Пару дней назад я заметил, что после загрузки операционной системы, когда включается компьютер, автоматически начинает загружаться системная утилита cmd.exe (командная строка), а через неё автоматически запускается браузер, который указан «по умолчанию», и самопроизвольное открытие вкладки ведущей на сайт Lyll.net, с последующим редиректом на какой-то убогий недоресурс новостей.
Вирус Lyll.net через загрузку cmd.exe
Самое забавное то, что антивирусы этой гадости не замечают, поскольку запуск вредоносного кода из реестра происходит гораздо раньше, чем запускается ваш антивирус. Например Касперский 2013, со свежими антивирусными базами, никакой опасности в «вирусе» Lyll.net не обнаружил!
Вчера потратив пару часов я решил подобную проблему благодаря сайту virusinfo.info. Сегодня подобную гадость я обнаружил на своём рабочем компьютере, который работает через жёстко настроенный прокси-сервер Zentyal!
Итак, ещё раз симптоматика заражённого компьютера гадостью Lyll.net, которая грузится через cmd.exe: вы включаете комп и видите как появляется чёрное окошко командной строки (cmd.exe), которое запускает ваш браузер. Первой вкладкой окажется сайт ooov.net — именно сюда ведёт редирект с Lyll.net.
ЖУТКИЙ ВИРУС В JPG КАРТИНКЕ. ЭТО КАК? | Как его удалить? Как от этого защититься? | UnderMind
Лечение от Lyll.net
На данный момент антивирусы пропускают мимо себя файлы заражённые этой гадостью. Предлагаю два варианта решения проблемы:
0. Наипростейший (практически мгновенный). Через правку реестра за пару минут по советам пользователей.
Пуск -> Выполнить -> regedit -> Поиск в реестре по включению «lyll». И затем удалить ненужное.
1. Правильный (долгий). Зарегистрироваться на сайте virusinfo.info и выполнить Инструкцию по оформлению запроса о помощи. Затем создать новую тему на форуме с описанием проблемы вот здесь, и приложить логи сканирования согласно инструкции. Затем ждать ответа хелпера и действовать согласно их рекомендациям.
2. Упрощённый (быстрый). Поскольку механизм вируса Lyll.net идентичен на всех компьютерах с ОС Windows (7 и 8 точно!, проверил на своих компах), можно поступить так:
- Скачать Утилиту HiJackThis.
- Скачанный .exe файл (программу) поместить в отдельную папку с любым именем и запустить от имени Администратора.
- Выбрать второй пункт меню « Do a system scan only «
- Откроется окно, в котором появится список важных файлов и записей из реестра.
Вот теперь ищите строку, которая будет выглядеть вот так:
O4 — HKLM..Run: [Adobe Flash Player SU] C:WindowsSystem32cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20130531 (exit) else (start http://lyll.net exit)
Это и есть «заражённая» запись в реестре, через которую файл cmd.exe запускает ублюдский сайт.
Теперь поставьте галочку напротив этой записи, и внизу открытого окна нажмите кнопку «Fix Cheked» и затем «Ок«. Закройте окно и перезагрузите компьютер.
При включении компьютера открывается браузер с рекламой 2021
По идее проблема c Lyll.net решена, но остаётся вероятность того, что в компе остались дыры. Поэтому, если ваш компьютер не имеет автоматического обновления от MicroSoft, если у вас нет антивирусов, то желательно пройти лечение по первому Правильному способу, где помимо лечения, компетентные лица вам выдадут рекомендации по устранению этих самых дыр.
Источник: paulstranger.ru
Как удалить Dinoraptzor.org и что это за вирус
Все чаще PC простых пользователей подвергаются атакам «умных» вирусов, которые настроены на запуск определенной web-страницы. Чаще всего вирус подгружает сайты со спам-рекламой, называя их «страницей спонсоров». В статье мы расскажем, что это за вирус вызывает появление Dinoraptzor.org и как удалить его из браузера навсегда.
Что это за вирусный сайт?
Dinoraptzor.org — это «страница спонсоров», которая, в результате действия специального вируса, загружается в рабочем браузере пользователя. Сама страница наполнена рекламным спамом и всплывающими банерами различного характера. Чаще всего сайт выскакивает при включении компьютера.
Вирус влияет на все востребованные браузеры (Google Chrome, Opera, Mozilla, Яндекс), а механизм его атаки заключается в создании обработчика cmd-команды, который периодически грузит dinoraptzor.org. Такой обработчик может быть прописан в реестре, автозагрузках и планировщике системы.
Как проникает в Windows?
В плане механизма самого заражения все просто — вы загрузили из второсортного файлообменника взломанную игру, торрент или инстал популярной программки. Создатели вирусов специально вшивают в такие программы вирусный код и раскидывают зараженное ПО в Сети.
При запуске зараженного файла вы подтвердили администраторским решением установку (сейчас все программы проходят через «фильтр» администратора). Именно поэтому предустановленные в системе антивирусы не могут блокировать выполнение вирусной установки, а лишь только предупреждают о неких угрозах. После установки в обработчике cmd.exe прописывается команда на выполнение запуска http://www.dinoraptzor.org.
