Вирус-червь Brontok.a ПОМОГИТЕ.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
кто имел дело с вирусом Brontok
Email-Worm.Win32.Brontok.a («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset) Детектирование добавлено12 окт 2005 17:16 MSK
Обновление выпущено12 окт 2005 21:22 MSK
Описание опубликовано01 фев 2006
ПоведениеEmail-Worm, почтовый червь
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoFolderOptions»=»1»
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Brontok
Вложения
 | virusinfo_syscheck.zip (22.4 Кб, 21 просмотров) |
| virusinfo_syscure.zip (25.5 Кб, 8 просмотров) |
| rsit.zip (26.5 Кб, 13 просмотров) |
Brontok
Добрый день,вчера решил скачать программу,но компьютер после начала загрузки сам собой.
Вирус brontok.a 10
Ситуация такая, племянник посидел за ноутбуком и нахватался вирусов. В браузере на зеленом экране.
BRONTOK.A[16] на компьютере
Самопроизвольно открывает вкладки в Хроме. Не дает скачать AutoLogger. Подскажите пожалуйста что.
Поймал вирус Brontok.a
Собственно говоря, всю суть в теме. Где-то подхватил этот вирус, он распространился по компьютеру и.
1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
2. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
4. Что находится в этих папках?
5. Удалите через установка и удаление программ:
6. Подготовьте новый комплект логов согласно правилам раздела.
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Удали Это
Удаление навязчивых программ и вирусов. Видео и текстовые инструкции.
Страницы
пятница, 23 августа 2013 г.
Как удалить червя Win32.Brontok.A
Что же такое Win32.Brontok.A?
Win32.Brontok.A это семейство почтовых и сетевых червей массовой рассылки, которые копируют себя на USB и жесткие диски. Когда червь запускается, он создает папку и загружает текстовый файл с удаленного сайта в эту папку. Червь также делает несколько копий себя в различных других папках, используя разные имена файлов с одним из следующих расширений:. COM, EXE, SCR, или PIF. Имена файлов использующаяся червем может быть идентична системным файлам Windows, таких как csrss.exe, lsass.exe, services.exe, smss.exe или winlogon.exe.
Вредоносная деятельность Win32.Brontok.A
Как удалить Win32.Brontok.A?
Бесплатные программы
С лечением Win32.Brontok.A должен справится практически любой антивирус средней руки, не говоря уже о более продвинутых. Если ваш антивирус ничего не находит читайте дальше. Здесь же я опишу бесплатные и платные специализированные средства удаления этого компьютерного червя от разных разработчиков.
Платные программы
Ручное удаление Win32.Brontok.A?
четверг, 22 августа 2013 г.
Как удалить червя Win32.Dorkbot
Что же такое Win32.Dorkbot?
Win32.Dorkbot семейство IRC червей (черви распространяющиеся через протоколы мгновенных сообщений), которые распространяются через съемные диски, программы обмена мгновенными сообщениями и социальные сети.
Вредоносная деятельность Win32.Dorkbot
Как удалить Win32.Dorkbot?
Бесплатные программы
С лечением Win32.Dorkbot должен справится любой антивирус средней руки, не говоря уже о более продвинутых. Если ваш антивирус ничего не находит читайте дальше. Здесь же я опишу бесплатные и платные специализированные средства удаления этого компьютерного червя от разных разработчиков.
Платные программы
Ручное удаление Win32.Dorkbot?
четверг, 15 августа 2013 г.
Как удалить WebCake Deals (Chrome, Firefox, IE)
WebCake Deals – это вид рекламного программного обеспечения, которое было создано, чтобы предоставить более широкий выбор желаемых продуктов для любителей онлайн покупок. Это программа появляется в браузере, в тот момент, когда пользователь находится на страницах интернет-магазинов. Программа WebCake Deals имеет много разных функций, чтобы помочь пользователю найти нужный товар, таких как поиск, сравнение, отзывы и другие. Однако, данная программа может быть установлена на компьютер без участия и ведома пользователя. Многие пользователи жалуются, что не устанавливали WebCake Deals, но страдают от всплывающих окон этой программы. Если вы не устанавливали эту программу на ваш компьютер и не хотите ее использовать для интернет-шопинга, то будет лучше удалить WebCake Deals, для того что бы защитить компьютер от потенциального нежелательного воздействия этой программы.
Как и многие другие представители рекламного программного обеспечения, программа WebCake Deals изменяет настройки браузера и устанавливает домашнюю страницу. Такие преобразования редко радуют пользователя и они пытаются поставить свои настройки, но после следующей перезагрузки, навязчивая программа меняет настройки опять.
