Oem что это вирус
Привет бро. Сегодня мы поговорим о двух странных файлах — oem-drv86.sys и oem-drv64.sys, я постараюсь узнать максимум информации и написать все простыми словами.
На заметку. Не советую вам использовать советы, которые представлены на мусорных сайтах. Есть профильные форумы, которыми я пользуюсь, и вам советую, например os-zone, форум рубоард, ixbt.
По поводу мусорных сайтов, на которых может например быть какая-то команда… и она в итоге только ухудшит ситуацию, что подтверждает продвинутый юзер руборда:
PS: скрипт я ниже написал.
Важно! В чем вообще суть — что нужно сделать? Нужно удалить этот драйвер. Можно удалить из LiveCD, или при помощи установочной флешки/диска, вызвав командную строку. После вышеперечисленных действий — удалить активатор при помощи скрипта (ниже напишу).
То есть самое главное что нужно сделать — удалить oem-drv64.sys или oem-drv86.sys (зависит уже от разрядности операционки).
Советы на мусорных сайтах применять не стоит — вы можете просто сделать так, что ничего уже не спасет кроме переустановки Windows. Если есть сомнения/вопросы — пишите в комментариях, я постараюсь максимально быстро ответить. Важно — все ссылки что я тут привожу — безопасные и советую их посмотреть.
Начинаем разбираться
Итак, оказывается что oem-drv86.sys и oem-drv64.sys — файлы с расширением sys, а значит это драйвера. Сами по себе драйвера — очень важные файлы, работающие на самом низком уровне, то есть их работу например в диспетчере задач увидеть нельзя. И в отличии от процесса — просто так драйвер не остановить. Цифры 86 и 64 в именах файлов означают разрядность системы.
На форуме OSZone продвинутый чел написал что oem-drv64.sys — это от активатора odin. Скорее всего это относится и к oem-drv86.sys, просто в этом случае активатор для 32-битной винды. Нашел картинку — упоминается SLIC2.1 support for OEM activation.. в общем все понятно — драйвер точно от активатора, без сомнений:
Вообще с драйвером может быть ошибка проверки цифровой подписи. Выбираем — загрузка без подписи, но потом может быть синий экран. Если при этом вход в виндовс удается выполнить — удаляем драйвер через реестр, ниже написал как.
Или такая — поврежден важный файл для загрузки:
Перед тем как писать способы решения — посмотрите видео на Ютубе от Могучего Сисадмина. Многим помогло — может помочь и вам!
Что делать?
Нужно при загрузке нажать F8 и выбрать Отключить принудительную проверку подписи драйверов, после чего все должно загрузится нормас. Далее — удалите службу oem-drv64.sys (или x86), откройте реестр и.. в общем вот вам мини-инструкшин:
Зажимаем Win + R, пишем команду regedit:
Далее вам нужно перейти в эту ветку:
И опять же — в конце 64, если нет такого — меняйте на 86 (в самом крайнем случае попробуйте на 32). Чтобы открыть раздел реестра — используем слева дерево меню, либо просто вбиваем путь:
Путь можно писать не полный, а убрать в конце oem-drv64 — может так проще будет найти нужное. На заметку — Services это получается папка со службами, вернее с разделами служб.
ВНИМАНИЕ. Узнал что удалять лучше ИЗ безопасного режима. Сперва пробуйте именно оттуда.
Нашел еще одно сообщение на том же форуме OSZone — oem-drv64.sys это файл активатора. И сразу внимание — после прекращения работы этого драйвера, ваша виндовс будет не активирована. Советую не использовать всякие взломщики, а подумать о покупке лицензии (не смейтесь).
Новая информация — после удаления oem-drv86.sys/oem-drv64.sys комп может не загружаться
В этой теме чел пишет — был найден вирус oem-drv64.sys (надеюсь понятно почему вирус), был удален, после перезагрузки ПК не загружается, запускается средство восстановления. Как оказалось у человека не было раздела зарезервировано системой. Вывод — главное чтобы этот раздел был, если у вас виндовс работала, а теперь — нет, то в 99% раздел остался. И удаление драйвера oem-drv не должно вызывать проблемы.
Что делать если нельзя вообще запустить Windows
В таком случае вам нужно найти LiveCD, записать его на диск/флешку. Далее в биосе настроить на загрузку с диска/флешки либо выбрать в меню Boot (например в Asus для этого нужно нажимать кнопку F8 при включении).
