Shell реестр вирус

Как легко избавиться от вирусов в реестре

Shell реестр вирус

: 2017-01-10 / Виктор Трунов

Что делать в случае, когда обычного метода проверки компьютера с помощью обычного антивирусного ПО бывает недостаточно? Казалось бы, проверили пк, полностью очистили от мусора и вредоносного ПО, но через определенное время,  угроза появилась снова.

Для начала необходимо понять, что вирусов в реестре не бывает, но в нем может храниться запись, содержащая ссылку на сам исполняемый зараженный файл.

А это значит, что наш защитник не полностью справился со своей задачей и отыскал не все угрозы.

Итак, как же найти и удалить вирусы в реестре? Давайте разберем 4 основных способа и остановимся на каждом более подробно.

Dr.Web CureIT

В первую очередь необходимо провести полное сканирование системы с помощью бесплатного сканера от Доктора Веба. Очень эффективное решение, проверен временем и никогда меня не подводил, находит и удаляет практически все, не требует установки, не конфликтен по отношению к установленным антивирусным программам.

Microsoft Malicious Software

Эффективный, бесплатный сканер от компании Microsoft. Можно использовать как дополнительное средство для очистки реестра. Установка не требуется, работает на Виндовс.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Как пользоваться:

  1. Скачать с оф.сайта и произвести запуск;
  2. Выбрать тип проверки «Полная»;
  3. Дождаться ее окончания и удалить найденные угрозы;

Дополнительно можно использовать и другие утилиты, о которых я писал ранее в этой статье.

Используйте любой софт и не переживайте за свою «купленную» лицензию, она не слетит!

Поиск с помощью программы

После деинсталляции программ в реестре остаются от них следы и время от времени необходимо проводить полную проверку системы,  удалять неверные записи и исправлять ошибки.  В этом нам поможет программа Ccleaner.

Для этого:

  1. Скачиваем с оф.сайта, инсталлируем и запускаем;
  2. Переходим в раздел «Реестр» и производим Поиск;
  3. После, отобразится перечень ошибок и кликаем «Исправить»;
  4. И здесь нам предложат предварительно создать бэкап, соглашаемся и сохраняем. Чтобы в случае падения ОС, была возможность восстановить;
  5. Кликаем «Исправить отмеченные»;

Работает как на Windows 10, так и на Xp. После выполнения не сложных действий, реестр будет очищен от угроз. Способ эффективен так же и при удалении вирусов в браузере.

Самостоятельная проверка

Ручная проверка – это еще один способ эффективного поиска и очистки системы от рекламных и прочих угроз. В идеале, для борьбы с вирусами, нужны хотя-бы минимальные знания системы. Но справиться можно и без них.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Для того, чтобы произвести очистку реестра от вирусов , выполняем следующие шаги, на примере в Windows 7(64 bit):

Помните, что Все действия необходимо проделывать с особой осторожностью, дабы не повредить работоспособность ОС.

  1. Нажимаем и выполняем команду Regedit;
  2. Открываем раздел: HKEY_LOCAL_MACHINE, после чего идем в «Software\Microsoft\WindowsNT\CurrentVersion», далее в категории Winlogon находите запись с названием «Shell» и смотрим, чтобы значение для нее стояло «explorer.exe», если стоит еще что-то, то убираете лишнее;
  3. В этой же ветке находим пункт «Usernit» она должна ссылаться на свой исполняемый файл «Расположение/userinit.exe», если кроме этого, выставлено что-то еще, убираете лишнее;
  4. Следующим шагом будет перейти в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion»,  открываем раздел Run, отвечающий за автозагрузку, убрать можно все, например, кроме антивируса;
  5. В данной категории «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run» выполняем те же действия, что и в 4-ом пункте.

Для применения всех внесенных правок, следует выполнить перезагрузку компьютера.

Таким образом, мы проверили и почистили реестр компьютера от вирусов (баннеров, казино вулкан, маил), в том числе и от тех, которые размножают записи.

Для полноценной защиты пк, рекомендую использовать комплексные антивирусы. О их преимуществах было рассказано в предыдущей статье.

Для того, чтобы обезопасить свое устройство, независимо от того, что это пк, ноутбук, нетбук или обычный смартфон — лазия по всемирной паутине, скачивайте ПО только с оф.сайтов, а не с файлообменников или откуда либо еще.

Не удалось устранить проблему?Обратитесь за помощью к специалисту!