Если вы не знаете, каким образом WebCake Deals попала на ваш компьютер, то я могу вам подсказать возможный и самый частый способ. Обычно рекламное ПО устанавливается на компьютере с помощью бесплатного программного обеспечения, которое вы могли скачать с любого неофициального сайта. Если вы недавно скачали и установили какую-то бесплатную программу, то при ее установке вы не убрали галочку «Установить WebCake Deals», поэтому в вашем браузере появляются всплывающие окна с рекламой. Если вы не хотите созерцать рекламу, которую вам показывает WebCake Deals, то вы можете удалить WebCake Deals, с помощью инструкций с этого сайта.
Удаление WebCake Deals вручную:
Вы можете просто проследовать по пути нахождения папки и удалить их, используя две клавиши одновременно: SHIFT+DELETE.
Если первые два пункта инструкции слишком сложны для вас, тогда вы можете использовать сразу третий, но нужно подобрать антивирусную программу, которая имеет WebCake Deals в базе сигнатур. На данный момент таких программ три.
четверг, 11 июля 2013 г.
Что делать, если заблокированы Вконтакте и Одноклассники
Социальные сети прочно вошли в нашу повседневную жизнь. Каждый пользователь интернет сети имеет аккаунт хотя бы в одной социальной сети, а некоторые даже в нескольких. К самым популярным социальным сетям рунета относятся Вконтакте и Одноклассники. Многие люди и дня не могут прожить без посещения своей странички, без проверки новостей и сообщений от друзей, поэтому пользователи довольно болезненно переносят моменты, когда заблокированы любимые социальные сети. Данная статья расскажет вам что делать, если заблокированы Вконтакте и Одноклассники.
Итак, для начала стоит определить причину недоступности социальных сетей на вашем компьютере. Самыми распространенными причинами являются вирусы (они часто используют блокировку соц сети, чтобы потребовать денег или номер телефона пользователя), а также работодатели (если он следят за производительностью вашего труда).
Программы для борьбы с вирусом
Если ваши любимые социальные сети заблокированы работодателем, то есть очень простой способ обойти блокировку. Достаточно просто использовать анонимайзер. И даже если работодатель (или системный администратор по приказу работодателя) заблокирует все возможные анонимайзеры, пусть их будет даже сотня, вы все равно сможете найти сто первый не заблокированный, потому что их существует огромное множество. К тому же появляются новые и новые, которые вы тоже можете использовать. Итак, если работодателем заблокированы Вконтакте и Одноклассники, просто используйте анонимазер.
Совсем другое дело, если Вконтакте и Одноклассники заблокированы вирусами. Основным признаком такой блокировки является текстовое сообщение, которое вы можете видеть каждый раз, когда пытаетесь войти в социальную сеть. Например, вы можете наблюдать следующее сообщение:
Ваш аккаунт заблокирован за рассылку спам-сообщений, на основании многочисленных жалоб от пользователей. Для восстановления анкеты вам необходимо пройти процедуру активации. Отправьте смс сообщение с текстом money на номер ****. В ответном смс сообщении Вы получите код активации, который необходимо ввести ниже. Если в течение месяца ваш аккаунт не будет активирован, мы оставляем за собой право удалить его.
Сообщение может немного отличаться, например текстом, который необходимо отправить в смс, а так же некоторые сообщения просто требуют ввести ваш номер телефона, но всех их объединяет мошенничество. Никогда не отправляйте смс сообщений и не вписывайте свои номера телефонов, никакое сообщение с кодом вам все равно не придет, но ваш баланс опустеет на кругленькую сумму.
Итак, что же делать, если делать, если заблокированы Вконтакте и Одноклассники. Существует несколько способов разблокировать социальные сети.
Второй метод очень эффективен, вы сможете войти в любимую социальную сеть, но вы должны помнить, что на вашем компьютере присутствует вирус. Примите меры по его удалению.
четверг, 6 июня 2013 г.
Как удалить Qvo6.com (поиск, домашняя страница)
Qvo6.com – это расширения для браузера, которое было создано для того, чтобы промотировать поисковую систему с аналогичным url адресом, а так же другие сервисы, которые демонстрируют пользователям всплывающие рекламные окна. Программа Qvo6.com также собирает различную информацию о предпочтениях пользователя с помощью статистики его поисковых запросов в браузере и передает эту информацию рекламным компаниям и другим третьим лицам, преследуя коммерческие цели. Если вы не хотите использовать Qvo6.com как поиск по умолчанию, то вам лучше удалить Qvo6.com, для этого вы можете использовать инструкции с этой страницы.
Вирус Qvo6.com чаще всего распространяется через программы, скаченные с неофициальных сайтов, и с помощью бесплатных программ, которые зарабатывают, устанавливая партнерские программы вместе с собой. Если вы любите скачивать бесплатные программы с неофициальных и неизвестных сайтов, то можете быть готовы к внезапному появлению незнакомых программ, которые вы не собирались устанавливать. Скорее всего, также Qvo6.com и появился на вашем компьютере.
