Показать сообщение отдельно

Re: Вирусы, их описания и способы борьбы с ними.
Старый 13.10.2016, 22:53   #316
Форумчанин
 
Регистрация: 27.03.2012
Сообщений: 115

xyligan вне форума

Вирусы, их описания и способы борьбы с ними.


Любопытный случай по интересному зловреду
Приветствую всех. Не знаю куда описать интересную ситуацию по зловреду. Прошу модераторов перенесите пожалуйста в более соответствующую ветку. Надеюсь информация будет полезна кому то из форумчан.
И так перейду к описанию проблемы и её решению.
Нажмите чтобы раскрыть спойлер
На прошлой неделе появились у меня уведомления от НОД 32 о блокировании вредоносного сайта. Скриншот ниже


Если бы сообщение было разовое я бы не обратил внимание. Но Нод начал оповешать очень часто с волновым эффектом по 10-12 сообщений в минуту. При чём могло быть долгое затишье, а потом куча сообщений и всё происходит при закрытом браузере. Просканировал Нодом весь комп заразы нет но окна остались, очистил все папки ТЕМП но избежание стартования различных левых батников и ексешников. Но окна по прежнему появлялись.

Решил просканировать дополнительными другими антивирусными решениями.
1. Просканировал утилитой Dr.Web CureIt - результат всё чисто.
2. Просканировал Malwarebytes Anti-Malware Premium -результат на компе чисто.
3. Просканировал Hitman Pro -результат на компе чисто.
4. Просканировал AdwCleaner -результат на компе чисто.
5. Просканировал Чистилка -результат на компе чисто.
6. Просканировал Loaris Trojan Remover -результат на компе чисто.
7. Просканировал AVZ -результат на компе чисто.
8. Просканировал уже ради интереса RogueKiller - результат сразу показался.




Ну обрадовался, прога починила реестр. Перезагрузил комп и провёл повторное сканирование RogueKiller - показало всё чисто, но сообщения от нода32 начали появляться снова.
Решил удалить НОД 32 и проверить систему другими антивирусами.
Установил Авиру и обновил до последних баз - результат поиска нулевой.
Снёс Авиру поставил Аваст Интернет Секьюрити, обновил до последних баз - результат поиска нулевой.
Удалил Аваст и поставил Касперского Интернет Секьюрити последнюю версию, обновил до последних баз - результат поиска после проверки нулевой, никаких сообщений не всплывало о блокировке вредоносных адресов.
Установил обратно НОД32 и опять антивирус начал блокировать запросы.
В конце концов решил проверить вручную сам реестр по поиску запроса на сайт non-block.net
И вот итог на следующем скрине.


Ну думаю всё проблема решена. Подправил реестр перегружаю комп.
И что вы думаете - окна опять появляются.))
Проверяю по реестру вручную поиск снова на запрос названия сайта. Результат нулевой. Решил поискать по всем параметрам недалеко от прошлого места.
И вуаля. Прописалась эта гадость по хитрому ещё в SavedLegacySettings и DefaultConnectionSettings.


Подправил реестр ручками и здесь. Перезагрузил комп. В данное время НОД32 спокоен и сообщения больше не появляются.

Но самое интересное в другом. Я отправил письма со скриншотами и описанием ситуации во все антивирусные лаборатории, адреса которых я нашёл и в обратную связь через официальные сайты.
Откликнулись только трое. Вы готовы их услышать, как говорит Задорнов?

Первое письмо я получил от разработчика программы Чистилка, который поблагодарил за информацию и пообещал усовершенствовать функционал у своей программы.

Второе письмо пришло от Доктора веба, которому я описал в чём проблема, что доктор веб не видит вредоносных изменений в реестре - их ответ убил!!!!!!!!!!!
Цитирую дословно их ответ скриншотом.)))


Третье письмо я получил от техподдержки нода. Скриншот ниже.


Разрабы порадовали, уделили внимание и пообещали на будущее расширить функционал. Буду надеяться что так оно и будет.

От канторы Касперского я так и не получил ответа. Очень удивил тот факт что относительно реестра Новый эвристик для AutoConfigURL
был описан на форуме касперского ещё в 2013 году.
Вот скидываю ссылку на статью https://forum.kaspersky.com/index.php?showtopic=257856
не могу понять почему последние версии касперского не смогли увидеть изменения в реестре.
Возможно эта информация тоже будет полезна форумчанам. Всем желаю чистых компом и поменьше заразы.
  Ответить с цитированием
5 пользователя(ей) сказали cпасибо:
 
Яндекс.Метрика