Решите мою проблему

Еще несколько способов разобраны в этом видео

youtu.be/0z3z7UwFgP0

Если не получилось самостоятельно устранить возникшие неполадки, то скорее всего, проблема кроется на более техническом уровне. Это может быть: поломка материнской платы, блока питания,

жесткого диска, видеокарты, оперативной памяти и т.д.

Важно вовремя диагностировать и устранить поломку,
чтобы предотвратить выход из строя других комплектующих.

В этом вам поможет наш специалист.

Оставьте заявку и получите
Бесплатную консультацию и диагностику специалиста!

Это бесплатно и ни к чему не обязывает.
Мы перезвоним Вам в течении 30 мин.

Если статья была вам полезна,
поделитесь ею в качестве благодарности

Источник: https://onoutbukax.ru/ochishhaem-reestr-ot-virusov/

Как удалить вирус вымогатель

Shell реестр вирус

Скажу сразу, что ни в коем случае не платите деньги мошенникам, все что написано на таком смс баннере является разводом чистой воды. Даже если вы надумали пойти по наименьшему сопротивлению и собираетесь заплатить то не факт, что это решит вашу проблему.

Также не прибегайте к крайней мере – не переустанавливайте систему. Любую вредоносную программу можно удалить простым способом и без последствий. Переустановка системы может повлечь за собой полное удаление всей необходимой информации. К ней можно прибегать только в том случае если ничего ценного на вашем компьютере нет.

Влияние вируса вымогателя на работу вашей системы

Winlocker полностью приостанавливает работу операционной системы, закрывает доступ к запуску программ и рабочего стола.

 Вирус вымогатель блокирует доступ к диспетчеру задач и запускается сразу после начала загрузки windows.

Иногда случается так, что вредоносная программа закрывает возможность запуска системы в безопасном режиме, в этой ситуации решение проблемы будет на много более сложным.

Вирусная программа попадая на устройство записывает себя несколько раз в разные места, чтобы ее было сложно идентифицировать и тем более удалить.

Расскажу пару слов в связи с чем происходит такая ситуация. Чаще всего появление такого типа вируса можно наблюдать на тех компьютерах где отсутствует антивирусная защита. Чтобы защитить ваше устройство от вредоносных программ советую прочитать статью Какой антивирус выбрать.

Также необходимо понимать что на сайтах с сомнительным контентом нужно быть предельно аккуратными и не переходить по незнакомым ссылкам. Еще очень большая вероятность подцепить такую заразу может возникнуть после скачивания и установки программы с непроверенного ресурса.

При работе в интернете не забывайте защищать свой ПК, малейшая бдительность поможет избежать дальнейших проблем.

Обязательно производите профилактику компьютера, обновляйте антивирус, проводите периодическое сканирование вашего устройства на наличие вредоносных программ (можете настроить автоматическое сканирование в определенный день и время). Если соблюдать простые правила, то можно избежать заражения.

Итак, если вы все-таки решили бороться с этой проблемой самостоятельно то давайте рассмотрим несколько вариантов как разблокировать вирус вымогатель. Начнем мы с самого простого способа и будем постепенно двигаться к более сложному. Если какой-то из вариантов вам поможет, то останавливайтесь на нем.

Запуск команд из командной строки

Недавно узнал о существовании самого простого способа, но он не на всех машинах способен устранить проблему.

Первое что нам необходимо сделать, это запустить систему в безопасном режиме. Перегружаем компьютер и во время загрузки периодически нажимаем клавишу F8. Если вы все правильно делали, то перед вами должно отобразиться меню дополнительных вариантов загрузки Windows.

В данном меню выбираете возможность запуска системы в Безопасном режиме с поддержкой командной строки и нажимаете Enter. После загрузки появиться только командная строка без рабочего стола и присутствующих на нем ярлыков и иконок.

По очереди вводим следующие команды

  • команда cleanmgr – средство Cleanmgr.exe предназначено для удаления ненужных и устаревших файлов;
  • команда rstrui – команда запуска восстановления системы (данная команда будет работать только в том случае, если вы в настройках системы не отключали восстановление системы).

После последовательного ввода команд, перегружаем компьютер и проверяем наличие баннера. Если он отсутствует, то этот способ нам помог, если нет, то переходим к следующему.

Убираем блокировщик из автозагрузки

Как и в первом способе запускаем устройство и нажатием клавиши F8 загружаем меню дополнительных вариантов. После чего выбираем пункт Безопасный режим и нажимаем Enter.

