BackDoor.IRC.NgrBot.146

[Юра 80]

Супруга поймала сегодня. Метод борьбы прислали добрые люди.

Добрый день,

...... стала заметна активность вируса (троянского коня) действующего от имени людей, которые есть в Вашем списке контактов в Skype, и рассылающего всем контактам этого человека (например, Вам), в чате Skype сообщения такого вида:

это новый аватар вашего профиля?))
http://goo.gl/хххххx?img=yourskypename

Если Вы щёлкнете мышью по такой ссылке, полученной в чате Skype, на Ваш компьютер будет загружен zip-архив, содержащий опасную вирусную программу (троянский конь) BackDoor.IRC.NgrBot.146 (по классификации Dr.Web). Ни в коем случае не щёлкайте по такой ссылке и не загружайте этот zip-архив на свой компьютер, а если загрузили, то не открывайте его, а немедленно удалите.

Если Вы открыли этот архив, то Вам следует немедленно проверить Ваш компьютер на наличие вирусов и вылечить их. Как показала практика сегодняшнего дня, стандартно применяемый в ЕГУ антивирус Symantec может обнаружить этого троянского коня, если в антивирус загружены самые новые базы данных вирусных сигнатур. Однако, если Вы запустили полное сканирование Вашего компьютера стандартным установленным на Ваш компьютер антивирусом, и он ничего не нашёл (либо нашёл, но Ваши коллеги сообщают Вам, что с Вашего Skype продолжается рассылка вирусных ссылок), совершенно точно помогает скачать и запустить на Вашем компьютере антивирусную программу одноразового действия DrWeb CureIt. Скачать её можно по этой ссылке: http://www.freedrweb.com/cureit/?lng=ru нажав на кнопку "Скачайте бесплатно", на следующей странице "Далее", на следующей странице "Скачать Dr.Web CureIt! с функцией отправки статистики", и на следующей странице нужно поставить галочку "Я принимаю условия Лицензионного Соглашения." и нажать кнопку "Продолжить".

В результате этих действий на Ваш компьютер скачается программа-антивирус (она будет называться бессмысленным именем -- набором случайных букв -- нарочно, чтобы вирус не опознал её и не начал блокировать). Запустите эту программу.

Когда программа запустится, она выведет предупреждение на английском языке, о том, что она хочет работать в особом режиме защиты от внешних вмешательств -- в этом режиме на компьютере будет работать только программа DrWeb CureIt, и Вы не сможете пользоваться компьютером до окончания антивирусного сканировния, которое наверняка займет более часа, а возможно и более двух часов. Этот режим "эксклюзивного запуска" антивирусной программы предназначен для того, чтобы никакие другие программы (а значит, и вирусы) не смогли захватить управление компьютером и помешать антивирусу. В таком режиме программа будет работать, если Вы на этом этапе нажмёте кнопку "Ok" ниже предупреждения на английском языке. Если Вы не согласны на такое блокирование компьютера на время антивирусного сканирования, нажмите кнопку "Cancel", и программа запустится в неэксклюзивном режиме, что даст Вам возможность продолжать работать во время антивирусного сканирования.

Запущенный антивирус даст возможность запустить сканирование кнопкой "Start" -- нажмите её. Вам будет выведено предупреждение, что программа делает "Экспресс-сканирование". Нажмите "Ок". Появится основной интерфейс программы, ведущей "Экспресс-сканирование". Остановите это сканирование кнопкой остановки сканирования (кнопка с изображением квадрата в группе из трёх кнопок у правого края окна антивируса, под зелёным логотипом Dr.Web). После остановки "Экспресс-сканирования" переключите тип сканирования с Express scan в Complete Scan ("Полное сканирование"), и запустите полное сканирование нажатием на кнопку "Start scanning" (кнопка с изображением треугольника (стрелки вправо) в группе из трёх кнопок у правого края окна антивируса, под зелёным логотипом Dr.Web).

Не прерывайте работу антивирусного сканера до полного окончания сканирования. По ходу работы антивирус может извещать Вас о найденных вирусных или подозрительных объектах, спрашивать, что с ними делать. Отвечайте на вопросы антивирусного сканера, т.к. каждый неотвеченный вопрос останавливает дальнейшее сканирование до получения ответа на вопрос.

В будущем будьте внимательны и не открывате необдуманно ссылки, оформленные подозрительным образом. В случае малейшего подозрения спрашивайте отправляющего Вам ссылку контакта, что содержится в файле по этой сслыке, и до получения правдоподобных объяснений ничего не открывайте.

[Rezaka™]

Юра 80, так нашел всё-таки CureIt вирусы? А то вроде как днем не особо получалось у него

[Юра 80]

не особо получалось у него

это у Кати не получалось
Нашел, но поиск идет еще. Решил уж дождаться до конца.

[Rezaka™]

Юра 80, просто может оказаться не все так просто. Бывает что когда CureIt найдет их, удалить не сможет из под системы, даже в защищенном режиме Вирусы тоже умные пошли, бывают экраном очень красочно моргают чтобы с ними никаких действий не делали

Скрытый текст. Нужно быть зарегистрированным и иметь сообщений: 500

[Юра 80]

Да может, конечно. Я не хакер. Прислали просто метод борьбы с ним. Переслали, вернее.

Добавлено спустя 2 минуты 58 секунд:
Как-то программеры соседские давали загрузочный диск с ДрВеб - т.е. комп с него грузится и чистит. Но где они брали актуальную версию - не знаю.

[Rezaka™]

т.е. комп с него грузится и чистит. Но где они брали актуальную версию - не знаю.

Ну как где, на офф. сайте конечно И даже бесплатно. Dr.Web® LiveCD называется.

[Юра 80]

Rezaka™, умный ты