Потом — в LiveCD запускаем Total Commander, переходим сюда:
Удаляем тут файл oem-drv64.sys (или 32-битный). Потом перезагружаемся.
Мда, но что делать если другого/еще одного компа у вас нет? Хм.. Можно попробовать восстановить при загрузке. Вставляете загрузочный диск/флешку, будто вы устанавливаете винду. Далее — нажимаете восстановить, там будут варианты, пробуете что-то типа восстановление при загрузке/восстановить загрузку. В принципе использовать нужно в крайнем случае, когда ничего уже не помогает. Нет, есть еще самый крайний случай — установка виндовса, но не просто, а именно обновление с сохранением параметров и личных файлов (есть такая функция при установке). По поводу использования установочного диска/флешки нашел отличный комментарий (спасибо Анатолию):
ps — только у вас oem-drv64.sys будет в папке: C:\Windows\System32\Drivers\
ps — выше совет реально может помочь!
Если после удаления будет черный экран — попробуйте зайти с последней успешной конфигурации (точно не помню как называется пункт).
Скрипт удаления
Нашел скрипт, как понимаю — батник, то есть нужно создать файл с расширением bat или cmd, нажать правой кнопкой > Изменить > вставить туда:
DEL "%windir%\system32\drivers\oem-drv64.sys"
DEL "%windir%\system32\xNtKrnl.exe"
DEL "%windir%\system32\xOsLoad.exe"
DEL "%windir%\System32\ru-RU\xOsLoad.exe.mui"
DEL "%windir%\System32\en-US\xOsLoad.exe.mui"
%windir%\System32\BCDEDIT.exe /set
%windir%\System32\BCDEDIT.exe /deletevalue
%windir%\System32\BCDEDIT.exe /deletevalue
%windir%\System32\BCDEDIT.exe /deletevalue
REG DELETE HKLM\SYSTEM\CurrentControlSet\services\oem-drv64 /va /f
shutdown -r -t 0
Запускать нужно от имени администратора! Перед запуском — лучше вырубить все проги, антивирусы, браузеры и все остальное. Что делает скрипт — удаляет активатор ODIN. Как именно — вижу что сперва удаляются файлы из папки System32, далее — выполняются необходимые команды BCDEDIT (редактор данных загрузки). В конце — удаляется ключ из реестра. Внимание — как вижу удаление заточено под 64-битную. Если 32-битная — в коде выше строго замените drv64 на drv86.
Внимание — нашел более простой скрипт, внушает меньше доверия, однако стоит глянуть.
Также дополнительно по поводу скрипта посмотрите это сообщение (форум рубоард).
Если нужно исправить загрузчик UEFI, то это описано здесь (предупреждаю — там все на энглише).
На этом все. Держитесь. Удачи.
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
В последнее время, многие пользователи Windows 7 или 10 обнаружили у себя проблему с драйверами oem-drv64.sys (для разрядности x64) и oem-drv86.sys (для x32). В статье мы подробно расскажем, что это за драйвер OEM и почему выдаются предупреждения, что он поврежден.
Что это за файл?
OEM-drv64.sys — это драйвер системного файла, отвечающего за наличие и проверку активации в Windows при запуске. Файл находится в архивированном виде и является компонентом ACPI Patch Driver.
При работе операционки, с данными драйверами может произойти несколько основных проблем: антивирусы (Kaspersky, Dr.Web, Malwarebytes) могут посчитать данные файлы вирусами и заблокировать или отправить в карантин. Помимо этого, часто появляются ошибки 0xc0000428 или 0xc0000221 при запуске Windows — при этом выдается сообщение, что файл поврежден, либо его цифровая подпись отсутствует.
Причина ошибок с файлами OEM-drv64.sys и OEM-drv86.sys
Причина появления указанных выше сбоев банальна — борьба Microsoft с пиратством и вирусным ПО. Дело в том, что многие пользователи семерок или десяток прибегают к помощи активаторов, которые заменяют некоторые файлы и эмулируют SLIC маркер. Естественно, если у вас был использован активатор второго сорта, то никто там не заботился о наличии цифровой подписи.