Запускаем функцию Выполнить, через меню Пуск или одновременным нажатием клавиш Ctrl+R и в поле выполнить вводим команду msconfig. После чего запустится окно параметров загрузки Windows.

Открываем вкладку Автозагрузка и стараемся найти подозрительные программы.

Чаще всего название таких программ состоит из беспорядочного набора букв. Если такая программа была вами обнаружена, то снимаем галочку напротив нее. Также необходимо посмотреть в какой папке она храниться и удалить ее. Перед тем как произвести эти действия советую ознакомиться с материалами статьи Как правильно удалять программы

После проделанных операций перезагружаем компьютер и проверяем устранена ли проблема. Если смс вирус все еще запрещает доступ, то переходим к следующему способу.

Чистим реестр от следов баннера

Если вы дошли до этого пункта и предыдущие попытки оказались тщетными, то данный способ должен помочь вам разблокировать вирус вымогатель на 98%.

Хочу отметить, что все действия перечисленные ниже необходимо проводить предельно аккуратно и строго по инструкции. Редактируя разделы реестра, неправильными действиями можно нанести непоправимый вред системе и останется только переустановить windows.

Итак, запускаем систему в безопасном режиме, о том как это сделать описано выше. Дожидаемся загрузки и запускаем опцию “Выполнить” в поле открывшегося окна вводим команду regedit. После ввода команды перед вами откроется окно редактора реестра.

Затем перейдите по следующему пути HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

В правой колонке вы сможете увидеть два параметра Shell и Userinit. Напротив этих параметров есть столбец значение. В этих столбцах не должно быть ничего лишнего (напротив параметра Shell должно быть значение explorer.exe, напротив Userinit значение userinit.exe). Если там присутствуют дополнительные значения, то это результат действия вируса и вы смело можете все удалять.

Также для успокоения совести советую пройти по следующему адресу в настройке реестра …..\Microsoft\Windows\CurrentVersion\Run
и проверить нет ли в правом поле окна лишних и незнакомых вам программ, если такие обнаружены, то удаляйте их.

Перезагружаем компьютер и радуемся исчезновению вируса.

Я почти на сто процентов уверен, что если все сделано правильно то баннер блокирующий запуск windows исчезнет. Но на всякий случай приведу еще один способ как удалить вымогатель. Он конечно не такой серьезный как остальные, но порой бывает не менее действенным.

Перевод даты в Bios

При загрузке системы заходим в Bios и изменяем дату и время на неделю вперед. Случается так, что баннер пропадает, но это случается очень редко.

Обязательно после того, как вы смогли избавиться от блокировщика Windows, просканируйте свой компьютер на наличие вредоносных программ. Сканирование обязательно провести полное, а не быстрое.

А также необходимо подумать над качественной защитой вашего устройства.

Если у вас нет денег на платный антивирус такой как Kaspersky Security, то можете скачать бесплатный антивирус под названием Avast.

И окончательным этапом будет проверка вашего ПК на наличие вредоносных программ. Для этого существует несколько бесплатных программ, о которых я расскажу в следующих статьях своего блога

Источник: https://pomkomp.ru/kak-razblokirovat-virus-vymogatel/

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск – Выполнить

В столбце “Команда” не должно быть подозрительных элементов, например C:\Program Filesovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце “Расположение”).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе “Система” перейти на закладку “Загрузка системы”, прокрутить скроллом немного вниз до заголовка “Автозагрузка”. Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows – уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса – самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) – типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов – мочить гадов! 🙂

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения “explorer.exe” заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба – launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ – загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить “хрень” у записи параметра Shell (reg_sz) на “explorer.exe” и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe – программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:\WINDOWS\system32\userinit.exe UIHost = logonui.exe

Shell = explorer.exe

Источник: https://skalolaskovy.ru/viruses/62-where-hide-viruses

В реестре хранятся вирусы – чистим его!

Shell реестр вирус

Доброго времени суток, друзья. Я вот много пишу о борьбе с разными вредоносными программами, которые блокируют запуск системы, замедляют работу компьютера, отображают рекламу в браузерах.

Но удаление зараженных файлов и процессов – это лишь вершина айсберга. Необходимо выполнять более глубокое сканирование.

Хотите узнать, как проверить реестр на вирусы? Данная статья полностью посвящена этой теме.

Что такое реестр?

Это своего рода база данных, которая содержит массив атрибутов и значений, отвечающих за конфигурацию Windows и установленных приложений. Также, там храниться информация об учётных записях пользователей.

