Боремся с вирусами (autorun'ом, и пр. гадостью)
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Re: автодозвон
dolyk
AVZ при скане вычисляет и выключает callback.
Оффтоп
Отредактировано: Serega S.U.
2All
в связи с всё ещё актуальностью, 09.01.2010 систематизировал и переписал на 1-й страничке темы своё руководство по борьбе с авторанами.
!! 2All !!
http://support.kaspersky.ru/viruses/deblocker - очень полезная ссылка в помощь для отвязки от троянцев-sms-вымогателей
Оффтоп
AVZ при скане вычисляет и выключает callback.
Оффтоп
Отредактировано: Serega S.U.
2All
в связи с всё ещё актуальностью, 09.01.2010 систематизировал и переписал на 1-й страничке темы своё руководство по борьбе с авторанами.
!! 2All !!
http://support.kaspersky.ru/viruses/deblocker - очень полезная ссылка в помощь для отвязки от троянцев-sms-вымогателей
Оффтоп
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Сегодня слегка повеселил своих контактов из Аськи. Попал на Свинячий вирус http://habrahabr.ru/blogs/infosecurity/81172/#habracut
"Ask not what your country can do for you, ask what you can do for your country." JFK
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Блоггер убрал документ, так что не удалось повеселится вместе с вами и понять что такое "Свинячий вирус".fant писал(а):Свинячий вирус http://habrahabr.ru/blogs/infosecurity/81172/#habracut
Зато сейчас развлекусь по полной программе - комп с eKAV "антивирус" притаранили.
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Очередной SMS вымогатель... От моего имени моим контактёрам рассылалась жалоба на спам с их компов. И предлагалась утилита по ссылке. Сходил ( надо же знать, что невольно рекламирую). Респектабельный сайт, предложение онлайн проверки.. рискнул. Мои 400 с небольшим Гигов проверили не более чем за 15 ! сек. C сообщением, что попал, нашли зловредов в количестве пяти штук и предложили за SMS и снятие со счёта не более 12 руб ( очень даже не по-жлобски) излечить меня.. Чот не стал.. 12 руб пожалел.. Потом ( а вдруг всё же) проверился Авастом, Вебом и AVZ. Всё по нолям.. Какой то беззубый развод. Только поспамили...
"Ask not what your country can do for you, ask what you can do for your country." JFK
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Аську "поламали"?fant писал(а):От моего имени моим контактёрам рассылалась жалоба
Номерок не пробовали пробить? сколько в реале снимают?fant писал(а):предложили за SMS и снятие со счёта не более 12 руб
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Сервак вскрыли, я так понял.. У кого увели, кому пароли поменяли. Мне, выходит, повезло.. С тррррудом достучался до "кипового" сайта, поменял пароль. Да и откатился с Инфиниума на обычный QIP.
"Ask not what your country can do for you, ask what you can do for your country." JFK
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
ВО ГАДОСТЬ ПРОДВИНУТАЯ!!! Из под родной системы не бьётся НИКАК! Диспетчера, regedit, Total Commander, антивири (и cureit и AVZ) - блочит, у processexplorer - выкашивает. С Live-CD cureit dll-ки заразы убивает, AVZ заразу видит, но не убивает до конца - "зверь" "мутирует" после каждой перезагрузки - меняет имена своих файлов.Vose писал(а):Зато сейчас развлекусь по полной программе - комп с eKAV "антивирус" притаранили.
В общем, хоть и снёс его в основном и окно "антивиря" не вылазит больше, и запуск regedit и диспетчера задач и проч. востановил (отдельное спасибо kit за ссылку на XP-Quick-Fix-Plus), но AVZ всё равно о подозрительной активности рапортует и прибить заразу не может.
Снёс винду от греха и переставил. Надо было сразу, конечно, но интересно было "зверька "поковырять".
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Товарищи, никто не ловил случайно U6KYBXP.EXE?
