F4eb2d6c ed2b 4bdd ad9d f913287e6768 lock что это
Создаются расширения и блокируются антивирусники и адблоки
Добрый вечер, уважаемые. жена скачала Офис с вируснями-троянами, пытался чистить и лечить, ничего не получается, все равно остаются в системе. Пытался и доктор вебом, и adwcleaner, и Malwarebytes.
Проблема в том, что в браузере Chrome создаются расширения рекламные (типа News, Pageplay и т.д., разные), иногда появляется баннер снизу рекламный. Блокируются антивирусы и адблоки. Иногда появляются рекламные ярлыки на рабочем столе со ссылками на сайты игр, и т.п.
Вложения
 | CollectionLog-2019.04.02-22.41.zip (100.9 Кб, 7 просмотров) |
В system32 создаются копии файлов с добавлением расширения *.tmp
В папке system32 некоторые файлы повторяются,и к ним добавляется расширение tmp (asycfilt.dll.tmp.
Как писать антивирусники?
Помогите, кто знает как знает как писать антивирусники?
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Троян использует «режим Бога» Windows, чтобы спрятаться в системе
Как известно, в операционной системе Windows Vista, 7, 8 и 10 есть своеобразная пасхалка — GodMode (режим Бога). Начиная с версии Vista можно создать папку со специфическим именем, которая перенаправляет на настройки Windows или служебные папки, такие как «Панель управления», «Компьютер», «Принтеры» и проч.
Например, если создать на рабочем столе папку с названием GodMode. (вместо GodMode можно указать любые символы), то внутри будут отображаться все настройки, в том числе и те, которые не включены в меню «Панели управления» или «Параметры»: скриншот.
Очень удобная фича для управления настройками в системе и для системного администрирования.
К сожалению, режим Бога используют не только сисадмины, но и авторы вирусов.
Специалисты из антивирусной компании McAfee Labs рассказывают о трояне Dynamer, который использует режим Бога, чтобы скрыться от обнаружения в системе.
Dynamer при установке записывает свои файлы в одну из таких папок внутри %AppData%. В реестре создаётся ключ, который сохраняется после перезагрузки, запуская каждый раз бинарник зловреда.
Таким образом, исполняемый файл нормально запускается по команде из реестра, но вручную зайти в эту папку нельзя: как указано в списке выше, папка <241D7C96-F8BF-4F85-B01F-E2B043341A4B>работает как ярлык на настройки «Подключение к компьютерам и программам на рабочем месте» (RemoteApp and Desktop Connections).
Вот содержимое папки, если открыть её в проводнике.
Более того, авторы трояна добавили к названию папки «com4.», так что Windows считает папку аппаратным устройством. Проводник Windows не может удалить папку с таким названием.
Аналогично, удаление невозможно из консоли.
Нормальные антивирусы обходят этот трюк вирусописателей. Чтобы удалить папку вручную, нужно запустить из консоли следующую команду.
Троян Dynamer впервые обнаружен несколько лет назад, но Microsoft до сих пор считает его «серьёзной угрозой» для пользователей Windows.