Кстати, в некоторых случаях, возможно перенаправление на страницу metagmae.org, которая наполнена подобным спам-контентом и ссылками.
Как удалить www.dinoraptzor.org?
Столь хитрый подход позволяет очень долго запускать «страницу спонсоров», даже при условии активного антивируса. Все дело в том, что сам вирус может быть удален (заблокирован), а вот созданная им команда опасной для системы не является. К счастью, вы вручную можете вычистить ваш PC. Далее действуйте по-пунктам:
- Первым делом снесите все последние установки. Из загрузочных папок сотрите последние файлы. Вообщем — стирайте все, после чего стал выскакивать сайт.
- Комбинация Win+R запустит среду «Выполнить», там пропишите %temp%. Дальше нужно стереть все в появившейся папке Temp. Там хранятся временные файлы и очень часто сидят вирусные записи.
- После этого советую использовать утилиту Kaspersky Virus Removal Tool. Программка легкая и быстро выполняет сканирование. Достойными аналогами являются MalwareBytes и Dr.Web CureIt!.
- Поищите и отключите «Обработчик команд» (или похожие службы) в автозагрузке Windows. Для запуска меню автозагрузки в «Выполнить» вбейте msconfig. Помимо этого, корректировать автозапуск позволяет утилита CCleaner.
- Откройте Планировщик системы. Для его запуска в среде «Выполнить» произведите команду taskschd.msc. В библиотеке изучайте все указанные процессы. Для просмотра их описания, кликайте по заданию два раза. Именно в описании будет указан сайт www.dinoraptzor.org. Если нашли такой — удаляйте задание. Особое внимание на те задания, которые созданы под запуск компьютера.
После таких несложных манипуляций вирусный файл и созданная им команда будут удалены из системы с большой долей вероятности. Если вдруг способы не окажут реального действия — попробуйте поискать и убрать зловред из реестра Windows. Делается это так:
- Для запуска меню реестра вбиваем в «Выполнить» команду regedit.
- Проходим в ветке по пути: «HKEY CURRENT USER» → «Software» → «Microsoft» → «Windows» → «CurrentVersion» → «Run».
- Изучаем там все прописанные параметры. Обратите внимание на значение — в его описании должен быть указан сайт.
Источник: igrolevel.ru
Запуск игры антивирус определяет как троян
Отправлено 03 Апрель 2021 — 00:50
есть проблема с антивирусом (лицензия, 12я версия).
при запуске игры GTA SA multiplayer, антивирус пишет ошибку
после этого файл помещается в карантин
я писал об этой проблеме на https://vms.drweb.ru/sendvirus/ (тикет #9681295) с пометкой «ложное срабатывание», и получил такой ответ:
» Ваш запрос был проанализирован. Для присланного Вами файла указана категория «Ложное срабатывание», но на данный момент файл сканером Dr.Web не определяется как угроза.
Возможно, ложное срабатывание уже было исправлено специалистами ООО «Доктор Веб», или Вы указали неверную категорию.
Если Вы уверены, что данный файл представляет угрозу, пожалуйста, воспользуйтесь формой отправки повторно и укажите наиболее подходящую категорию запроса.»
но несмотря на это, файл все равно определяется антивирусом, как троян.
я пробовал добавить этот файл и всю папку с игрой в исключения антивируса, но это не помогло
просьба помочь решить эту проблему.
PS: ниже ссылка на этот файл в архиве, пароль virus, также прикрепляю этот файл в это сообщение
#2 
misha2000
Отправлено 03 Апрель 2021 — 00:59
добавлю (сразу не написал):
файл игры не оригинальный от лицензии steam, файлы игры изменяются лаунчером для игры по сети. лаунчер имеет встроенный античит и много других вещей, изменяющих оригинальную игру.
возможно, это и есть причина, по которой антивирус блокирует файл (используется вызов rundll.exe как я понял).
но этот лаунчер используют тысячи людей на сервере и если прогонять его на вирустотале, никаких вирусов большинство антивирусов не определяют.
#3 misha2000
Отправлено 03 Апрель 2021 — 01:17
прочитал, что нельзя публиковать номера тикетов, но уже в первом сообщении я его опубликовал.
надеюсь, не смертельно, модератор сможет этот тикет удалить (заранее спасибо ему за это), сам не нашел как отредактировать предыдущее сообщение.
#4 pig
Отправлено 03 Апрель 2021 — 01:39
Это не тикет техподдержки, это можно публиковать.
Фишка в том, что детект не по содержимому файла, а по поведению. А оно как раз сильно смахивает на троянское:
файлы игры изменяются лаунчером для игры по сети
Вот это превентивная защита и пресекает. Смотрите её настройки.
Почтовый сервер Eserv тоже работает с Dr.Web
#5 VVS
Отправлено 03 Апрель 2021 — 14:33
+ не забудьте удалить все те исключения, которые Вы сделали.
Ну а дальше в превентивную защиту, поведенческий анализ, доступ для приложений. там и настраивайте.
#6 misha2000
Отправлено 03 Апрель 2021 — 15:22
Источник: forum.drweb.com