31 марта выпущены обновленные модули антивируса Dr.Web для Windows от компании "Доктор Веб". Изменения коснулись антивирусного сканера Dr.Web с графическим интерфейсом, резидентного сторожа SpIDer Guard и планировщика заданий.

Выпуск обновленного антируткит-драйвера Dr.Web Shield™, входящего в состав антивирусного сканера, позволяет решить задачу лечения опасного загрузочного вируса, являющегося одновременно руткитом - BackDoor.MaosBoot. Подробнее об этом читайте в специальной новости. (Рекомендую ознакомиться обязательно, это тот случай, когда "format c:" не поможет ! LEM)

Особенно значительные изменения сделаны в резидентном стороже SpIDer Guard, который осуществляет антивирусную защиту системы в реальном времени. Новый SpIDer Guard обеспечивает более устойчивую работу под большой нагрузкой на серверных системах, более надежную защиту рабочих станций при работе в сетях в составе Dr.Web Enterprise Suite. В частности, в новом модуле SpIDer Guard устранены следующие недостатки:

31 марта выпущены обновленные модули антивируса Dr.Web от компании "Доктор Веб" для защиты серверов под управлением Windows NT/2000/2003 - Dr.Web 4.44 для серверов Windows Русский [15.74M] и Dr.Web 4.44 for Windows Server English [14.35M]. Подробнее о составе и работе Dr.Web 4.44 для серверов Windows можно почитать здесь.

Просканировать и при обнаружении вирусов вылечить свой компьютер без установки антивируса Dr.Web Вы можете бесплатно ! В этом Вам поможет бесплатная утилита на основе сканера антивируса Dr.Web CureIT! [9.9M]. CureIt! автоматически определяет язык используемой операционной системы (в случае, если локальный язык не поддерживается, устанавливается английский язык). В настоящее время утилита поддерживает интерфейс на следующих 31 языках: русский, английский, арабский, армянский, белорусский, болгарский, венгерский, голландский, греческий, грузинский, испанский, итальянский, китайский (упрощ.), китайский (трад.), корейский, латышский, литовский, немецкий, персидский (фарси), польский, португальский, словацкий, словенский, турецкий, украинский, финский, французский, чешский, эсперанто, эстонский, японский. Утилита содержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час. Подробнее об этой утилите можно почитать на сайте авторов.

Обновился антивирусный сканер NOD32 (2007-09-13) [9.32M], собранный Edskes на базе антивируса NOD32 от Eset s.r.o. Выложенный вариант работоспособен только на Windows NT/2000/XP/2003, не требует инсталляции и не может обновлять свою антивирусную базу. Однако его можно использовать бесплатно.

Новая версия бесплатной антивирусной утилиты avast! Virus Cleaner Tool 1.0.209 Unicode [393k] от ALWIL Software. Она имеет русский понятный интерфейс, опознает и удаляет 23 наиболее распространенных сейчас вируса, причем в общей сложности определяет 336 их модификаций.

Обновилась без изменения номера версии небольшая бесплатная утилитка от Network Associates для обнаружения и удаления специфичных вирусов - McAfee AVERT Stinger 2.6.0 [1.14M]. Это не полная защита - Stinger распознает всего 55 наиболее распространенных вируса и трояна, но даже это может помочь вылечить компьютер.

Новая версия маленькой полезной утилитки для удаления файлов, которые Windows удалить не может - Delete Doctor 2.1 [152k], автор которой Kevin Solway. Обычно не получается удалить файлы или с некорректными именами, или используемые в данный момент системой. Системные файлы конечно же удалять не стоит, но точно так же могут противиться удалению файлы, являющиеся работающими вирусами. В этом случае очень может помочь Delete Doctor.