Список имён папок (GUID) в режиме Бога для быстрого доступа к отдельным настройкам Windows
Активатор AAct 4.2
Подходит для VL редакций Windows Vista, 7, 8, 8.1, 10, Server 2008, 2008 R2, 2012, 2012 R2, 2016
А также Office 2010 (в том числе 2010 VL на Windows XP), 2013, 2016
Активатор W10 Digital Activation Program
Подходит для любых редакций Windows 10, постоянная активация
Активатор Windows Loader 2.2.2 by Daz
Подходит для не-VL редакций Windows 7
Windows XP: QRG7T-8RHQY-B4CVX-R8MWM-W43BT
ru_windows_10_business_editions_version_2004_updated_sep_2020_x64_dvd_0c49b616.iso
MD5: 0e538a0e9649894223788057892610d6
SHA-1: ca65a095ac091c4194e3bc13066998c9f90c71e8
SHA-256: fc6fb767beb3395782ae39845bcbcc85d913f46537a980eeea74a52b15cb931c
ru_windows_10_business_editions_version_2004_updated_sep_2020_x86_dvd_e2337281.iso
MD5: 20b95e2faef1042e1e3407b162c383e4
SHA-1: 4121a3f7da73ef8c822e5f824637ad1e4f1107e3
SHA-256: 8528b324fd2ef3e5a74362cb29868ab6912989d1edcc9e22cd532906baf0258c
ru_windows_10_consumer_editions_version_2004_updated_sep_2020_x64_dvd_6d82e352.iso
MD5: 0b63e075eb9cba14d9faeb5c0717833e
SHA-1: 6dde61632fc951880467e5777faba6506fd24be4
SHA-256: 745377475db381b7d836618e66b723aa06b4a73141680a9e64ed2754bc324b9b
ru_windows_10_consumer_editions_version_2004_updated_sep_2020_x86_dvd_979e9e86.iso
MD5: b6f97ab2da5617f7537a9e43a75ba840
SHA-1: 496e2e493ef4df90830ef8fd26796ee99a91cf18
SHA-256: 043122b0f549b477327c1c2acce9fb4035853a4461427e12a52a7a117dad037e
en_windows_10_business_editions_version_2004_updated_sep_2020_x64_dvd_d015d77b.iso
MD5: 5393e0c1eba384ecc5fea3a313653378
SHA-1: cd9a2f1aea7801b47fc6b98c6dc68a86e8a81b0e
SHA-256: dabdccbbc8fbcb02a4872f2b2e5bd24dc70fe206aa1564a25d099fadeb23a139
en_windows_10_business_editions_version_2004_updated_sep_2020_x86_dvd_1073875f.iso
MD5: 6d9589869acd711bcf98cdcdbe806883
SHA-1: 64623bd54e287d2c1079b41543302858bf5bd1bf
SHA-256: 6e049b80e5df34ef28b8f9ce5d6476640bae9cb69b65bb737228a2b4e677daa7
en_windows_10_consumer_editions_version_2004_updated_sep_2020_x64_dvd_4c07c420.iso
MD5: ea0864a80d8980e237731f3a9491f5d7
SHA-1: 6f90c52bc551ef97ca049f64dd627bb32bf58696
SHA-256: 016a28c7979050e4f8689915c5149f76e4adb05e6d82fbf5af51f4c9fb32d4d8
en_windows_10_consumer_editions_version_2004_updated_sep_2020_x86_dvd_9bcac8c4.iso
MD5: c4b2054564b2d6cb7bb8ea35ea453db8
SHA-1: 2190e6a01fc4c4966a9cee4da5e220543bb25d9b
SHA-256: 88e672177082d2565e5f8e611bddac65644681653e01bc87a5d13d554060541a
ru_windows_10_enterprise_2016_ltsb_x86_dvd_9058173.iso
CRC32: EB36BE3D
MD5: 310AE252A996136FF5EDB91B16F63D5D
SHA-1: 4D1762EA591E2394591A3AEF83CC0C799C708325
ru_windows_10_enterprise_2016_ltsb_x64_dvd_9057886.iso
CRC32: 743F9692
MD5: 300E8EFB4A8EB202746A7749BC11C0D8
SHA-1: 0770A930A329A487B8A637AA7836E307A8B47634
en_windows_10_enterprise_2016_ltsb_x86_dvd_9060010.iso
CRC32: B4AF10BC
MD5: 6FFB9B81FDE69EA4B5A2764F93D8B245
SHA-1: 45E72D02FF17125C699558719EB946D8E140C9CC
en_windows_10_enterprise_2016_ltsb_x64_dvd_9059483.iso
CRC32: F1BDFDC0
MD5: E39EA2AF41B3710682FE3BBDAC35EC9A
SHA-1: 031ED6ACDC47B8F582C781B039F501D83997A1CF
Для скачивание образов рекомендуем программу qBittorrent