Качнул вчера вечером КуреИт, запустил проверку, он нашёл одного троянца в проге Flv Downloader, удалил с моего разрешения, более ничего.
Основным антивирем у меня Каспер2009, включаю его - проактивная защита орёт: "U6KYBXP.EXE пытается запустить скрытый процесс". Ну и ниже "Запретить", "Разрешить" и "Добавить в искл." Поставил я автоматом запрет, запустил поиск этого файла в локальных дисках - нету!.. В Гугл - "ничего по запросу не найдено". Обновил базы Каспера, полную проверку сделал - всё тихо.
До проверки КурИт-ом эта фигня не появлялась, зуб даю...
Собсна, вопрос: кто-нибудь сталкивался с подобным? Если да, то чем ещё провериться?
Качнул вчера вечером КуреИт, запустил проверку, он нашёл одного троянца в проге Flv Downloader, удалил с моего разрешения, более ничего.
Основным антивирем у меня Каспер2009, включаю его - проактивная защита орёт: "U6KYBXP.EXE пытается запустить скрытый процесс". Ну и ниже "Запретить", "Разрешить" и "Добавить в искл." Поставил я автоматом запрет, запустил поиск этого файла в локальных дисках - нету!.. В Гугл - "ничего по запросу не найдено". Обновил базы Каспера, полную проверку сделал - всё тихо.
До проверки КурИт-ом эта фигня не появлялась, зуб даю...
Собсна, вопрос: кто-нибудь сталкивался с подобным? Если да, то чем ещё провериться?
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
А это похоже , собстнн-но куре-ит и есть - распаковывается при проверке в темповую папку, потом процесс ещё "висит" в памяти некоторое время, хотя в папке уже самоудалился.Abdulla писал(а):До проверки КурИт-ом эта фигня не появлялась, зуб даю...
В целях защиты куреита от определения и прибивания вирусами для каждой новой его версии "генерится" новое имя екзешника.Abdulla писал(а):В Гугл - "ничего по запросу не найдено"
Ну, Drweb, на Cute-It "стойку не делает"Abdulla писал(а):Если да, то чем ещё провериться?
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Была такая мысля, тем более, что адрес ехе-шника был %Temporary Folder%\RARSFX.360\U6KYBXP.EXE. Спасибо, что подтвердили догадку.Vose писал(а):...А это похоже , собстнн-но куре-ит и есть...
Опосля прогнал SpyBot и AdAware - чисто.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Словил СМС-попрошайку. Заборол гада, все хорошо. Да только одна беда - этот гад перемолол политики таким образом что сейчас ни одна утилита (regedit например) не запускается Да к тому же еще и запуск в безопасном режиме невохможен Как вернуть стандартные настройки политики безопасности? Уж очень Винду переставлять не хочется!
Заранее спасибо.
Заранее спасибо.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
А чуть выше темку прочитать слабо было?Doomed писал(а):ни одна утилита (regedit например) не запускается Да к тому же еще и запуск в безопасном режиме невохможен Как вернуть стандартные настройки политики безопасности?
Vose писал(а):запуск regedit и диспетчера задач и проч. восстановил (отдельное спасибо kit за ссылку на XP-Quick-Fix-Plus)
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Лечил вчера комп один от Penetarator-а - первый раз с этой злобной гадостью столкнулся - зараза поубивала все фотки и картинки на компе хозяев. А DrWeb-5, "отключенный за неуплату", "стоял и спокойно на это смотрел". Хорошо ещё, что это был домашний практически исключительно игровой комп (оффлайновый причём!) и на нём не было никаких вордовских документов (а то бы и им перепало).
Опрометчиво сунул сначала в него свою флэху на 16 Гиг с антивирями и множеством полезной инфы и дистрибов (простофиля, блин ), потом на домашнием компе она всю ночь и утро вычищалась от заразы - повезло, что фотки эксклюзивные как раз перед этим успел с неё скинуть.