Новая, версия утилиты для борьбы с интернет-червями CLRAV v11.0.0.2 от Kaspersky Lab [307k], программу можно запустить прямо из интернета. CLRAV обнаруживает и блокирует вирусы I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam, I-Worm.Goner, I-Worm.Klez.a, e, f, g, h, Win32.Elkern.c, I-Worm.Lentin.a-p, I-Worm.Tanatos.a (Bugbear), I-Worm.Tanatos.b (Bugbear.b), Worm.Win32.Opasoft.a-p (Opaserv), I-Worm.Avron.a-e (Avril), I-Worm.LovGate.a-l, I-Worm.Fizzer, I-Worm.Magold.a-e, Worm.Win32.Lovesan, Worm.Win32.Welchia, I-Worm.Sobig.f, I-Worm.Dumaru.a-m, Trojan.Win32.SilentLog.a-b, Backdoor.Small.d, I-Worm.Swen, Backdoor.Afcore.l-ad, I-Worm.Sober.a,c, I-Worm.Mydoom.a, I-Worm.Mydoom.b, I-Worm.Torvil.d, I-Worm.NetSky.b (Moodown), I-Worm.Mydoom.e, I-Worm.NetSky.c, TrojanDownloader.Win32.Agent.a-j, I-Worm.NetSky.d, I-Worm.Bagle.a-j,n-r,z, Worm.Win32.Sasser.a-d,f, Backdoor.Agent.ac и Trojan.Win32.StartPage.fw. Плюс CLRAV v11.0.0.2 с документацией от разработчика в архиве [144k].

Небольшая утилитка MSBlast Remover 1.1 [407k] от Webroot Software для удаления довольно распространенного вируса-червя Worm.Win32.Lovesan.a (или иначе w32.Blaster.Worm). Этот вирус заражает только Windows NT/2000/XP/2003, используя уязвимость в службе DCOM RPC. Червь удаляется очень просто, отследить его наличие в системе можно по существованию процесса msblast.exe. Само тело вируса обычно можно найти в системном каталоге Windows (system32). Более подробно об удалении этого вируса я писал здесь (как это сделал бы я сам в FARе) и здесь (подробные простые инструкции).

После ареста 18-летнего автора (известного как "Sven J") нескольких модификаций вируса Sasser, появилась новая модификация червя Sasser.F. Немало людей до сих пор не представляют, как с ним бороться, и как защитить себя от нового заражения. Для лечения могу посоветовать новую версию утилиты от Microsoft - Sasser (A-F) Worm Removal Tool 4.0 [116k], а чтобы избежать повторного заражения в дальнейшем - советую установить заплату для системы. Выбирайте, какая подойдет Вам: Windows 2000 (English) FIX [7.16M]; Windows 2000 (Русский) FIX [6.84M]; Windows XP (English) FIX [2.71M] или Windows XP (Русский) FIX [2.71M].

Давно не обновлял информацию про последнее кумулятивное обновление Антивируса Касперского (AVP/KAV) (12.08.2005) [6.12M] - в этом архиве содержится полный актуальный набор антивирусных баз для Антивируса Касперского. Этот файл необходимо качать, если обновление антивирусных баз не производилось более двух недель.

    Обновления за предыдущую и текущую недели (weekly-обновление) (12.08.2005) [1.36M] - в этом архиве находятся все изменения и обновления баз, выпущенные за предыдущую и текущую недели (полный предыдущий daily.zip и все обновления текущего daily.zip). Этот файл должны качать те, кто производит обновление антивирусных баз реже чем раз в неделю, но чаще чем раз в две недели. Под "началом текущей недели" понимается момент выхода последнего weekly-обновления. В настоящее время новый weekly.zip выпускается в пятницу, между 18:00 и 19:00 по московскому времени.

    Отдельно выкладываются обновления за текущую неделю (17.08.2005) [976k] - в этом архиве находятся все изменения и обновления баз, выпущенные за текущую неделю (с прошлой пятницы, с момента выпуска нового weekly.zip). Этот файл должны качать те, кто производит обновление антивирусных баз не реже одного раза в неделю.

Игорь Данилов зарегистрировал ООО "Доктор Веб", директором которого стал бывший коммерческий директор "ДиалогНауки" Борис Шаров. Одновременно компания "ДиалогНаука" перешла в разряд обычных дистрибуторов решения. Теперь распространение антивируса DrWeb будет более централизованно. Надеюсь что остальное не изменится.

Сегодня расскажу, как можно избавиться от вируса Worm.Win32.Lovesan.a, он же MSBlaster при помощи файлового менеджера FAR. По описанию вирус безобиден, однако его действия ощущаются сразу, особенно на Windows XP. Итак, как от него избавиться ? Последний раз я столкнулся с ним на Windows 2000, где он жил уже недели две. Удалял я его так - запустил файловый менеджер FAR (желательно версии 1.7 бета или альфа, но вообще необходим плагин Process List - он есть и в версии 1.65), по Alt-F2 вызвал Process list. В списке работающих процессов нашел MSBLAST.EXE, который просто прибил по F8. Попутно прибил все процессы, которые на мой взгляд не имеют права на жизнь - ~GL_3F77.EXE, XWXLOAD.EXE и им подобные. Такие действия конечно же требуют опыта и определенных знаний, но Вы можете рискнуть. По F3 можно посмотреть подробнее о каждом процессе - что это за процесс, откуда он запустился, версия файла и многое другое. Обязательно запомните, откуда запускались подозрительные процессы и их имена (можно даже записать). После того, как сами процессы удалены из памяти и больше неактивны - их можно удалить физически. По запомненной информации находим сами файлы, и удаляем или перемещаем в другое место (будьте внимательны ! Файлы могут оказаться и системными, я обычно смотрю на время их создания и сравниваю его с другими системными файлами. Если файлы имеют время создания самое позднее в отличие от других - это им в минус...). После удаления тел вирусов система считается чистой, однако не забываем о реестре - в нем прописывается, что именно загружать при старте системы. Если вирусов больше нет физически - они уже не запустятся. Но записи об их запуске в реестре остаются - их желательно удалить тоже. Для этого можно использовать хорошую программу System Mechanic 4, но можно это сделать и бесплатной маленькой программкой Starter v5.6.1.38 [470k]. Все, вируса в системе уже нет. Для уверенности можно проверить лечение с помощью бесплатной утилиты CLRAV от Kaspersky Lab (кстати, ею же можно проводить и само лечение). И последнее - для того, чтобы окончательно избежать повторного заражения, необходимо установить заплату от Microsoft. Вот заплаты для Windows 2000 - русской или английской (требуют как минимум установленного SP2); для Windows XP - русской или английской; для Windows Server 2003 - русской или английской. Если понадобятся для других систем или языков - я дам ссылки, спрашивайте по почте. Для систем Windows 95/98/Me заплаты не нужны - они не имеют такой дыры с RPC, как у NT-систем.
    P.S. Смотрите также другой способ удаления вируса MSBlaster.

Я уже писал о том, как избавиться от вируса Worm.Win32.Lovesan.a (MSBlaster) при помощи файлового менеджера FAR. Вчера меня попросили оживить компьютер, на котором, как оказалось впоследствии, похозяйничал вирус I-Worm.NetSky (не посмотрел вариант версии - размер почти 30 килобайт), причем прожил он на той машине около месяца. Причем антивирус DrWeb там был, но только старая необновлявшаяся версия, а обновлять РЕКОМЕНДУЮ каждый день ! В общем это был очень сложный случай - система на том компьютере уже отказывалась загружаться даже в безопасном режиме из-за отсутствия некоторых системных файлов (после многих зависаний и перезагрузок они были утеряны системой). Возможно было загрузиться только в чистом DOSе, причем дистрибутива системы под рукой не оказалось. Зато нашелся Volkov Commander. :) Пока разыскивался дистрибутив системы, я устроил охоту на тела вирусов. Их оказалось немало... в общей сложности около 3300 штук... но опасность представляли только около 50 экземпляров, еще примерно 250 были опасно расположены - при любопытстве пользователя вирус вполне мог активизироваться снова. Остальные тела вирусов были вне системы, в игрушках. Увы, каким образом я их определял - поделиться не могу, тут просто сказывалось мое чутье на вирусы (по названию, по дате создания и по размеру) и уточнения по внутреннему коду файлов (по F3), удалял же я их как обычно по F8 (Delete в VC, FAR). Попутно были убиты два варианта адварных модуля GAIN TRICKLER, как в том случае с FAR, который я до этого описывал. В ходе охоты были найдены копии необходимых для загрузки системы файлов, после чего система уже смогла загрузиться. Удачность загрузки и отсутствие в памяти вирусов подтвердили в очередной раз, что со многими вирусами (даже такими, как плодовитый NetSky) можно успешно бороться и без антивирусов, однако конечно же это требует определенных навыков и знаний (навыки и знания мною накапливались еще с 1989 года, а самым первым серьезным испытанием для меня был вирус DIR-II в 1991 году). После успешной чистой загрузки системы я как обычно передал оставшуюся работу по зачистке разбросанных случайно тел вирусов самому лучшему на мой взгляд антивирусу DrWeb, с чем он как обычно справился отлично. Вот такая история про вирус NetSky. Надеюсь, что хоть кому-то это очередное мое описание борьбы с вирусом голыми руками хоть чем-то пригодится, а остальные не просто потратили свое время, читая его...

Очередной случай в минус антивирусу Касперского - попался мне компьютер с WinXP и антивирусом Касперского 4-й версии, с обновленной базой. По жалобам пользователя в системе явно присутствовал троян, это я мог сказать однозначно. Скажу, что антивирус Касперского по словам пользователя перед этим все же отловил аж 12 вирусов ! Дикая ситуация, но вполне допустимая. Впрочем это могло быть просто 12 тел вирусов, не скажу точно. Просто покопавшись по системе в FARе (процессы, файлы...), я выцепил 2 явных вируса, прибил их процессы и перенес сами тела для последующего анализа. Уже с чистой на мой взгляд системой я отключил KAV и установил DrWeb. Сканирование им подтвердило мой анализ системы, определив в непонравившихся мне файлах трояны Trojan.DownLoader.27264 (файл TEEN.EXE) и Trojan.Tofger.6656 (файл STCHOST.EXE). Последний как-то забавно объявлял себя в реестре, но я к сожалению не запомнил. Кроме этого DrWeb нашел интересный троян Trojan.Click (файл C:\PROGRA~1\DIRECT~1\DDSCR.EXE - это его короткое имя, размер - 15360 байт). То, что последний - троян, а не ложное срабатывание DrWeb, я уверен (проанализировал код файла). Итак, Вы все еще используете антивирус Касперского ?