HitmanPro занес файл oem-drv86.sys при проверке в список подозрительных
Поэтому при плановом обновлении Windows, или при запуске сканирования антивирусом может выскочить ошибки, связанные с драйвером OEM. К примеру, стоял ваш активатор и спокойно работал на семерке — пришло время и вышел кумулятивный KB-апдейт, который содержит улучшенный алгоритм проверки цифровых подписей. Вот тут вы и получаете ошибку.
Как исправить ошибки с файлами OEM?
Для начала нужно разбить проблему на несколько уровней сложности: антивирус сигнализирует об OEM-вирусе и система не запускается из-за того, что OEM поврежден и выдает ошибки вида 0xc0000428 или 0xc0000221.
- По сути, OEM-drivers не является вирусом. Просто условный Kaspersky содержит пункт проверки ЦП. Если он его не находит — файл блокируется отправкой в карантин. Как правило, прямого удаления нет.
- Располагается драйвер по следующему пути: C:\Windows\System32\drivers. Если в вашем случае файлик находится в иной папке — имеем дело с вирусной подменой и требуется удаление.
- Если у вас OS лицензионная, то смело удаляйте этот драйвер, если стоит активатор — то лучше добавить файл в исключения. Надеюсь вы знаете как это делается в программах от Касперского или Доктора Веб. Если он уже занесен в карантин — необходимо его восстановить.
- Если вы, по предложению антивиря, просто снесете из системной папки файлик OEM-drv64.sys, то ваша активация может слететь, а компьютер перестанет загружаться, либо перейдет в BSoD.
Если у вас эти кривые драйвера без ЦП были обнаружены и успешно заблокированы системой — то вы получаете сбой загрузки и ошибки типа 0xc0000428. В таком случае вам понадобится стереть битый файл из OS. Сделать это можно несколькими способами.
Запускаемся — жмем F8 — должны появиться варианты запуска — кликаем на безопасную загрузку без проверки подписей. Система должна запуститься, а вы войти в папку System32\drivers и стереть проблемный OEM-drv.sys.
Ошибка 0xc0000221 при запуске файла oem-drv86.sys
Если нет никаких признаков жизни, а только уведомление в начале запуска, что не удалось проверить ЦП файла, делаем следующее:
- Придется создать загрузчик Live-CD или Live-USB. Это такой инструмент восстановления ОС и в нем всегда присутствует проводник.
- Ищем надежный источник и загружаем LiveCD (USB) — записываем его ISO-образ через Rufus или Ultra-ISO.
- В Биосе выставляем приоритет запуска с диска (флешки), через вкладку Boot Priority.
- Если все запустится удачно — ищем в меню проводник и через него стираем драйвер.
LiveCD с загрузчиком Antiwinblock — проводник Total Commaner
Если есть второй компьютер рядом — можно просто подключить туда жесткий диск с проблемной ОС и удалить драйвер так.
В любом случае, после ручного удаления — вам нужно будет обновить активацию OS. Для этого используйте свежие активаторы и побольше почитайте о них на форумах.
Помимо основных проблем с поврежденным OEM-drv64.sys, может возникнуть сбой при установке самой системы. В таком случае, вам нужно сменить сборку. Скорее всего, вы используете образ с битой сборкой. Я рекомендую брать их с проверенных ресурсов — свои беру с all-best.pro.
Заключение
Теперь вы знаете, что такое файл OEM-drv(86/64).sys и как решить проблемы, связанные с ним и быстро восстановить OS. Если вдруг, ваш антивирус начал ругаться и подозревать драйвер, добавьте его в исключения. Я бы рекомендовал изменить активатор, либо применить более свежую его версию. Остались вопросы — пишем в комментарии.
Что такое oem.exe?
oem.exe это исполняемый файл, который является частью Adobe Photoshop Elements 13 Программа, разработанная Adobe Systems Incorporated, Программное обеспечение обычно о 3.53 MB по размеру.
Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли oem.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.
Oem.exe безопасный, или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как oem.exe, должен запускаться из C: \ Program Files \ Adobe \ Adobe DNG Converter.exe, а не где-либо еще.
Самые важные факты о oem.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, вы должны определить, заслуживает ли он доверия, перед удалением oem.exe. Для этого найдите этот процесс в диспетчере задач.
Найдите его местоположение (оно должно быть в C: \ Program Files \ Adobe \ PSE 13) и сравните размер и т. Д. С приведенными выше фактами.
Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус oem.exe, вам необходимо Загрузите и установите приложение полной безопасности, например Malwarebytes., Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.
Кроме того, функциональность вируса может сама влиять на удаление oem.exe. В этом случае вы должны включить Безопасный режим с поддержкой сети - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.
Могу ли я удалить или удалить oem.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Согласно различным источникам онлайн, 5% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицирован как вредоносный, эти приложения также удалят oem.exe и избавятся от связанных вредоносных программ.
- 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите панель, а затем под программы:
o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
o Windows XP: нажмите Добавить или удалить программы.
- 2. Когда вы найдете программу Adobe Photoshop Elements 13щелкните по нему, а затем:
o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
- 3. Следуйте инструкциям по удалению Adobe Photoshop Elements 13.
Распространенные сообщения об ошибках в oem.exe
Наиболее распространенные ошибки oem.exe, которые могут возникнуть:
Эти сообщения об ошибках .exe могут появляться во время установки программы, во время выполнения связанной с ней программы Adobe Photoshop Elements 13, при запуске или завершении работы Windows, или даже при установке операционной системы Windows. Отслеживание момента появления ошибки oem.exe является важной информацией, когда дело доходит до устранения неполадок.
Как исправить oem.exe
Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с Adobe Photoshop Elements 13. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс oem.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Обновлено апреля 2020 года:
Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:
(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика Kонфиденциальности | Удалить)
Загрузите или переустановите oem.exe
это не рекомендуется загружать заменяемые exe-файлы с любых сайтов загрузки, так как они могут содержать вирусы и т. д. Если вам нужно скачать или переустановить oem.exe, мы рекомендуем переустановить основное приложение, связанное с ним. Adobe Photoshop Elements 13.
Информация об операционной системе
Ошибки oem.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:
- Окна 10
- Окна 8.1
- Окна 7
- Windows Vista
- Windows XP
- Windows ME
- Окна 2000
Просматривая предложения о компьютерах и программном обеспечении, можно заметить, что некоторые продукты имеют знак OEM.
OEM-продукт – что это значит?
OEM расшифровывается как – “Производитель оригинального оборудования”. На практике это означает, что одна компания производит продукты, такие как программное или аппаратное обеспечение, которые могут быть проданы другой компанией. Во многих случаях OEM-производители не предоставляют технической поддержки или дополнительного оборудования. Единственное, что остается – это логотип производителя. OEM-программа, предварительно установленная на компьютере или ноутбуке на заводе-изготовителе, предназначена только для этого устройства. Вы не можете продавать, копировать или передавать его другим компьютерам.
Одним из самых популярных OEM-решений является операционная система Windows, разработанная компанией Microsoft. Компания продает программное обеспечение по привлекательной цене другим контрагентам, занимающимся производством компьютерного оборудования. Однако, компания Microsoft не предоставляет техническую поддержку, так как она должна предоставляться производителем конечного продукта. То же самое и с материнскими платами. Такие устройства, хотя и имеют логотип компании, которая их изготовила, но отличаются от вариантов, продаваемых пользователям в коробке-предложении. В этом случае драйверы, техническую поддержку или обновления следует запрашивать у производителя всего компьютерного комплекта. Наиболее популярными компаниями, предлагающими комплексные компьютеры под собственными торговыми марками, являются HP и Dell.
При покупке OEM-версии продукта, т.е. готового компьютера с операционной системой, необходимо знать, что в случае сбоя вы подчиняетесь не производителю, а компании, “изготовившей” компьютер. Поэтому если вы купили ПК у HP, несмотря на то, что вы знаете производителей отдельных элементов, вы предоставляете продукт по гарантии продавцу конечного устройства. Это связано с тем, что гарантию берет на себя OEM-производитель, а не родительская марка.
О чем стоит помнить?
Если вы покупаете OEM-компьютер, то есть готовый комплект и хотите заменить некоторые элементы для большей эффективности, то должны помнить, что в таком случае вы потеряете лицензию. Короче говоря, замена материнской платы, процессора или жесткого диска связана с проблемой законности программного обеспечения. Также невозможно продать само программное обеспечение, потому что OEM-производитель связывает конкретный компьютер с программным обеспечением, например, операционной системой Microsoft Windows, или (иногда) офисным пакетом. Поэтому, если вы хотите обновить свой компьютер, то вам нужно выбрать другую модель, чтобы не потерять лицензию операционной системы.
