Атака вируса Wanna Decryptor | WannaCry
12 мая 2017 года вирус WannaCry (Wanna Decryptor) атаковал миллионы компьютеров по всему миру. Вирус распространяется по протоколу SMBv1 используя эксплоит ETHERNALBLUE. Попадая на ПК жертвы вирус шифрует важные для пользователя файлы и просит выкуп в размере 300$.
Атаке подвержены ПК на ОС семейства Windows:
- Windows XP и Windows Server 2003
- Windows Vista и Windows Server 2008
- Windows 7 и Windows Server 2008R2
- Windows 8 и Windows Server 2012
- Windows 8.1 и Windows Server 2012R2
Новейшие ОС Windows 10 и Windows Server 2016 этой уязвимости не содержат, но все равно я рекомендую установить последние обновления безопасности.
Найти и скачать обновления для своей ОС можно ТУТ
Также выложу обновления для популярных ОС:
Доступ в сеть Интернет заблокирован | Вирус Gorn
При переходе на любой сайт срабатывает перенаправление на сайт МВД — http://mvd.ru, который в свою очередь тоже подменный, пишет «Доступ в сеть Интернет заблокирован. Для разблокировки введите свой номер телефона и следуйте инструкциям в смс.»
Вирус подменяет DNS сервера в свойствах сетевых подключений. Прописывается в автозагрузку.
Лечение:
- Открываем диспетчер задач(Ctrl+Shift+Esc) и убиваем процесс crypt.exe или krip.exe
- Идем в папку:
«C:\Program Files\Gorn\Gorn»
«C:\Program Files (x86)\Gorn\Gorn» для x64 ОС
или
«C:\Program Files\House\Dorm»
«C:\Program Files (x86)\House\Dorm» для x64 ОС
или
«C:\Program Files\Napnut»
«C:\Program Files(x86)\Napnut» для x64 ОС
- Запускаем Uninstall.exe, ждем удаления, если ничего не произошло, то удаляем все содержимое вручную.
- Меняем получение DNS серверов на автоматический режим.
- Открываем файл «C:\windows\System32\Drivers\etc\hosts», оставляем там только сточку «127.0.0.1 localhost» и сохраняем. Если не дает сохранить, то в свойствах снимаем галку только для чтения.
- Перезагружаем ПК.
Как удалить compatibilitycheck.exe
Столкнулся тут в один день сразу на нескольких ПК светится в диспетчере задач процесс compatibilitycheck.exe и отжирает много памяти. Иногда этих процессов висит штук 6-7. В списке служб этому процессу соответствовала служба compatibility verify и исполняемый файл compatibilitychecksvc.exe, лежит все это добро в «C:\users\имя пользователя\appdata\roaming\compatibility verifier». В общем нужно удалять службу и все что с ней связанно.
Удаление:
- Качаем AVZ, распаковываем.
- Запускаем AVZ, жмем Файл => Отложенное удаление файла.
- Выбираем для удаления файл «C:\users\имя пользователя\appdata\roaming\compatibility verifier\compatibilitycheck.exe» жмем OK, OK.
- Все тоже самое выполняем для файла «C:\users\имя пользователя\appdata\roaming\compatibility verifier\compatibilitychecksvc.exe»
- Перезагружаем ПК.
Если у вас выскакивает реклама со всех сторон в интернете, то почитайте следующую статью — Как удалить рекламу в браузере.
Как удалить китайскую Baidu…
В последнее время все чаще и чаще на компьютерах стала попадаться на глаза интересная софтина под названием Baidu, больше о ней ничего не известно, т.к. все управление на китайском. Есть антивирус под названием Baidu, но это явно не он, скорее всего этот зловред просто маскируется под китайский антивирус. Самое интересное, что удаление из программ не помогает избавится от него, кстати иногда даже отсутствует uninstaller.
Я обычно использую сразу радикальные меры, а именно чищу с помощью скрипта в AVZ, скрипт для Windows 7, на Windows XP легко вычищается в безопасном режиме. Поехали.
2. Копируем шаблон скрипта для удаления:
ExecuteAVUpdate;
ExecuteFile(‘net.exe’, ‘stop tcpip /y’, 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName(‘c:\program files\baidu\baidu.exe’);
QuarantineFile(‘C:\Program Files\baidu\baidu.exe’,»);
DeleteFile(‘C:\Windows\System32\drivers\bd0002(2).sys’,’32’);
DeleteFile(‘c:\program files\baidu\baidu.exe’,’32’);
DeleteFileMask(‘C:\Users\User1\AppData\Roaming\Baidu’, ‘*’, true, ‘ ‘);
DeleteFileMask(‘C:\Program Files\Common Files\Baidu’, ‘*’, true, ‘ ‘);
DeleteFileMask(‘C:\ProgramData\Baidu’, ‘*’, true, ‘ ‘);
DeleteFileMask(‘C:\Program Files\baidu’, ‘*’, true, ‘ ‘);
DeleteDirectory(‘C:\Users\User1\AppData\Roaming\Baidu’);
DeleteDirectory(‘C:\Program Files\Common Files\Baidu’);
DeleteDirectory(‘C:\ProgramData\Baidu’);
DeleteDirectory(‘C:\Program Files\baidu’);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard(‘SCU’, 2, 2, true);
BC_Activate;
ExecuteRepair(2);
RebootWindows(false);
end.
3. Вставляем скрипт в AVZ:
4. Перед выполнением скрипта нужно поменять имя пользователя User1 в путях скрипта на имя своего пользователя.
Пример — DeleteFileMask(‘C:\Users\User1\AppData\Roaming\Baidu’, ‘*’, true, ‘ ‘); меняем User1 на имя своего пользователя.
5. Ну и собственно выполняем скрипт, ждем перезагрузки, проверяем.
При открытии браузера открывается другой браузер с рекламой.
При попытке открыть один из браузеров — Google Chrome, Opera, Firefox и др. открывается всегда браузер по умолчанию и показывает навязчивую рекламу.
Решение — проверяем ярлыки для запуска всех браузеров.
Щелкаем правой кнопкой мыши по ярлыку, заходим в свойства ярлыка и в поле «Объект» меняем firefox.url на firefox.exe, аналогично для Chrome меняем chrome.url на chrome.exe
Также нужно удостоверится что после кавычек больше ничего нет. Например в поле «Объект» вы обнаруживаете:
«C:\Program Files\Google\Chrome\Application\chrome.url» http://www.qvo6.com/
Нужно не только изменить chrome.url на chrome.exe, но и удалить все до кавычек, так — «C:\Program Files\Google\Chrome\Application\chrome.exe»
Если после этих действий вас все еще мучает навязчивая реклама в браузере, то вам следует почитать статью «Как убрать/удалить рекламу в браузере»
Как убрать/удалить рекламу в браузере
В этой статье я постараюсь собрать воедино все способы борьбы с рекламным ПО, которое в последнее время можно найти буквально на каждом втором ПК. Если вас замучили всплывающие вкладки с рекламой и странички заполненные баннерами, то вам суда! Методов подсовывания рекламы в наше время развелось не мало, я разобью все по этапам:
Этап 1 — Проверка ярлыков браузеров
В первую очередь нужно проверить ярлык браузера на наличие подменной домашней странички. Открываем правой кнопкой свойства ярлыка и смотрим что у нас в строке «Объект». Рассмотрим на примере ярлыка от Google Chrome:
В первом случаем строка «Объект» содержит путь до исполняемого файла chrome.exe, на второй же картинке после пути идет подмена домашней странички на рекламную http://webalta.ru, если в своем ярлыке вы обнаруживаете что то подобное, то смело можно все удалить до двойных кавычек. Обращу внимание, что ярлыки могут быть подменены как на рабочем столе, так и на панели быстрого запуска. Если после изменения пути ярлык не удается сохранить, то снимите галку «Только чтение» во вкладке «Общие».
Этап 2 — Проверка на рекламные расширения/дополнения
Вторым шагом нужно убедится, что в браузере не орудуют никакие рекламные расширения, проверить это очень просто. Приведу примеры как попасть в расширения/дополнения в популярных браузерах — Chrome, Opera, Firefox. В остальных браузерах-клонах все будет примерно также.
Открываем список установленных расширений/дополнений и проверяем на наличие рекламных дополнений. Вычислить их можно по на названиям. Обычно у этих расширений нет картинки и название не несет особой смысловой нагрузки.
Например одни из самых частых расширений:
- Better Surf
- Info Enhancer for Chrome
- NetSecurity
- ChampionDeals
- DLSecure on MyStart
- EnhanceTronic
Можно смело удалять их. Советую удалить вообще все неизвестные вам расширения, ничего страшного не случится.
Этап 3 — Удаление рекламных программ
Теперь настало время разобраться с рекламным ПО. Чаще всего рекламные программы устанавливаются автоматически вместе с приложениями, которые вы скачиваете в интернете, а иногда и вовсе вместо искомой программы вы скачиваете и устанавливаете рекламный софт. Так что идем в «Установка и удаления программ» если у вас Windows XP или в «Программы и компоненты» если у вас Windows Vista/7/8. В Windows XP нет сортировки программ по дате установки, это очень затрудняет поиски. Расскажу все на примере Windows 7. Итак, выбираем сортировку по дате установке и смотрим последние установленные программы. Возьму произвольный пример.
Отмеченная программа — Mega Browse одна из самых популярных рекламщиков. Она подменяет ссылки в браузере и при переходах мы ловим бесконечное количество открывающихся вкладок с рекламой. Смело можно удалять. Также можно удалять программы которые не внушают доверие своим названием, если у вас есть сомнения, то лучше погуглить по названию. Из приведенного выше списка, программы sweet-page, Quiknowledge, Winner Download Manager, VuuPC не что иное как рекламное ПО. Смело удаляйте их.
Приведу список программ, которые смело можно удалять:
- Mega Browse
- Quiknowledge
- Winner Download Manager
- VuuPC
- sweet-page
- Yahoo! Search
- File Extractor
- File Opener
- Optimizer Pro
- File Extractor Packаges — да и вообще любой софт заканчивающийся на Packages.
- Media Buzz
- Video Player
- Webexp Ehcanced
- Better Surf Plus
- Offers Wizard
- LinkSwift
- Fast & Save
- WebConnect 3.0.0
- Re-markit-soft
- Plus-HD
- FunSurf
- Surfastic
- FantasticSurf
- Web security app
- aff packages
- BonanzaDeals
- Аудио и видео скачивание
- SpeedUpMyPc
- webssearches
- videos MediaPlay-Air
- windows manager protect
- remote desktop access (vuupc)
- ss8
- app bud
- storegid (шоппинг гид)
- Mobogenie
- etranslator
- baidu
- baidu PC Faster
- Browse Station
- Амиго (очередной кал от mail.ru)
- GoSave
- lowtheprice
- discountthing
- ConvertAd
- Zaxar Games Browser
- eDealPop
- eDeals
- PC Data App
- NetworkProtection Addon
- Plarium
- KMP Media Toolbar
- Click Caption
- videosMediaPlayers
- omiga-plus
- MyStart Toolbar
- DLSecure Toolbar
- WindowsManagerProtect
- TotalSystemCare
- TheBestDeals
- CinemaxMe
- CinemaDigitalPro
- DealsFactor
- DailyDeals
- Super Optimazer
- Shop For Rewards
- dealster
- FlexibleShopper
- SugarSync
- fastplayer
- edials
- MySearchs
- MyBestOffersToday
- Word Proser
- OffersWizard Network System Driver
- eDialPop
- SupTab
- Browser Defender
- Net Protection Addon
- Conduit Search Protect
- Cyti Web
- SoftoBase Client (Awesomium procces)
- EnhanceTronic
Список буду дополнять, если что, спрашивайте в комментах.
Также посмотрим на следующий скрин.
Под и над рекламными блоками написано Ads by OffersWizard — это и есть программа или расширение которое нам следует найти и удалить.
Chrome открывает вкладки с рекламой при переходе по ссылкам
При переходе по ссылкам открываются новые вкладки с рекламой? Отображаются рекламные баннеры на пол страницы? Самой частой причиной в последнее время является рекламная программка Mega Browse. Идем в «Программы и компоненты», ищем по названию Mega Browse, удаляем. Также стоит почистить историю и кеш браузера вашего браузера.
Windows не удается загрузить программу для установки mouse / keyboard
Встречается после удаления антивируса Касперского, либо последствия удаления вирусов, либо сами вирусы накосячили.
Решение:
- Скачиваем sfcfiles.dll
- Кладем его в папку C:\Windows\System32
При входе в vk.com переадресует на http://vk.com/changepass.php | Вирус подменил rpcss.dll
Не входит в соц. сети, просит смс. Файл hosts чистый, DNS верны, статических маршрутов нет, прокси отключен, кэши браузеров чисты.
«Уважаемый пользователь, мы обнаружили подозрительную активность и временно заморозили Вашу страницу…..»
Лечение на Win XP:
- Скачиваем файл rpcss.dll
- Перезагружаемся в безопасный режим.
- Идем в C:\WINDOWS\system32, ищем файл rpcss.dll и переименовываем его в rpcss.bak
- Кидаем туда скаченный rpcss.dll и перезагружаемся.
Avast error 87
Проблема — не устанавливается Avast пишет:
«An error 87 has occured. Last perfomed operation was: extracting files»
Решение — скорее всего у вас троян TDSS, скачиваем TDSSKiller, лечимся и перезагружаемся.