Итак, доброго времени суток подписчики.

Много копий было сломано и текста писано-переписано по поводу и на тему лечения от нежелательного/рекламного/вирусного ПО/adware вышеуказанных компаний.

Я не буду, да и не скажу что здесь будет что-то новое на рынке решений этой проблемы. Здесь будет моя инструкция и подборка софта которая помогает мне в борьбе с этой дрянью.

Краткая версия инструкции - выделена жирным. Остальное для любителей деталей :)

ЛЛ должна одобрить :)

Инструкция:

0. Делаем все на свой страх и риск, делаем резервные копии всего ценного и никто кроме вас не несёт ответственности за выполнение действий указанных в посту. Не забудьте создать точку восстановления системы. Удачи :)

1.Удаляем всё подозрительное через панель управления или любимым uninstall-софтом.

2.Запускаем CCleaner. Чистим. Повторяем это действо после каждого последующего пункта и после каждой перезагрузки которую предложит та или иная программа.

3.Запускаем AdwCleaner. Чистим.

4.Запускаем JRT. Чистим.

5.Запускаем MBAR Чистим.

6. НЕОБЯЗАТЕЛЬНО Проверьте файл hosts (https://ru.wikipedia.org/wiki/Hosts) на наличие посторонних строк. В стандарте должна быть только одна запись 127.0.0.1 localhost

Однако если вы когда-либо использовали DWS (Destroy Windows Spying) для отключения шпионства то файл hosts будет заполнен адресами телеметрии Microsoft.

7.НЕОБЯЗАТЕЛЬНО Удалить все расширения в браузерах и установить AdBlock или AdBlock Plus.

8.НЕОБЯЗАТЕЛЬНО Также желательно пройтись KVRT, Dr.Web CureIt и Malwarebytes Antimalware (бесплатная практически не имеет отличий от pro версии).

9.НЕОБЯЗАТЕЛЬНО Для глубокой очистки воспользуйтесь утилитами AVZ и Universal Virus Sniffer. ВНИМАНИЕ, эти программы при неправильном использовании могут нанести не пользу, а вред вашей системе.

10.НЕОБЯЗАТЕЛЬНО Проверить и почистить автозапуск. Можно через тот же CCleaner.

11.НЕОБЯЗАТЕЛЬНО После всего и вся перезагружаемся.

Ссылки на упомянутый выше софт:

К основной инструкции:

http://www.piriform.com/CCleaner/download/portable

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

https://ru.malwarebytes.com/junkwareremovaltool/

https://ru.malwarebytes.com/antirootkit/

Дополнительно:

https://github.com/Nummer/Destroy-Windows-10-Spying/releases

https://getadblock.com/

https://adblockplus.org/

http://free.drweb.ru/cureit/

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/fu...

https://ru.malwarebytes.com/antimalware/

http://z-oleg.com/secur/avz/download.php

http://dsrt.dyndns.org/uvs.htm

Готовые файлы, для личного использования, прилагаю на Яндекс.Диске. Кроме плагинов. Вирусов нет.

https://yadi.sk/d/jr2QT0BOxDE8v

Спасибо за просмотр. Предлагайте темы для следующих постов. Оставляйте комментарии. Ваше мнение очень важно для нас. Пожалуйста оставайтесь на линии, вам ответит первый освободившийся консультант :D

Также смотрите мой предыдущий пост по теме:

Работа с разделами диска и загрузчиками Windows

http://pikabu.ru/story/rabota_s_razdelami_diska_i_zagruzchik...

Все товарные знаки и торговые марки являются собственностью их владельцев.

Эксперты SecureWorks предупреждают: хакеры нашли новый способ для повторной доставки малвари в однажды скомпрометированную систему. Для этого злоумышленники используют компонент Windows BITS (Background Intelligent Transfer Service), который отвечает за передачу файлов между клиентом и сервером, и работает с Windows Update и Microsoft Security Essentials. Оказалось, что с доставкой малвари BITS справляется не хуже, чем с доставкой обновлений.