Возможно, аппаратное и программное обеспечение OEM немного пугает потенциальных пользователей, но вы не должны ничего бояться. Другое дело – удобство. Если вы покупаете OEM-компьютер, то можете быть уверены, что он был собран правильно, в соответствии с определенными технологиями, протестирован и настроен на работу так, что им практически сразу можно пользоваться после извлечения из пакета.
OEM – плюсы и минусы
Наибольшим недостатком OEM-решений являются лицензионные ограничения. Например, когда вы покупаете Windows OEM-производителя, вы можете использовать его только на одном компьютере. Поэтому невозможно перенести эту лицензию на другие устройства. Так что если вы покупаете новый ПК, вам также придется купить другую операционную систему. Более того, если вы замените материнскую плату, Windows распознает, что вы приобрели новый компьютер и вы можете потерять лицензию. Но если, например, материнская плата была повреждена и служба заменит ее на другую модель, то можно продлить лицензию.
Если вы хотите продать OEM версию продукта (например, систему), то должны подразумевать к продаже весь компьютер. Эта операция (т.е. продажа самого программного обеспечения) возможна только в случае BOX-версий. Стоит также отметить, что версия коробки позволяет установить ее на другой компьютер. Преимуществом OEM-решения является, конечно же, гораздо более низкая цена, по сравнению с версией BOX. Это потому, что компания, которая производит компьютер, делает оптовый заказ у производителя и может получить гораздо лучшую цену.
На видео: ОЕМ или БОКС? В ЧЕМ РАЗНИЦА?
Что делать, если антивирус обнаружил not-a-virus: какие они бывают и с чем их едят.
21 августа 2017
Иногда Kaspersky Internet Security вдруг выводит желтое окошко и пишет, что на вашем компьютере обнаружен not-a-virus. Немудрено смутиться: если это не-вирус, то зачем антивирусная программа мне об этом сообщает?
В Kaspersky Internet Security словом Not-a-virus называются по большому счету два типа программ — adware и riskware. Оба эти типа не зловредны сами по себе, поэтому вирусами их не назовешь. Однако пользователю неплохо бы знать об их существовании, поскольку эти программы могут делать что-то, что ему может не понравиться.
Что такое Adware
Adware — это рекламные приложения. Они могут показывать вам рекламу, менять поисковую выдачу, подсовывая одни сайты взамен других, собирать о вас данные, чтобы в дальнейшем подстраивать контекстную рекламу под ваши интересы, или делать все это сразу.
Вроде бы ничего зловредного, но и ничего приятного тоже. Особенно весело становится тогда, когда подобных программ на компьютер пробирается десяток-другой и они начинают конкурировать друг с другом за ресурсы.
Если же рекламная программа никак не уведомляет пользователя о том, что она пытается установиться на компьютер, то Kaspersky Internet Security считает такую программу зловредным трояном. Тогда сообщение будет уже не в желтой, а в красной рамочке, и работа такой программы будет немедленно заблокирована. Кстати, тут можно подробнее почитать о том, что означают цвета окошек уведомлений в наших продуктах.
Riskware — немного другое дело. В этот тип попадают разнообразные программы, которые изначально созданы для чего-то полезного и могут использоваться на компьютере по назначению. Но зачастую их устанавливают — без ведома пользователя, разумеется — злоумышленники в недобрых целях. Полный список типов программ, которые мы относим к riskware, можно посмотреть тут.
Например, к riskware относятся программы для удаленного управления компьютером (Remote Admin). Если вы сами установили такую программу и знаете, что делаете, то никакого вреда она не принесет. Однако плохие парни нередко используют программы такого рода как часть зловредного комплекса, — и в этом случае пользователю полезно знать о том, что на его компьютере неожиданно завелось что-то подобное.
Другой пример — утилиты для загрузки файлов. Многие из них действительно повышают удобство загрузки файлы. Но некоторые работают на грани фола, вместе с полезным файлом норовя загрузить еще пачку других программ, показав предупреждение о том, что загружен будет не только искомый файл, например, серым шрифтом на сером фоне.
