится с китайского как «Поиск мечты») основана в 2000 году Робином Ли и Эриком Сю, получившими высшее образование в США.
Baidu (см. фото) – солидная компания, ведущий китайский поисковик. 20 апреля 2006 года менеджмент Baidu заявил о запуске альтернативного проекта – «Байдупедии». Уже через три недели она обогнала по числу статей китайскую Википедию.
В 2016 году президент Baidu Чжан Яцинь заявил, что в его планах начать массовое производство самоуправляемых автомобилей. По оценкам главы компании, на это понадобится около пяти лет. Все же, утром 12 января 2010 года сайт компании подвергся атаке хакеров из, так называемой, «Иранской киберармии» (Iranian Cyber Army). Злоумышленники изменили DNS-записи и перенаправили трафик на другой сайт.
Через некоторое время после этого появилась вредоносная программа Baidu PC Faster. Это потенциально нежелательная программа, анонсируемая разработчиком как антивирус нового поколения, часто устанавливающаяся на компьютер пользователя автоматически и в скрытом режиме. Программа Baidu проявляется следующим образом:
- активно меняет настройки домашней страницы браузеров;
- навязывает Toolbar и Baidu Search;
- размещает свои ярлыки в меню ПУСК;
- дает карт-бланш загрузке нежелательного ПО и потоку навязчивой рекламы;
- крайне затрудняет работу с клавиатурой и мышью;
- подвешивает папки и программы.
Кстати, подобные неприятности встречаются и при заражении ПК программой 2345.com.
Как удалить программы 2345.mit und Baidu
Файлы и папки программ 2345.com и Baidu легко узнать по наличию в их названиях 2345 (рис.2), Baidu и/или иероглифов.
Все действия по удалению этих вредоносных программ желательно проводить в безопасном режиме. Для этого следует перезагрузить компьютер и при его включении нажать клавишу F8. В открывшемся меню загрузки Windows выбрать строку «Безопасный режим».
После загрузки операционной системы в безопасном режиме необходимо:
- Зайти в Панель управления и деинсталлировать все программы, в которых присутствуют 2345, Baidu или иероглифы.
Hinweis: dеинсталляторы этих программ имеют интерфейс на китайском языке (рис.3), что затрудняет удаление этих программ. Поиск кнопок при деинсталляции осуществлялся опытным путем. Как правило, это кнопки с двумя иероглифами.
- Зайти в Панель управления => Администрирование => Службы и отключаем все службы, связанные с программами 2345 или Baidu.
Вызвать Диспетчер задач. Для этого необходимо одновременно нажать кнопки клавиатуры Ctrl + Alt + Delete или кликнуть правой кнопкой мыши на «Панели задач» и выбрать в контекстном меню пункт «Диспетчер задач».
В появившемся окне выбрать вкладку «Процессы» и отсортировать все запущенные на ПК процессы, нажав один раз на заголовок столбца «Имя образа», что облегчит поиск и завершение всех процессов, относящиеся к удаляемым программам (рис.4).
- Создать вспомогательный файл с расширением .txt или .doc.
- С помощью поиска Windows разыскать все адреса (пути), по которым размещены файлы и папки удаляемой программы (2345 и Baidu), и скопировать эти пути во вспомогательный файл.
- Используя записи из созданного вспомогательного файла, удалить все файлы и папки вредоносной программы.
- Если какие-либо файлы не удаляются, то следует переименовать папки, где они лежат и повторить попытку удаления.
- Вернуть неудаленным папкам прежние имена.
- Проверить папки windows/system32 и drivers в system32 на наличие файлов китайской программы и удалить эти файлы.
В принципе, можно считать, что вредоносная программа удалена, не смотря на то, что ее «хвосты» остались в системном реестре.
Далее надо перезагрузить компьютер в обычном режиме.
Если ПК работает медленнее, чем до заражения, то следует почистить реестр.
Замечу, что эту операцию нужно производить с осторожностью, т.к. ее рекомендуют проводить только опытным пользователям. Кроме того, для чистки реестра надо на ПК установить программу CCIeaner для Windows.
Для чистки реестра надо:
- открыть «Командную строку» (в меню «Стандартные»);
- для вызова редактор реестра набрать коман ду regedit;
- с помощью поиска найти и удалить строки в реестре относящиеся к деинсталлируемой программе;
- запустить CCIeaner, сканировать реестр и ис править ошибки.
Программа удалена.
Для того чтобы в будущем уменьшить вероятность заражения ПК следует соблюдать следующие правила:
- при установке новых программ на свой компьютер, всегда читайте правила их использования, а также все сообщения, которые будет выдавать программа установки;
- не производить инсталляцию с настройками по умолчанию.
- антивирусные и, так называемые, антиспайварные программы следует обновлять до последних версий;
- если на ПК включено автоматическое обновление Windows, то все доступные обновления уже установлены;
- если уверенности в этом нет, то необходимо посетить сайт Windows Update, где подскажут, что нужно обновить в этой ОС.
- если на ПК используются программы Java, Adobe Acrobat Reader, Adobe Flash Player, to надо обязательно их вовремя обновлять.
В заключение замечу, что полезную информацию по этой теме, которая постоянно обновляется можно найти в Интернете по ссылкам [1-5].
Nachschlagewerke
- http://www.2-remove-virus.com/download – утилита для удаления com.
- http://www.spyware-ru.com/udalit-2345-com-iz-brauzera-instruktsiya/.
- http://virusinfo.info/content.php.
- http://www.2-remove-virus.com/ru/udalit-2345-com/.
- http://wikipix.ru/article/kak-udalit-baidu-kita-jskij-antivirus.html.
Autor: Игорь Петренко, г. Киев
Источник: Радиоаматор №9/2016