Сегодня я научу, как удалять вирус MSBlaster культурными средствами без наличия антивируса. Для этого нам понадобится небольшая утилитка Starter от CodeStuff. Я уже писал, как можно избавиться от этого вируса при помощи файлового менеджера FAR, но на этот раз я опишу более простой способ (хотя для меня в FARе все это делать удобнее). Судя по тому, что с этим вирусом на Windows 2000 и XP сталкивались многие, бывающие в интернете, думаю моя информация будет полезна для всех.
    Для начала отключаем компьютер от сети, это ВАЖНО (вирус может повторно пролезть в момент лечения). Потом, запускаем Starter. Если Вы еще не знакомы с этой замечательной утилиткой, или Вам непонятен ее английский интерфейс, заходим в "Configuration" - "Options" и выбираем "Language" - "Russian" - "OK". Вкладка "Автозагрузка" - это то, что загружается при старте системы. "Процессы" - то, что работает в памяти в текущий момент. Переключаемся на список процессов, и ищем в нем MSBLAST.EXE. Если его в этом списке нет, то у Вас НЕТ вируса MSBlaster, и остальное Вы можете прочитать просто для информации. Если же Вы нашли такой процесс, то приготовьтесь к удалению вируса. Не паникуйте, MSBlaster - это не самое страшное, что могло приключиться, и Вы сами сможете его удалить без помощи специалистов. Выберите процесс MSBLAST.EXE и нажмите кнопку "Свойства" вверху. Обратите внимание на строку "Дата+Время" - это момент попадания вируса на Ваш компьютер. Дальше смотрим строку "Имя" - в ней нам важен путь, где физически находится тело вируса. Запишите путь и дату проникновения, они нам пригодятся. Закрывайте информационное окно и нажимайте кнопку "Завершить" вверху - сначала надо убить процесс вируса в памяти. В ответ на запрос нажмите "OK". Теперь переключайтесь на вкладку "Автозагрузка" и ищите строку с MSBLAST.EXE. Найдя ее, снова нажимайте кнопку "Удалить" вверху, после чего подтвердите удаление - этим действием Вы исключаете активизацию вируса после перезагрузки. Теперь нужно удалить физическое тело отключенного вируса. Для этого находим через проводник файл MSBLAST.EXE по записанному перед этим пути и удаляем его. Перед выбором удаления нажмите и удерживайте нажатой клавишу "Shift", чтобы удалить файл не в корзину, а совсем, без возможности случайного восстановления потом. На этом обезвреживание не заканчивается - обычно одновременно с MSBLAST.EXE активно несколько спутников-компаньонов, которые тоже необходимо удалить. Возвращаемся в Starter и переключаемся на вкладку "Процессы". Перед Вами список примерно 25 или более работающих процессов, где вероятнее всего затаилась парочка компаньонов вируса... Начнем охоту ? ;)
    Будьте внимательны - то, что Вы будете делать дальше, делайте ОЧЕНЬ осторожно и не торопясь. Если Вы не уверены в чем-то - не стесняйтесь спросить специалиста. Вполне возможно, что Вы и не найдете больше ничего подозрительного, но обычно пара спутников мне всегда попадалась (в последний раз это были MSLAUGH.EXE и ENBIEI.EXE). Итак, начнем. Если Вы разбираетесь в том, что видите - просто ищите подозрительные процессы. Если же Вам совершенно ничего не понятно, то можно проверять все процессы по очереди. Допустим, Вам не понравился процесс MSLAUGH.EXE - выбирайте его и нажимайте кнопку "Свойства" вверху. Здесь Вам понадобится записанная ранее дата проникновения MSBLAST.EXE на компьютер - обычно дата компаньонов не сильно отличается от нее (разброс может быть как совсем небольшой - всего несколько часов, так и несколько дней). Если дата просматриваемого Вами процесса близка к дате MSBLAST.EXE, то скорее всего Вы нашли компаньона вируса. Если же дата различается заметно - пропускайте процесс. Также проверяйте путь запуска процесса в его имени и сверяйте его с путем MSBLAST.EXE, записанным ранее - эти пути с самой большой долей вероятности должны быть одинаковы (системная папка SYSTEM32). Обязательно обращайте внимание на названия процессов, их иконки, а также детальную информацию о процессах, показываемую Стартером. Если Вы не нашли ничего подозрительного - что ж... такое вполне вероятно. Если же все же нашли, а я почти уверен в этом, то повторяйте все действия, проделанные для процесса MSBLAST.EXE - сначала удаление процесса, потом удаление его из автозагрузки, затем физическое удаление тела компаньона. Впрочем, если Вы не настолько уверены в том, что делаете именно то, что нужно - не удаляйте файлы физически, и не удаляйте записи из автозагрузки. В ней эти записи можно просто отключать - для этого снимайте галочку в окошке слева от такого элемента (поставив галочку можно включить элемент обратно). Учтите, что удалив что-то не то, Вы вполне можете нарушить целостность системы, и она в следующий раз просто не загрузится. Так что будьте ПРЕДЕЛЬНО внимательны.
    После того, как Вы закончили чистку - попробуйте перезагрузиться и проверить свою работу, снова запустив Starter. Если в списке нет ничего подозрительного, то похоже лечение закончено. Компьютер можно снова подключить к сети, если Вы его отключили в самом начале, как я рекомендовал. Однако не забывайте, что вирус может проникнуть к Вам снова через интернет или по сети. А для того, чтобы окончательно избежать повторного заражения, необходимо установить заплату от Microsoft. Вот заплаты для Windows 2000 - русской или английской (требуют как минимум установленного SP2); для Windows XP - русской или английской; для Windows Server 2003 - русской или английской. Если понадобятся для других систем или языков - я дам ссылки, спрашивайте по почте. Для систем Windows 95/98/Me заплаты не нужны - они не имеют такой дыры с RPC, как у NT-систем.