Из прочих распространенных видов riskware стоит упомянуть тулбары, которые, кстати, также могут относиться и к adware — в зависимости от функциональности и степени навязчивости. Бывают и другие расширения для браузера, которые также могут относиться к riskware.
Еще в категорию riskware попадают майнеры — программы для добычи биткоинов. Разумеется, если вы сами сознательно поставили на свой компьютер майнер, то все хорошо. Но вполне может быть так, что кто-то сделал это без вашего ведома — и теперь расходует ресурсы вашего компьютера для собственного обогащения.
Kaspersky Internet Security выводит уведомления об обнаружении такого рода программ, чтобы вы знали, что они есть на вашем компьютере. Возможно, вы поставили их осознанно — как мы уже говорили, среди riskware-приложений бывают очень даже полезные. В таком случае можно не беспокоиться.
С другой стороны, возможно, очередной not-a-virus пробрался на компьютер незамеченным. И в этом случае вам лучше знать, что эта программа относится либо к riskware, либо к adware. Поэтому пользователю предлагается выбрать, что делать с программой. Если вы ее не ставили — то лучше удалить.
Новые банковские троянцы, очередные мошенничества с пользователями социальных сетей и другие события января 2012 года
1 февраля 2012 года
Среди вредоносных программ, обнаруженных в январе на компьютерах пользователей при помощи лечащей утилиты Dr.Web CureIt!, лидирующие позиции занимает файловый инфектор Win32.Expiro.23 (19,23% случаев обнаружения), при запуске пытающийся повысить собственные привилегии в системе, отыскивающий запущенные службы и заражающий соответствующие им исполняемые файлы.
Не отстает от него по популярности Win32.Rmnet.8 (8,86% случаев заражения) — этот вирус проникает на компьютер посредством зараженных флеш-накопителей или при запуске инфицированных исполняемых файлов и обладает способностью к саморепликации — копированию самого себя без участия пользователя. Вредоносная программа инфицирует файлы с расширениями .exe, .dll, .scr, .html, .htm, а в некоторых случаях — .doc и .xls, при этом она способна создавать на съемных накопителях файл autorun.inf. Непосредственно после своего запуска Win32.Rmnet модифицирует главную загрузочную запись, регистрирует системную службу Microsoft Windows Service (она может играть в операционной системе роль руткита), пытается удалить сервис RapportMgmtService, встраивая в систему несколько вредоносных модулей, отображающихся в Диспетчере задач Windows в виде четырех строк с заголовком iexplore.exe. Файловый вирус Win32.Rmnet крадет пароли от популярных ftp-клиентов, таких как Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Эта информация впоследствии может быть использована злоумышленниками для реализации сетевых атак или для размещения на удаленных серверах различных вредоносных объектов. Также нередко встречаются на инфицированных компьютерах российских пользователей троянцы Trojan.WMALoader и Trojan.Inor .
Примерно в это же время были зафиксированы случаи распространения другой вредоносной программы, с помощью которой злоумышленники планировали провести фишинговую атаку на клиентов одного из российских банков. Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс explorer.exe и помещает туда собственный код, а затем прописывает себя в папке автоматического запуска приложений под именем Eldesoft.exe.
В январе 2012 года на 25% сократилось число обращений в службу технической поддержки со стороны пользователей, пострадавших от действий программ-блокировщиков.
Однако попадаются среди программ-вымогателей отдельные образцы, вовсе не располагающие кодом разблокировки. К ним, в частности, относится троянец Trojan.Winlock.5490 , ориентированный на французских пользователей. Эта вредоносная программа запускается только на персональных компьютерах, операционная система которых имеет французскую локализацию. Троянец обладает встроенными функциями антиотладки: в процессе загрузки он проверяет, не запущен ли его процесс в среде виртуальных машин VirtualBox, QEmu, VMWare и пр., и в случае, если присутствие виртуальной машины обнаруживается, троянец прекращает свою работу.
Методы, с использованием которых сетевые злоумышленники распространяют ссылки на вредоносное ПО или мошеннические сайты, совершенствуются с каждым месяцем. В ход идут всевозможные способы маскировки текста, приемы социальной инженерии и прочие ухищрения. В январе сетевые мошенники обратили свое внимание на формат выдачи ссылок поисковыми системами.