Когда Вы деинсталлируете софт, то в реестре остаются следы. В статье про оптимизацию работы ПК я писиал об этом. К примеру, после удаления графического редактора Photoshop я обнаружил немного «мусора»:

А после использования утилиты для поиска рекламных вирусов Anti-Malware (от Malwarebytes) было найдено множество ключей, которые пришлось почистить вручную:

Представьте, сколько подобного «хлама» может собраться за месяц, год. И всё это замедляет систему, потребляя ресурсы ПК.

А Вы не задумывались, почему компания Microsoft до сих пор не создала собственного инструмента для сканирования реестра на ошибки?

Хорошо, что есть доступ к утилите «regedit», где можно самостоятельно отыскать неиспользуемые записи и удалить их. Это также очень эффективный способ для выявления вирусов (точнее последствий их активности).

Вообще-то, реестр не может содержать трояны и прочие вредоносные скрипты, но в нём могут храниться измененные записи, влияющие на работоспособность системы. Вирусы могут влиять на автозагрузку, выполнение процессов и т.д. С этим нужно бороться, согласны?

С чего начать?

К реестру мы обязательно вернемся. Сначала я вкратце напомню, что следует делать при обнаружении «заразы». О симптомах и проявлениях читайте в этой статье.

Полное сканирование системы

Для этой цели подойдет разный защитный софт. Наилучшим образом себя проявляет KIS (Internet Security от Kaspersky Lab). Это комплексный инструмент, который я не хочу сейчас расхваливать. Его преимущества всем и так давно известны.

Если нет желания платить деньги за качественную проверку, то в качестве альтернативы советую скачать свеженькую версию Cure It! от Доктор Веб.

После запуска обязательно выберите все объекты сканирования:

Конечно же, данный способ не даёт 100%-ой гарантии успеха, но большинство угроз будут удалены. Останется только обезвредить их и перезапустить компьютер.

Автоматический поиск в реестре

Если после вышеупомянутых шагов (сканирования с помощью антивируса nod32 или любого другого подобного софта) поведение ПК всё еще остается загадочным, то следует выполнить очистку конфигурационной базы данных.

С этой задачей могут справиться разные приложения. Но если Вы не хотите устанавливать «прожорливые» комплексные утилиты, то достаточно будет скачать и запустить программу CCleaner.

Уже более пяти лет я использую именно это ПО из-за его простоты и удобства. Иногда тестирую другие продукты аналогичного типа, но в итоге возвращаюсь к данному оптимизатору.

  • После открытия следует перейти во вкладку «Реестр» (слева), затем кликнуть по кнопке «Поиск…»:
  • Отобразится список ошибок. У меня он оказался небольшим, так как проверку выполняю почти ежедневно. У Вас может быть несколько сотен пунктов, если ни разу не выполняли чистку.
  • После нажатия на «Исправить…» появится окно с предложением создать резервную копию перед очисткой. Соглашаемся и указываем путь сохранения:
  • Будет создан файл с расширением «reg», который, в случае возникновения ошибок после чистки, поможет восстановить удачную конфигурацию.
  • Теперь выбираем пункт «Исправить отмеченные» в открывшемся окне:

Скачать CCleaner для Windows на русском >>>

Вот и всё. Реестр почищен. Ошибки устранены.

Ручная проверка

Даже самый лучший Касперский антивирус не способен устранять все последствия «жизнедеятельности» вирусов. Придётся немножко поработать руками и головой. Впереди – увлекательное путешествие в мир редактора реестра.

Эта программа запускается очень просто. Достаточно набрать в консоли «Выполнить» (Win + R) следующую команду:

Regedit

Ответственность за дальнейшие действия лежит исключительно на Вас! Я подскажу универсальный способ, но каждая ситуация индивидуальна и требует особого подхода и повышенной внимательности!

Если в чем-то сомневаетесь, обязательно задавайте вопросы мне или ищите ответы через поисковые системы.

Я покажу пример проблемы, с которой пришлось столкнуться не так давно. Мне удалось устранить вирус, который запускался из папки Windows \ AppPatch с помощью файла «hsgpxjt.exe». Решить проблему помог Dr. Web, но после очередного запуска ПК на экране отобразилось окно ошибки.

Всё указывало на то, что в реестре (разделе автозагрузки) остались следы этого скрипта. Откровенно говоря, CCleaner не помог (увы, он тоже не всесилен). Что я сделал?

