категории | RSS

Не открываются сайты антивирусов drweb.com, kaspersky.ru и esetnod32.ru. Что делать?

Недавно столкнулся с такой проблемой, не открывается ни один антивирусный сайт (например https://drweb.com/ , https://kaspersky.ru/ и https://esetnod32.ru/, причем сайты не имеющие отношения к антивирусам открываются как обычно.Соответственно антивирусные программы не обновляются.
Что делать в этом случае?
Я сразу же полез смотреть файл WINDOWSsystem32driversetchosts, но не обнаружил в нем ничего подозрительного.
Открыл командную строку и попробовал пропинговать сайт антивируса:
ping ftp.drweb.com, в ответ получил что заданный узел обнаружить не удалось.
Потом попробовал узнать ip адрес этого хоста: в командной строке
nslookup ftp.drweb.com и в последней строке получил ip-шник.
Проверил, пингуется-ли этот сайт по IP, получил ответы, а значит можно зайти на сайт по его IP.
Я сразу же зашел скачал CureIT отсюда . Это бесплатный антивирус от DrWeb, но к сожалению он «одноразовый», т.е. он не запускается на компьютере резидентно, не обновляется как обычные антивирусы, его задача один раз проверить систему и удалить найденые вирусы. Т.к. в нем нет функции обновления, его приходится периодически качать заного.
Запустил этот антивирус, и он нашел вирус Win32.HLLW.Shadow.based
(Сетевой червь «Win32.HLLW.Shadow.based является одним из самых опасных сетевых червей. Его отличительной особенностью является то, что он внедряется в операционную систему, используя различные способы, такие как съемные носители и сетевые диски при автозапуске «Windows», Вредноносный файл, который создается антивирусом, носит название RECYCLERS-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx. При этом вирус присваивает имя, которое имеет «Корзина» для удаленных файлов, что способствует его незаметности.
Второй способ распространения данного вируса по сети – это распространение в сети Интернет с применением протокола SMB. Вирус самостоятельно может подбирать различные значения пароля, используя удаленный доступ к компьютеру, и в случае подбора пароля копирует себя в системную папку, а затем, через некоторые интервалы времени дает задание на запуск.
Третий способ распространения данного вируса – это использование уязвимости. При отправлении червя на компьютер, переполняется буфер ПК. Таким образом, компьютер может производить загрузку вируса и по протоколу HTTP.
Сразу после того, как вирус Win32.HLLW.Shadow.based запускает себя, он осуществляет внедрение своего кода в системные процессы svchost.exe, а также explorer.exe. Созданием в проводнике папки, вирус завершает свою миссию. Кроме того, вирус может создать и собственную копию с случайным именем.
После прописывания своей копии в качестве службы «Windows», червь останавливает службу обновления «Windows». Далее вирус стремительно распространяется по всей сети.
Одной из самых больших проблем в удалении и лечении вируса является то, что Win32.HLLW.Shadow.based внедряет свой код в функции DNS на компьютере. Включая компьютер, пользователь замечает, что доступ к многим сайтам на компьютере блокируется.
Одной из главных задач данного вируса – это создание и структурирование бот – сети при помощи, которых данный вирус может устанавливать и запускать различные программы на компьютере пользователя. Многие киберпреступники целенаправленно разрабатывают бот – сети на продажу, что приносит им значительную прибыль.
Для лечения данного вируса необходимо установить патчи в информационных бюллетенях «Microsoft» MS08-067, MS08-068, MS09-001. Обязательно необходимо отсоединиться от сети Интернет. В том случае, если компьютеры находятся в локальной сети, то сначала нужно излечить ВСЕ компьютеры, которые находятся в локальной сети и потом подключать вылеченный компьютер к сети. После этого, необходимо воспользоваться надежной антивирусной программой (один из самых надежных антивирусов – это Kaspersky или NOD).
Для максимальной защиты от вируса Win32.HLLW.Shadow.based необходимо использовать антивирусные программы со встроенными антируткит – модулями, для того, чтобы излечивать максимальное количество фалов и веток реестра.
Чтобы удалить вирус Win32.HLLW.Shadow.based необходимо ОБЯЗАТЕЛЬНО загрузить ОС Windows в безопасном режиме, затем воспользоваться надежным антивирусом с антируткит модулями и применить действие «Лечить». После чего следует восстановить реестр из резервной копии. почтав про этот вирус в интернете я понял что именно он не давал зайти на сайт по доменному имени.)

К счастью, CureIT сообщил что очистил этот вирус и предложил перезагрузиться. После перезагрузки сайты антивирусов начали открываться и резидентный антивирус смог обновиться.
Итог: Качаем одноразовое сканирование по ссылке с затем обновляем свой штатный антивирусник.



Источник новости:

audi555_81
2010-05-04T10:32:56Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 11

Яндекс.Метрика