А с зараженным компом, посканив много из под жаражённой системы и с Live-CD, и оценив "масштабы бедствия", поступил просто - остатки того, что имело для хозяев практическую ценность, перекинул на отдельный раздел, а систему убил и потом восстановил из подходящего образа, а затем всё сохранённое просканил ещё раз.
ЗЫ. Сейчас прочитал, что мудаку, написавшему эту дрянь ВСЕГО 3 тыс. руб штрафу присудили!!!
ЗЫ.ЗЫ. Прихожу к выводу, что надо искать и покупать флэху с защитой от записи или юзать обычную, но небольшую флэху чисто для "антивирусных работ" и создавать и обновлять на ней постоянно антивирусный CD-раздел, защищённый от записи.
Пока не умер плэйер на 512M с защитой от записи - не было проблем.
ЗЫ.ЗЫ.ЗЫ. Вот тут http://netler.ru/pc/penetrator.htm подробное описание этой злобной дряни, если кому интересно.
Опрометчиво сунул сначала в него свою флэху на 16 Гиг с антивирями и множеством полезной инфы и дистрибов (простофиля, блин ), потом на домашнием компе она всю ночь и утро вычищалась от заразы - повезло, что фотки эксклюзивные как раз перед этим успел с неё скинуть.
А с зараженным компом, посканив много из под жаражённой системы и с Live-CD, и оценив "масштабы бедствия", поступил просто - остатки того, что имело для хозяев практическую ценность, перекинул на отдельный раздел, а систему убил и потом восстановил из подходящего образа, а затем всё сохранённое просканил ещё раз.
ЗЫ. Сейчас прочитал, что мудаку, написавшему эту дрянь ВСЕГО 3 тыс. руб штрафу присудили!!!
ЗЫ.ЗЫ. Прихожу к выводу, что надо искать и покупать флэху с защитой от записи или юзать обычную, но небольшую флэху чисто для "антивирусных работ" и создавать и обновлять на ней постоянно антивирусный CD-раздел, защищённый от записи.
Пока не умер плэйер на 512M с защитой от записи - не было проблем.
ЗЫ.ЗЫ.ЗЫ. Вот тут http://netler.ru/pc/penetrator.htm подробное описание этой злобной дряни, если кому интересно.
Глупый пингвин робко прячет, умный - смело достаёт...
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
На работе SEPP регулярно блокирует ntoskernel.exe
Дома стоит он же, в подобном не был замечен.
В целом софтовая конфигурация схожая, за исключением того, что на работе постоянно активен TeamViewer.
Поставил его (екзешник и всю папку тимвьюера) в эксклюд.
Может что ещё.
Ещё странно, что снулый домашний контупер будится тимвьюером с рабочего места, а из дома нет. Точнее будится, но на домашнем не отображается экран приветствия (просто черный экран, курсор становится указательным, но залогиниться не получается).
??
Дома стоит он же, в подобном не был замечен.
В целом софтовая конфигурация схожая, за исключением того, что на работе постоянно активен TeamViewer.
Поставил его (екзешник и всю папку тимвьюера) в эксклюд.
Может что ещё.
Ещё странно, что снулый домашний контупер будится тимвьюером с рабочего места, а из дома нет. Точнее будится, но на домашнем не отображается экран приветствия (просто черный экран, курсор становится указательным, но залогиниться не получается).
??
- Serega S.U.
- Сообщения: 897
- Зарегистрирован: 18 авг 2006, 16:38
- Откуда: Москва, Degunino.NET
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Тут можно пользовать такую штуку, как USB кардридер для SD (только для одной SD - работает как обычный накопитель, да и по размерам почти как обычная флешка, естественно не менее габаритов самой SD-шки). Прелесть сего в том, что SD имеет механический ползунок защиты от записи.Vose писал(а):Прихожу к выводу, что надо искать и покупать флэху с защитой от записи
СерёгА aka button