HKEY_CURRENT_USER\ Software \ Microsoft \ Windows \ CurrentVersion \ Windows

  • Удалил ключи в разделах «Load» и «Run»:
  • Перезагрузил ОС и сообщение исчезло!

Возможно, Вам придется потратить больше времени, если вирус оставил множество следов. Но так будет надежнее.

Кстати, многие «умники» предлагают сервисы, которые способны проверять реестр на вирусы в режиме «онлайн». Отвечу, что это невозможно. Не верите? Можете прочесть мою статью об утилитах для сканирования ПК через интернет. Там много интересного и полезного.

Источник: https://it-tehnik.ru/virus/check-registry-virus.html

Вредоносный РНР шелл-скрипт – Откуда растут ноги

Shell реестр вирус

Обнаружен вредоносный WSO РНР шэлл-скрипт /libraries/simplepie/idn/OpenIDOpenID.php (сайт на Joomla! 3). На данный момент определяется только некоторыми антивирусами как JS/SARS.S61, PHP:Decode-DE [Trj], Trojan.Html.Agent.vsvbn, PHP.Shell.354, php.cmdshell.unclassed.359.UNOFFICIAL.

В один “прекрасный” (это кому как) день, один из наших подопечных (http://ladynews.biz), в результате сканирования своего сайта антивирусом хостинга, получил вот такую вот мессагу:

В аккаунте обнаружены файлы с вредоносным содержимым. Настоятельно рекомендуем ограничить доступ к FTP аккаунту только с используемых Вами IP-адресов, а также воспользоваться антивирусной защитой для проверки аккаунта на наличие вирусов.

Ознакомьтесь со статьей Рекомендации по безопасности и защите от взлома для предотвращения повторного заражения.

Разумеется, было предложено разобраться с этим безобразием, – сканирование штатным антивирусом ClamAV, с набором антивирусных баз по умолчанию, не дал дополнительного результата.

На момент начала этой истории (2015-10-23), этот вирусный шелл-скрипт отсутствовал в антивирусных БД большинства антивирусов включая таких “монстров” как Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro и т.п., что также 2015-10-23 было подтверждено онлайн-сканером VirusTotal. Лишь только несколько антивирусов смогли определить вредоносный PHP скрипт:

Антивирус Результат Дата обновленияAhnLab-V3 JS/SARS.S61 20151022Avast PHP:Decode-DE [Trj] 20151023NANO-Antivirus Trojan.Html.Agent.vsvbn 20151023

В тот же день про обнаружение вредоносного скрипта были поставлены в известность ClamAV и Dr.Web. ClamAV пока упорно молчит, а Dr.Web на вредоносную посылку отреагировал в течении 24 часов:

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: PHP.Shell.354

Dr.Web сдержал своё обещание и вирусный скрипт OpenIDOpenID.php теперь определяется как PHP.Shell.354, однако многие антивирусы такие как ClamAV, Comodo, DrWeb, ESET-NOD32, GData, Kaspersky, McAfee, Microsoft, Symantec, TrendMicro и т.п., ещё понятия о нём не имеют (по состоянию на 2015-10-25).

Ок., файл /libraries/simplepie/idn/OpenIDOpenID.php мы удалили, а надолго ли? Откуда он взялся, мы можем только теряться в догадках.

Что дальше? Начинаем ставить всякие Securitycheck компоненты и крутить правила в .

htaccess запрещающие доступ к всему и вся ибо на шаред-хостинге (ака Виртуальный хостинг, shared hosting) на большее у нас нет полномочий. На долго ли эти меры спасут, никто не знает.

Кстати на тему всяких Securitycheck компонентов… Securitycheck – это компонент для Joomla! и вполне неплохой. А вот некий “Antivirus Website Protection” полнейший отстой которым я крайне никому нерекомендую использовать, вот подтверждённый практикой отзыв об этом “Antivirus Website Protection”:

Ease of use

This Component also creates a pack.tar file in your /tmp that contains your configuration.php and any other passwords found! BE AWARE

Что в переводе означает: “этот компонент также создаёт резервную копию всего сайта в файле /tmp/pack.tar, который содержит configuration.php с паролями от БД! БУДЬТЕ ОСТОРОЖНЫ” – это говорит о том, что “Website Protection” от этого компонента и не пахнет, что также должно навести жертву на мысль про изменение путей к директориям /logs, /tmp, /cache и запрета доступа к ним.

Перейдя по этой ссылке можно понять, что проблеме как минимум больше года. Заглянув сюда поймём, что маскировка шэлл-скрипта выполнена не хитрыми base64_encode/gzdeflate, а значит ещё где-то должна быть часть вызывающая/подключающая OpenIDOpenID.php и выполняющая base64_decode/gzinflate. Значит OpenIDOpenID.

php лишь результат (ака следствие), а не причина, где жертва жалуется на то что, с сервера начал отправляться спам в промышленных масштабах, а ручное удаление вредоносных файлов не помогает, после чего жертве кроме как на NIC-RU хостинг жаловаться больше не на кого. “Дырявый” виртуальный хостинг вполне может быть и оч.

даже часто имхо люди там работают за з/п, а не за идею, но в некоторых случаях проблема может быть значительно глубже.

Вот к примеру “В файле Adobe Flash обнаружен вредоносный инжектор iFrame”. Думаю ни для кого не секрет, что на флэш можно писать интерфейсы для загрузки файлов на сайт и делать ещё много разных интересных вещей на языке ActionScript. Вирус в .

swf файлах (Adobe Flash), как показала практика, может оставаться незамеченным годами и быть чёрной дверью в сайте (ака back door — задняя дверь) через которую “закидываются” файлы вроде “OpenIDOpenID.

php” удалять которые можно до посинения и безрезультатно.

Что же делать, как среди тысяч файлов найти “слабое звено”? Для этого нужно использовать так называемый эвристический анализ и в некоторых случаях применять антивирусные базы данных сторонних разработчиков.

Следует брать во внимание, что эвристический анализ, в зависимости от его настроек, может давать много ложных срабатываний чем при использовании дополнительных вирусных сигнатур от сторонних разработчиков.

Где взять антивирусные базы данных сторонних разработчиков? Например базы данных с антивирусными сигнатурами от сторонних разработчиков для ClamAV можно взять бесплатно по адресам: www.securiteinfo.com, malwarepatrol.net, rfxn.com. Как использовать эти дополнительные антивирусные базы? Это уже совсем будет иная история.

Можно сказать лишь то, что дополнительные антивирусные базы для ClamAV от rfxn.com (проект LMD (Linux Malware Detect)) нацелены на поиск вредоносного ПО именно в веб-приложениях и даёт более удачные результаты. rfxn.

com так же заявляет, что 78% угроз, отпечатки которых содержатся в их БД не определяются более чем 30-ю коммерческими анти-вирусами, – и скорее всего так оно и есть.

Итак… Чем же закончилась история с вредоносным РНР-шелл скриптом OpenIDOpenID.php?

Решено было запастись дополнительными антивирусными базами для ClamAV от malwarepatrol.net и rfxn.com, скачать резервную копию файлов сайта да просканировать их локально, вот результат сканирования:

$ clamscan /ladynews.biz/../game_rus.swf: MBL_647563.UNOFFICIAL FOUND/../farmfrenzy_pp_rus.swf: MBL_647563.UNOFFICIAL FOUND/../beachpartycraze_rus.swf: MBL_2934225.UNOFFICIAL FOUND/../hollydeluxe_rus.swf: MBL_647563.UNOFFICIAL FOUND/../loader_rus.swf: MBL_647563.UNOFFICIAL FOUND ———– SCAN SUMMARY ———–Known viruses: 4174348Engine version: 0.98.7Scanned directories: 3772Scanned files: 18283Infected files: 5Total errors: 1Data scanned: 417.76 MBData read: 533.51 MB (ratio 0.78:1)Time: 1039.768 sec (17 m 19 s)

/libraries/simplepie/idn/OpenIDOpenID.php как и выше упомянутые .swf файлы были удалены, а решена ли проблема? Пока сложно сказать, – копаем дальше…

Из расшифрованной версии файла /libraries/simplepie/idn/OpenIDOpenID.php (http://pastebin.com/WRLRLG9B), взглянув на константу @define('WSO_VERSION', '2.5');, становится ясно, что это такой себе продукт под названием WSO. Немного покопав сеть по ключевому слову WSO были получены вот такие вот результаты:

Оказывается тема давно не нова, что ж берём в зубы regexxer, продолжаем колупать файлы сайта и обнаруживаем: Error opening directory '/home/user/libraries/joomla/cache/controller/cache': Отказано в доступе

Ага, вот ты с.ка где ещё серануло! Смотрим права на директорию /libraries/joomla/cache/controller/cache, которой по умолчанию не должно быть, = chmod 111 (ака Выполнить для Владелец/Группа/Все). Таким образом что-то где-то сидит и рассырает себя по каталогам скрывая себя даже от вирусов чмодами 111.

Установив для каталога чмоды 551 и заглянув во внутрь, там был обнаружен /libraries/joomla/cache/controller/cache/cache/langs.php, исходный код которого выложен здесь: http://pastebin.com/JDTWpxjT – каталог /libraries/joomla/cache/controller/cache удаляем.

Отлично, теперь приводим в порядок чмоды на все файлы и каталоги:

# массовая смены прав (chmod) на файлы в директории ./dirname и нижележащихfind /home/user/public_html -type f -exec chmod 644 {} \; # массовая смены прав (chmod) на в ./dirname и нижележащихfind /home/user/public_html -type d -exec chmod 755 {} \;

Ещё раз повторяем проверку антивирусом с дополнительными базами clamscan /ladynews.biz, но якобы всё чисто.

Повторяем поиск файлов regexxer-ом и пробуем поискать по ключевым словам OpenIDOpenID, OpenID или WSO – и, приходим к выводу о том, что п.здец оказался намного ширше и глубже:

  • /administrator/components/com_admin/index.php – его не должно здесь быть, вот его исходник: http://pastebin.com/jYEiZY9G
  • /administrator/components/com_finder/controllers/imagelist.php – его не должно здесь быть, вот его исходник: http://pastebin.com/0uqDRMgv
  • /administrator/components/com_users/tables/css.php – его не должно здесь быть, вот его исходник: http://pastebin.com/8qNtSyma
  • /administrator/templates/hathor/html/com_contact/contact/toolbar.trash.html.php – его не должно здесь быть, вот его исходник: http://pastebin.com/CtVuZsiz
  • /components/com_jce/editor/tiny_mce/plugins/link/img/Manager.php – его не должно здесь быть, вот его исходник: http://pastebin.com/2NwTNCxx
  • /libraries/joomla/application/web/router/helpsites.php – его не должно здесь быть, вот его исходник: http://pastebin.com/ANHxyvL9
  • /plugins/system/ytshortcodes/XML.php – его не должно здесь быть, вот его исходник: http://pastebin.com/GnmSDfc9
  • /templates/index.php – его не должно здесь быть, вот его исходник: http://pastebin.com/gHbMeF2t

/administrator/components/com_admin/index.php и /templates/index.php вероятно были входными скриптами, в которых выполнялся основной код с помощью крайне не рекомендуемой к использованию функции eval() где также использовались:

Что ж, логика маскировки вредоносного кода ясна. Теперь же если мы поищем конструкцию “eval($”, то мы обнаружим ещё очень много интересного:

  • /administrator/components/com_admin/sql/updates/postgresql/php.php – http://pastebin.com/gRHvXt5u
  • /components/com_kunena/template/blue_eagle/media/iconsets/buttons/bluebird/newsfeed.php –
  • /components/com_mailto/helpers/index.php –
  • /components/com_users/views/login/file.php –
  • /components/com_users/controller.php – инфицирован и требует замены!,
  • /includes/index.php –
  • /libraries/joomla/string/wrapper/section.php –
  • /libraries/legacy/access/directory.php –
  • /libraries/nextend/javascript/jquery/InputFilter.php –
  • /libraries/nextend/smartslider/admin/views/sliders_slider/tpl/config_tinybrowser.php –
  • /libraries/xef/assets/less/admin.frontpage.php –
  • /media/editors/codemirror/mode/rust/Alias.php –
  • /modules/mod_kunenalatest/language/zh-TW/smtp.php –
  • /modules/mod_kunenalogin/language/de-DE/XUL.php –
  • /plugins/content/jw_allvideos/jw_allvideos/includes/js/mediaplayer/skins/bekle/CREDITS.php –
  • /templates/sj_news_ii/html/mod_sj_contact_ajax/toolbar.messages.php –

Не от всех ещё вирусных РНР скриптов код выложен на pastebin.com ибо в течении 24 часов разрешается только 10 публикаций. В общем порядок удаления примерно следующий:

Да, чуть не забыл, – перед началом удаления вредоносных скриптов не помешает добавить в .htaccess несколько правил запрещающих прямое обращение к любым .

php файлам в любых директориях, но разрешающие доступ только к корневым файлам / или /index.php и /administrator/ или /administrator/index.

php – это перекроет противному злоумышленнику доступ к входящим шэлл-скриптам спрятанных в различных системных директориях:

{pub} {/pub} {reg}# —+++ PROTECT SOME FILES AND DIRECTORY +++—#RewriteCond %{REQUEST_URI} !/((index)+\.php|.*\.(htm|html|txt|xml)|[a-zA-Z0-9\-]+|.*/[a-zA-Z0-9\-]+|.*/.*\.(css|js|jpg|jpeg|png|gif|ico|eot|svg|ttf|woff|woff2|html)+)?$ [NC]RewriteCond %{REQUEST_URI} !/(administrator)+/(index\.php)?$ [NC]RewriteRule (.*)$ – [F,L]## —+++// PROTECTED SOME FILES AND DIRECTORY +++— {/reg}

UPD 2015-10-28: Ну, что? Уже расслабились? Рано ещё…

Теперь ещё поищем в дебрях файлов сайта бинарные файлы, которых в движке не должно быть и в помине:

find /mypath/ -executable -type ffind /mypath/ -type f -perm -u+xfind /mypath/ -type f | xargs file | grep “\:\ *data$”

Кто ищет — тот всегда найдет (бинарные файлы):

  • /modules/mod_p30life_expectancy_calc/tmpl/accordian.pack.js
  • /images/stories/audio/34061012-b1be419af0b9.mp3
  • /libraries/xef/sources/folder/navigation.php
  • /libraries/joomla/application/web/application.php
  • /libraries/joomla/document/json/admin.checkin.php
  • /libraries/nextend/assets/css/LICENSES.php
  • /libraries/fof/config/domain/toolbar.categories.html.php
  • /libraries/fof/form/field/client.php
  • /libraries/phputf8/sysinfo_system.php
  • /components/com_mobilejoomla/index.php
  • /components/com_mobilejoomla/sysinfo_system.php
  • /components/index.php
  • /components/com_banners/sysinfo_config.php
  • /components/com_kunena/views/home/admin.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/source/js/codemirror/toolbar.checkin.php
  • /components/com_jce/editor/tiny_mce/plugins/colorpicker/admin.cache.php

Подытожим

Откуда выросли ноги у этой заразы достоверно установить не удалось, – то ли виновата недавно найденная в движке критическая уязвимость позволяющая выполнять SQL-инъекции и повышать привилегии, то ли упомянутые выше отмеченные как вредоносные .swf файлы, то ли ещё не обнаруженная до сих пор какая-то уязвимость в одном из сторонних компонентов или плагинов, то ли дырявый виртуальный веб-хостинг, – вопрос остаётся открытым?

На текущий момент обнаруженные вредоносные файлы вычищены, файлы движка полностью перезалиты, правилами в .htaccess выстроены баррикады… У кого есть время и кому интересно собрать воедино и поковырять эту кучу говна можете скачать архив wso-php-shell-in-joomla.zip – там упакованы все упомянутые выше вредоносные РНР файлы, пароль от архива: www.remoteshaman.com

ИТОГО: Паранойи много не бывает, а любой бесплатный или коммерческий антивирус с его эвристикой вместе с дополнительными базами сигнатур далеко не панацея.

Следовательно любые анти-вирусы являются устаревшим инструментом для защиты активной многопользовательской среды и для предотвращения различных неизвестных угроз следует использовать именно параноидальные методы защиты, например: виртуализация, SELinux, Bastille Linux, immutable bit, ecryptfs etc!

  • Угроза: WSO PHP веб-шелл
  • Жертва: ladynews.biz

Рекомендуемый контент

Источник: https://www.remoteshaman.com/news/security/malware-wso-php-shell-script

Где прячутся вирусы и как пользоваться командой msconfig в Windows

Shell реестр вирус

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.

В зависимости от «продвинутости» создателя вируса, это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:

Где находятся вирусы

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

и

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера 001 или 002}\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Автор текста: Сергей «Остров»

, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: https://bravedefender.ru/post180579622/

Почему не загружается рабочий стол? Решение проблемы!

Shell реестр вирус

Вечером после работы, как обычно, сажусь за комп проверить почту.

Включаю компьютер — всё загружается, Windows XP SP3. О чём-то задумался, ожидая загрузки OC, через минут 10 понимаю, что загрузки не состоится. На мониторе заставка и ничего более…

Всё думаю доигрались

Источник: https://entercomputers.ru/interesting/vostanovlenie_explorer_exe.html

ГосЗакон
Добавить комментарий