Нельзя сказать, что идея использования Windows BITS для атак появилась недавно, — еще в 2006 году русскоязычные хакеры обсуждали вредоносное ПО, которое могло бы использовать BITS для загрузки и установки малвари. Реальные случаи эксплуатации службы таким образом встречаются с 2007 года. Так что обнаруженные исследователями SecureWorks атаки, это скорее «хорошо забытое старое».

Исследователей SecureWorks пригласили расследовать странный случай: система, в которой точно не было никакой малвари, то и дело демонстрировала странное поведение и вызывала срабатывания систем безопасности.

Вскоре эксперты выяснили, что оригинальное заражение произошло еще 4 марта 2016 года: компьютер под управлением Windows 7 пострадал от разновидности вредоноса DNSChanger, а именно от малвари Zlob.Q. Логи показали, что именно Zlob.Q добавил службе BITS новых заданий.

Первое задание инициировало скачивание файла, который сохранялся в C:\ProgramData\{066b06e5-512c-0}\{066b06e5-512c-0}.d. По завершении загрузки, BITS выполняла полученный код как «notification program», а затем «прибирала за собой», удаляя использованные файлы. Хотя оригинальный вредонос был давно стерт из системы антивирусом, задания в BITS сохранились, и повторная загрузка малвари производилась «по расписанию». Так как BITS является доверенной службой, антивирус не блокировал данную активность и не расценивал ее как вредоносную. Система безопасности лишь создавала уведомления о том, что происходит что-то подозрительное.

Исследователи отмечают, что максимальный срок жизни заданий BITS составляет 90 дней, однако его можно продлить, и тогда злоумышленник получит надежный плацдарм для дальнейших атак.

В заключение специалисты SecureWorks описали способы борьбы с заражениями такого рода, а также привели список доменов, которые использовались злоумышленниками в данном случае. С подробным отчетом исследователей можно ознакомиться здесь.

Мое сообщество на данные темы,

Компания Dr. Web сообщает о новом трояне, который устанавливает на заражённые компьютеры приложение TeamViewer. Злоумышленники используют его в качестве прокси и таким образом скрывают свои истинные IP-адреса.

Троян, получивший название BackDoor.TeamViewer.49, был обнаружен в начале мая специалистами Dr. Web и «Яндекса». Для его распространения применяется замысловатая многоступенчатая схема. Жертвами BackDoor.TeamViewer.49 становятся пользователи, чьи компьютеры поражены другим трояном — Trojan.MulDrop6.39120. Обычно он распространяется с заражёнными инсталляторами Adobe Flash Player, которые можно встретить в неофициальных источниках.

Trojan.MulDrop6.39120 без ведома пользователя скачивает и устанавливает TeamViewer — популярное и совершенно легальное приложение, которое служит для удалённого управления компьютером, обмена файлами и проведения телеконференций. Известны случаи, когда злоумышленники применяли TeamViewer для того, чтобы получить контроль над машиной жертвы. BackDoor.TeamViewer.49 необычен тем, что его создатели нашли для TeamViewer другое сомнительное назначение.

BackDoor.TeamViewer.49 скрывается в модифицированной версии динамической библиотеки avicap32.dll, которую TeamViewer загружает при запуске. При установке приложение добавляет себя в список автозапуска и автоматически включается после каждой перезагрузки заражённого компьютера. После этого вредоносная программа убирает иконку TeamViewer из области уведомлений Windows, открывает защищённое соединение с командным сервером и ждёт дальнейших указаний.

Та версия трояна, которую анализировали специалисты Dr. Web, исполняла роль прокси, но это не значит, что BackDoor.TeamViewer.49 больше ни на что не способен. «Когда система заражена, преступники могут делать с ней практически всё, что угодно, — цитирует издание Softpedia слова представителя разработчиков TeamViewer. — В зависимости от сложности вредоносного софта, он может взять под контроль всю систему, перехватывать информацию, манипулировать ей и так далее».