Когда Qvo6.com вирус установлен на вашем компьютере, то он изменяет некоторые настройки вашего браузера: поисковую систему и домашнюю страницу по умолчанию. Невозможно изменить настройки браузера до тех пор, пока Qvo6.com вирус установлен в системе. При попытке изменить настройки, вирус будет менять их обратно при каждой перезагрузки браузера.
Qvo6.com относится к категории рекламного программного обеспечения, потому что он собирает личную информацию и демонстрирует рекламные окна. Все виды рекламного программного обеспечения относят к потенциально опасным программам, потому что они способны скачивать и устанавливать разные вредоносные расширения для браузеров, a также выдавать за поисковые результаты коммерческие и вредоносные сайты. Если вы хотите удалить Qvo6.comб а также его поиск и домашнюю страницу из вашего браузера, тогда вам следует использовать инструкции, которые подходят вашему браузеру.
Программы способные удалить Qvo6.com
Malwarebytes Anti-Malware (сканирует и удаляет бесплатно, активный модуль защиты может быть включен по выбору):
Инструкции по удалению Qvo6.com из Internet Explorer:
Удалите Qvo6.com из Firefox:
Инструкции для удаления Qvo6.com из Chrome:
После всех изменений вы должны перезапустить браузер, чтобы все указанные настройки вступили в силу.
среда, 15 мая 2013 г.
Обзор программы Revo Uninstaller Pro
Программа Revo Uninstaller Pro легко удалит любое программное обеспечение, установленное на вашем компьютере. Эта программа идеально подходит для случаев, когда системная утилита для удаления и установки проблем не справляется с удалением. Revo Uninstaller Pro работает намного быстрее и обладает более мощными возможностями для деинсталляции.
Почему пользователи отдают предпочтение программе Revo Uninstaller Pro?
С помощью современных и быстрых алгоритмов, программа Revo Uninstaller Pro анализирует приложение перед удалением и сканирует на наличие оставшихся файлов удаленной программы. Если вы используете для удаления программ стандартный деинсталлятор, то используя Revo Uninstaller Pro, вы сможете удалить дополнительные ненужные файлы, папки, ключи реестра, которые останутся в системе после удаления программы.
Используя вкладку Деинсталлятор, вы можете автоматизировать процесс удаления и удалить несколько программ сразу. Программа Revo Uninstaller Pro также обладает функцией Принудительной Деинсталляции. Принудительная деинсталляция – это лучшее решение, когда вам необходимо удалить программы, которые невозможно удалить обычными способами, а так же программы, установленные не полностью (при возможной ошибке при ее установке) и программы, не упомянутые в списке установленных.
Программа Revo Uninstaller Pro предлагает вам несколько простых, лёгких в использовании и эффективных методов деинсталляции программ, как например отслеживание программы во время ее установки. Чтобы удалить программу полностью, не оставив и следа, вы сможете проконтролировать все системные изменения, которые программа сделала при установке, и затем использовать эту информацию, чтобы удалить программу в один клик легко и просто. Даже если вы не проследили за программой в процессе ее установки, эта использование этой функции программы все еще возможно благодаря наличию лог файла установки в базе данных программы Revo Uninstaller Pro.
Очень удобно использовать программу Revo Uninstaller Pro для чистки браузеров, так как программа очень быстро очищает историю посещенных сайтов, удаляет временные файлы интернета и файлы cookies. Данная программа поддерживает все современные браузеры. Так же с помощью программы можно удалить историю загруженных файлов и введённые данные форм. К полезным функциям программы Revo Uninstaller Pro стоит также отнести способность программы возврата некоторых системных параметров, которые были затронуты удаленной программой, способность создавать резервные копии ключей реестра, файлов и папок, которые пользователь собирается удалить.
Программа поддерживает автообновление программы через интернет. Что касается интерфейса программы, то стоит отметить его современность и понятность. Программа просто в управлении и подойдет даже самым неопытным пользователям. Скачать последнюю версию программы можно кликнув по баннеру:
Email-Worm.Win32.Brontok.q
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки».
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
и в системный каталог Windows (%System%) под следующими именами:
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
в каталог шаблонов документов:
и в каталог «Мои рисунки» каталога документов текущего пользователя:
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html.
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
После этого происходит регистрация автозапуска копий червя в системе:
Также после инсталляции червя в системном каталоге Windows создается файл sistem.sys, содержащий дату и время инсталляции червя в систему в формате mmddhhmm, где mm – месяц, dd – день, hh – часы, mm – минуты инсталляции червя в двухсимвольном формате.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
Также адреса для рассылки зараженных писем извлекаются из файлов со следующими расширениями:
Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка:
Червь получает заголовок активного окна и перезагружает систему в случае присутствия в строке заголовка следующих подстрок:
