Помогите, вирус

**UA0JFY** · 14.02.2011, 09:46

Сообщение от RA9UEK

Небольшой совет пользователям браузера Firefox в свете большей безопасности интернет.
Поставтье расширения AdBlock Plus и NoScript. Первое позволяет блокировать рекламные баннеры, по спискам подписки или по правилам пользователя, второе более "сильное" блокирует скрипты, причем довольно жестко, при этом чистые и любимые сайты можно занести в "белый" список, настройки там вообще довольно гибкие. Всякой заразы будет много меньше. Есть и другие расширения для повышения безопасности работы в сети, правда менее популярные (WOT, CensureBlock и пр.). Это все не говоря о "стандартных" средствах защиты.
Ну и по поводу почты maul.ru и его агента - я почему-то всегда придерживался мнения, что mail не шипкто то беспокоится о безопасности своих пользователей. На мой взгляд гораздо предпочтительнее хотя бы тот же Яндекс, который в дополнение позволяет настроить соединение с почтовой программой по защищенному протоколу и с использованием протокола IMAP. Есть у Яндекс и своя система мгновенных сообщений, совместимая с GTalk, многими другими IM-системами и дающая большую безопасность. Для работы же в социальных сетях, если кому это нужно, лучше вообще использовать какой-нибудь второй или там третий ящик.

Полностью согласен с автором в отношении почты с бесплатных серверов. Относительно других вымогателей использую загрузочный Live CD с ERD Commander. Средство радикальное, поскольку напрямую заходим в реестр установленной OS. Но, прежде чем выбрать удаление записи в реестре какой-либо вредоносной заразы, по имени, в поиске ищем где лежит искомая гадость: одна, вторая и т.д. и только после этого удаляем записи из реестра. Работает на 100%, проверено неоднократно. Желательно, конечно, не поднимать панику и не делать "лишних телодвижений", как-то, пытаться вводить коды и пр. На сайте DrWeb не на всю появляющуюся гадость есть скриншоты, очевидно, не успевают

**RX4CD** · 19.09.2011, 18:12

Более подходящей темы не нашел.
Вчера , после того как "погуглил" и походил по ссылкам в поисках возможности скачать из интернета фильм на рабочем столе , при загрузке системы, появляется вот такое извещение. Открывать его , естественно, не пытался - себе дороже. Заставил Dr.Web проверить на предмет обнаружения вирусов - нашел один файл с трояном. Удалил, но эта картинка все равно появляется при включении компьютера. Если её не закрыть, то дальше не загружается, т.е. не появляются в трее значки программ vtune, SKYPE и значок, отображающий язык клавиатуры. Если нажать "отмена" , то загрузка идет дальше обычным путем и комп работает нормально.
Поскажите, как удалить?

**ER1CS** · 19.09.2011, 18:24

Сообщение от RX4CD

Поскажите, как удалить?

Запустить msconfig и посмотреть в списке автозагрузки - если там есть эта wftmon.exe - то убрать галочку и сохранить настройки.
Если там нет - искать в реестре.

**RA9UEK** · 19.09.2011, 19:15

Не лишне будет проверить внешним антивирем, например Kaspersky Rescue Disk 10. Перед запуском санирования обновите базы.

**RX4CD** · 19.09.2011, 20:23

Проблема решилась. Запустил поиск - обнаружил где лежит - удалил.

**Света** · 20.09.2011, 08:54

После этого неплохо запустить CCleaner и почистить реестр...

**R1ZW** · 20.09.2011, 15:12

Сообщение от RX4CD

...Запустил поиск - обнаружил где лежит - удалил.

Я посоветовал бы Вам попробывать еще одну антивирусную программу -AVZ...
Небольшая, но „дело” своё хорошо знает...

Антивирусная утилита AVZ предназначена для обнаружения и удаления:
-SpyWare и AdWare модулей - это основное назначение утилиты
-Dialer (Trojan.Dialer)
-Троянских программ
-BackDoor модулей
-Сетевых и почтовых червей
-TrojanSpy, TrojanDownloader, TrojanDropper
-Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6.
Первичной задачей программы является удаление SpyWare и троянских программ.

http://z-oleg.com/secur/avz/
http://z-oleg.com/secur/avz/download.php

**RV6LCI** · 20.09.2011, 15:19

Сообщение от RX4CD

Вчера , после того как "погуглил"

Свежий троян поймали, вот выдержка с сайта, может поможет, если ручками полезть в реестр и по путям попробовать "порубить" его.
Trojan.StartPage.39240

Добавлен в вирусную базу Dr.Web: 2011-09-19
Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
[<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wtfmon' = '%HOMEPATH%\unzipper\wftmon.exe --setstart'
Вредоносные функции:
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
%HOMEPATH%\unzipper\wftmon.exe
%HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\getplatnik[1].php
Сетевая активность:
Подключается к:
'st###lgoto.com':80
TCP:
Запросы HTTP GET:
st###lgoto.com/getplatnik.php
UDP:
DNS ASK st###lgoto.com
Другое:
Ищет следующие окна:
ClassName: 'Shell_TrayWnd' WindowName: ''

Если "тело" фируса нашли, то и ссылочку в реестре также желательно "убить", меньше мусора там будет.

**RX4CD** · 21.09.2011, 18:36

При поисках места , откуда можно скачать нужный фильм, зашел на "Deposit.net". Кажется так, но возможно память мне "ошибает". После этого вместо стартовой страницы Rambler стала открываться главная страница этого сайта. Возможно здесь и подцепил. Нашел как вернуть мой любимый Rambler довольно быстро. А как вручную почистить реестр и где он лежит? Что-то опасаюсь я этих бесплатных чистильщиков.

**RA3QRD** · 21.09.2011, 18:54

Это не вирус это просто (коки)
если хотите почистить, то это всё находиться в файлах коки Вашего браузера
Просто Вы возможно согласились иметь эту страницу как стартовую в Вашем браузере вот и всё. Не чего в этом опасного нет.
если Мозила то картинка ниже <история>,
если Internet Explorer картинка ещё ниже (история просмотра временные файлы)

**RA9UEK** · 21.09.2011, 20:14

Сообщение от RX4CD

А как вручную почистить реестр и где он лежит?

Что бы вручную править реестр нужно хорошо понимать, что вы делаете и точно знать, что вы там хотите изменить.

Сообщение от RA3QRD

Это не вирус это просто (коки)

Думаю, что куки не имеют отношения к стартовой странице, скорее всего просто была нажата кнопка - "Сделать стартовой", возможно ошибочно или как-то машинально.
А вообще, если не хотите иметь куки со случайных сайтов, включайте опцию приватного просмотра (для браузеров Firefox). Меню "Инструменты - Начать приватный просмотр". В режиме приватного просмотра:

Во время сессии приватного просмотра Firefox не будет вести журнал посещений, журнал поиска, журнал загрузок и журнал веб-форм. Также не будут сохраняться куки и временные файлы интернета. Однако, любые загруженные вами файлы и созданные вами закладки будут сохранены.
Чтобы закончить приватный просмотр, выберите Инструменты > Закончить приватный просмотр, или закройте Firefox.
Хотя этот компьютер не будет вести журнал посещаемых вами сайтов, ваш интернет-провайдер или работодатель могут следить за тем, какие страницы вы посещаете.

**RA9UEK** · 22.09.2011, 18:04

Firefox так же умеет резать не все на свете куки, а гибко подойти к этому вопросу. В меню "Настройки-приватность" можно выбрать опцию индивидуцальных настроек, а затем отметить (или напротив снять) галочкой поле "Принимать куки с сайтов. При этом можно дать отдельные разрешения, или напротив запрещения, на прием куки с конкретных адресов.