Страничка поддельной поисковой системы может открыться автоматически при переходе по ссылке в выдаче настоящего поисковика. Кроме того, созданная злоумышленниками страница SERP обычно содержит ссылки, релевантные введенному ранее пользователем запросу, и потому на первый взгляд не вызывает каких-либо подозрений. В свою очередь, переход по ссылкам уже с этой страницы может привести потенциальную жертву на мошеннический сайт или ресурс, распространяющий вредоносное ПО. В настоящее время среди подобных ссылок замечены поддельные сайты, имитирующие странички социальных сетей, ресурсы, предлагающие сомнительные услуги на условиях псевдоподписки, и сайты распространяющие ПО семейства Trojan.SmsSend.
В недавнем прошлом злоумышленники массовым образом создавали копии сайтов социальных сетей, но подделка страниц поисковой выдачи и даже целых поисковых систем — это, безусловно, новое явление.
| 01.01.2012 00:00 - 31.01.2012 18:00 | ||
| 1 | Trojan.DownLoad2.24758 | 974126 (28.66%) |
| 2 | Trojan.Oficla.zip | 831616 (24.47%) |
| 3 | Trojan.Tenagour.9 | 423106 (12.45%) |
| 4 | Trojan.Inject.57506 | 258383 (7.60%) |
| 5 | EICAR Test File (NOT a Virus!) | 198666 (5.84%) |
| 6 | Trojan.DownLoad2.32643 | 132938 (3.91%) |
| 7 | Trojan.Tenagour.3 | 110835 (3.26%) |
| 8 | Trojan.Siggen2.58686 | 66624 (1.96%) |
| 9 | Trojan.Siggen2.62026 | 66398 (1.95%) |
| 10 | Win32.HLLM.Netsky.18516 | 53409 (1.57%) |
| 11 | Trojan.DownLoad2.34604 | 44053 (1.30%) |
| 12 | Trojan.Packed.19696 | 44038 (1.30%) |
| 13 | Trojan.DownLoader5.26458 | 25809 (0.76%) |
| 14 | Trojan.Siggen.65070 | 24806 (0.73%) |
| 15 | Trojan.DownLoader4.5890 | 22291 (0.66%) |
| 16 | Trojan.DownLoader4.31404 | 22145 (0.65%) |
| 17 | Trojan.DownLoader5.886 | 21686 (0.64%) |
| 18 | Trojan.DownLoader4.61182 | 21133 (0.62%) |
| 19 | Trojan.PWS.Panda.1513 | 20104 (0.59%) |
| 20 | BackDoor.Bifrost.23284 | 6113 (0.18%) |
Всего проверено: 1,149,052,932
Инфицировано: 3,399,130 (0.30%)
| 01.01.2012 00:00 - 31.01.2012 18:00 | ||
| 1 | Win32.Rmnet.12 | 23948173 (30.31%) |
| 2 | JS.Click.218 | 14651677 (18.54%) |
| 3 | JS.IFrame.117 | 8323572 (10.53%) |
| 4 | Win32.HLLP.Neshta | 8098226 (10.25%) |
| 5 | JS.IFrame.112 | 3734140 (4.73%) |
| 6 | JS.IFrame.95 | 3312785 (4.19%) |
| 7 | Trojan.IFrameClick.3 | 2716412 (3.44%) |
| 8 | Win32.Virut | 2672403 (3.38%) |
| 9 | Trojan.MulDrop1.48542 | 1946447 (2.46%) |
| 10 | Trojan.Hosts.5006 | 1369212 (1.73%) |
| 11 | Trojan.DownLoader.17772 | 906094 (1.15%) |
| 12 | Trojan.PWS.Ibank.474 | 562056 (0.71%) |
| 13 | Win32.HLLP.Whboy.45 | 415298 (0.53%) |
| 14 | Trojan.DownLoader5.18057 | 339809 (0.43%) |
| 15 | JS.IFrame.176 | 319449 (0.40%) |
| 16 | Trojan.Packed.22271 | 318517 (0.40%) |
| 17 | Trojan.PWS.Ibank.456 | 280158 (0.35%) |
| 18 | Trojan.DownLoader.42350 | 221567 (0.28%) |
| 19 | Win32.Virut.56 | 218322 (0.28%) |
| 20 | JS.Autoruner | 213647 (0.27%) |
Всего проверено: 114,007,715,914
Инфицировано: 79,017,655 (0.07%)
Читайте также: