вирус AdGuard! Как лечить?

Discussion in 'Чилаут' started by Velisu, Mar 27, 2015.

  1. Velisu

    Velisu New Member

    Joined:
    Mar 27, 2015
    Messages:
    1
    Данная тема достаточно сильно распространена в интернете, и я думаю что она очень сильно портит имидж компании особенно считая что к сожалению порывшись на форуме я так и не нашел разъяснений, почитал о том что Антивирусы ложно заносили вас в список недоброжелательных но вот о том что очень много статей о вирусе адгуар в сети не слова.

    Пример:
    adGuard - фриварная баннерорезка , активно рекламируемая в Сети.
    Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже
    самых маститых рукитов . Большинством антивирей не определяется (за редким
    исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно
    "договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.

    Что творит adGuard.

    Изначально, в 10-15 протоколах TCP/IP подменяет штатную библиотеку mswsock.dll
    на собственную adguarg.dll , начиная фактически провайдерствовать в Системе
    параллельно "мелкомягким". Внешне это малозаметно : может немного подрастает
    исходящий сетевой траф., чуток подтормаживает Инет , но выглядит всё благопристойно.
    Самое интересное начинается при попытке деинсталяции : прога совершает последний массированный скачок в Сеть ,сливая хозяевам последнее недослитое (мой Outpost от
    подобной наглости аж зашёлся) ,и благополучно (для себя) покидает комп , оставляя
    испорченные протоколы TCP/IP и своего уже призрачного резидента в автозагрузе .
    В итоге - полностью клинит Сеть и блокируется выход в Инет.

    Как с этим бороться.

    Рекомендую ещё ДО ДЕИНСТАЛЯЦИИ adGuard скачать программульку winsockxpfix.exe -
    способную восстановить сетевые протоколы (они входят в ядро ОС-и и без сноса Системы поправить их можно , но непросто ). Я обошёлся без неё (неохота было вновь
    колдовать с настройками), но на всяк случай иметь полезно .В 9 из 10 случаев способна
    реанимировать Сеть. Можно сбросить настройки TCP/IP вручную через NetShell (через командную строку "netsh int ip reset resetlog.txt").Всё это может сработать , но без гарантий...
    Я пошёл другим путём , в общем стандартным для борьбы с последствиями от подобных
    вирусов:
    1. Лезем в реестр , находим 3 ветки :
    HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
    HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
    HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

    Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.
    до 000...25.
    В каждом из этих разделов есть параметр PackedCatalogItem
    Вот он то нас и интересует. Открываем.
    Появляется окно "Редактирования двоичного параметра"
    В самом начале содержимого должна быть примерно такая строка
    %SystemRoot%\system32\mswsock.dll
    Это путь к необходимой для данного поставщика услуг библиотеке
    Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим вместо mswsock.dll - adguard.dll .Но троян попортил не все разделы.
    Копируем содержимое уцелевшего раздела в испорченный (в каждый испорченный ,
    в каждой из трёх веток).Удобно пользовать что-то вроде Registrar , но вполне можно
    обойтись и штатным редактором реестра.Посчитайте сколько порченых разделов поправили - потом пригодится.

    2.Лезем в автозагруз (удобно через Autorans - но кому как) и прибиваем "привидение"
    adguard. Перезагруз.

    Всё - Сеть худо-бедно восстановлена ! Определяемся - насколько "худо".

    3.(Полезно - но необязательно) Запускаем AVZ (антивирь Зайцева).Сканировать систему
    не надо ! Лезем в "Сервис - Менеджер Winsock - Поиск ошибок" .Получаем , что из 25
    протоколов неработоспособно 10-15.Сравниваем с количеством "исправленных" нами в
    реестре - число должно совпасть , иначе возвращаемся к п.1 и перепроверяем ещё раз.
    По сути мы не исправили "вирусопопорченные" протоколы , а лишь заблокировали их ,
    чтоб только загрузить Инет .Сеть реанимирована , но она "хромая".Поэтому идём далее.

    4. Отрубаем себе сеть ! (Выключаем модем) .Запускаем "Ишака" - лучше последнего -IE8
    и тупо ломимся на любой сайт , на тот же "Гугл" .Соединения ,естественно, не происходит
    , жмём на "Диагностику" сетевого соединения .И Винда немного попинговав выдаёт инфу
    об ошибках в Протоколах , предлагая всё исправить , сбросом в Default . Соглашаемся.
    Затем соглашаемся на перезагруз.
    Вуаля- Сеть полноценно реанимирована , НАСТРОЙКИ СОХРАНЕНЫ . Последнее важно
    для сидящих на безлимитке ADSL в "бридже" - иначе им пришлось бы самостоятельно
    настраивать модем (а не только "Сетевое подключение") - а такое не всем под силу.

    И ещё .Манипуляции через "Свойства сетевого соединения - Исправить" , а не через
    браузер неэффективны .Проверено.Так что п.4 - это отнюдь не через "попу".
    И уж если пп.1-4 не помогут (маловероятно , но - вдруг) , тогда пользуйте проги ,
    упомянутые в самом начале.Но вероятна потеря настроек.Кому последнее неважно ,
    так может и лучше сразу через них.
    В конце можно опять запустить AVZ и убедиться :
    "Настройки LSP проверены. Ошибок не обнаружено"
    с одного из форумов
     
  2. vvgNovanet

    vvgNovanet Moderator Moderator

    Joined:
    Nov 9, 2010
    Messages:
    4,605
    Last edited by a moderator: Mar 27, 2015
  3. Petrovic

    Petrovic Alpha Tester

    Joined:
    Dec 21, 2013
    Messages:
    1,883
    [​IMG] [​IMG]
     
  4. evgenievich

    evgenievich Member

    Joined:
    Nov 8, 2014
    Messages:
    97
    Попалась на глаза. Прочитал. )
    Сразу несколько вопросов.
    1.пугающий адрес netchart.ru, стоит редирект на adguard.com. Зачем? Добрать древних пользователе, кто знал вас по тем временам, с сомнительной репутацией? Хм. спорно.
    Рациональней поставить заглушку и забыть "темную сторону". Вам икается до сих пор дела минувшие.
    2. Антивирусы ставят сетевой драйвер, фаеры, вы ставите, некоторые браузеры, вирусы опенвпнклиенты и прочие, прям битва кто главнее. Из системы выкорчевываются с трудом как герои так и злодеи. Есть ли другое решение, для вас.?
    Возможно я поэтому ограничиваюсь расширениеми что нет желание следить кто и что, и решать потом эти проблемы.
     
  5. Petrovic

    Petrovic Alpha Tester

    Joined:
    Dec 21, 2013
    Messages:
    1,883
    [​IMG]
    Я вообще ни че не понял)
    Ну вы как бы сначала почитайте, для чего ставятся в систему дрова, потом порассуждаете:D
    netchart.ru - Хост adguard.com - и?[​IMG]
     
  6. evgenievich

    evgenievich Member

    Joined:
    Nov 8, 2014
    Messages:
    97
    1. ок. Вот у меня установлен антивирус, с своим сетевым драйвером, через который идет фильтрация трафика. Так? Битдефендер с Сомодо и его браузер тоже по отдельности устанавливают сетевые драйвера. и.т.д. При установке OpenVPN также требуется поставить в систему сетдрайвер. Stream-сервисы потокового видео аналогично. Я не очень понимаю, возможно, но как этот зоопарк между собой и вашим например сетдрайвером согласуются. Конфликты? Кто у кого в приоритете. Можно и не отвечать, если вопрос блондинко, но если нет необходимости,крайней, что либо ставить в систему, не ставлю.Тем более пробники.
    2. Давно смотрели выдачу netchart.ru и запрос adguard через поисковик. adguard белый и пушистый что не скажешь про родителя.
    одна из множества выдач:
    Заходим на сайт а нас перебрасывает на adguard.com и ... что думать?
     
    Last edited by a moderator: Mar 27, 2015
  7. avatar

    avatar Administrator Staff Member Administrator

    Joined:
    Oct 26, 2010
    Messages:
    13,135
    А бог знает, там раньше заглушка была "проект закрыт". Поправим.

    Чойта "темная", ничего такого темного:)

    Драйвер ставится динамически при включении фильтрации, он не застрянет в системе.
    Лет 5 назад, когда мы использовали не драйвер, а LSP, действительно были проблемы.