Боремся с вирусами (autorun'ом, и пр. гадостью)

[Vose]

какая "падшая женщина" это сделала?

Не клевещите на женщин, даже на падших!
Виной всему ваша безалаберность, а перевод системных часов - стандартный и простой ход многих вирей для отключения антивирей. Только что за каспер у вас древний, что от этого перестал запускаться - уже в 7 версии с сервиспаком они клялись, что эту проблему решили?

[fant]

Каспера не включал, т.к. не предполагал "грязных" ссылок на известном ресурсе.

Ну это надо на Башорг.... Без обид только. Ага ?

[Abdulla]

Vose
Каспер 5-й. Конечно, 7 и 8 лучше, но базы только с офсайта, а у меня не анлим. А для 4-го и 5-го - с ftp провайдера запросто обновляются. Бесплатно. Я даже reg-файл соответствующий написАл, для 7-го Каспера, чтоб с локалки базы брал, но при запуске обновления он пишет: не могу, мил человек, найти файл <не-помню-какой>, ошибочка вышла. Ну я плюнул и даунгрейд до 5-ки сделал. Не жалуюсь.
fant
Дарю!
Говорю же, "сам виноват, и слёзы лью, и охаю..." (С)

[Vose]

я плюнул и даунгрейд до 5-ки сделал. Не жалуюсь.

Вам то чего жаловаться, а вот комп без жалоб тихо под вирусами помирает.
У меня тоже не анлим, но что делать - базы качаю. Иногда где-нибудь в оффисах обновить удаётся, иногда на работе. Самый большой расход - при первоначальном обновлении сразу после установки. Но тот же КИС легко настроить, чтобы базы ещё в отдельную папку складывал, и при перестановке указываем обновить оттуда, а потом уже с инета дообновляем.
А откат до 5-й версии - глупость и самогипноз, наравне с тем, что, например:
Надо с ремнями безопасности ездить, но мне денег на них жалко (или нету), так я возьму верёвки привяжу и "буду с ремнями"

[sametz]

А откат до 5-й версии - глупость и самогипноз

согласен
у меня 6.0 уже не все отлавливает сам
а базы можно раз в день обновлять - 200 кб не разорят

[Abdulla]

Нагнали вы все на меня жути, бессовестные!
Сегодня снёс 5-ку и поставил 7-ку, 60 метров обновлений качнул. Щас вам пишу, а Каспер тихонько шуршит, заразу ищет.

[Vose]

60 метров обновлений качнул

Настроили сразу, чтоб их в папочку отдельно складывал? А то ведь "От сумы, тюрьмы и перестановки системы - не зарекайся..."

[Abdulla]

Vose
Есессна! Причём не в умолчальную, к-рую сам Каспер предложил в дебрях "Документс и Сеттингс", а ваще на отдельный физ. диск. Оттуда резерв на флэху. В общем становлюсь похожим на параноика.

[Vose]

Off

В общем становлюсь похожим на параноика

Нее.. - это уши ламерские понемногу уменьшаются

[Abdulla]

Всем добрый вечер.
Сегодня на работе убил одного виря, причём пришлось "ручками", т.к. ни Каспер (5-ка for WS, куплена лицуха, так что не рыпнуться никуда ), ни имевшийся под рукой вчерашний CureIt с ним не совладали. Оба пишут "усё нормально, шеу!"(С) А меж тем типичный вирь - в автозагрузку залез, в реестр тоже, в корни всех дисков прописался, на флэху сам залетел...
Ну я процесс завершил, файл уничтожил (csrcs.exe), реестр от егойного мусора почистил. Дома уже на сайте у Каспера прочитал, что это Троян-Даунлодер, что ведёт он себя именно так, что удалял я его верно (тока Temporary Internet Files не почистил, ну эт завтра, инета там сроду не было, кто-то из аспирантов-диверсантов припёр на флэхе), и что нужно ещё удалить исходный запакованный вирь, местонахождение которого определяется способом заражения компа. Во как, и более ни звука . А откуда я знаю, где исходный файл искать?!..
Товарищи форумчане, поможите кто чем, где найти гада, если он ТОЧНО залетел с флэхи?

[Vose]

файл уничтожил (csrcs.exe)

вы не поверите!!! Но я тоже сегодня! и точно такой же! и тоже ручками прибил! в одной конторе... Гадик сильно не скрывался и постоянно пытался запустить умолчальное диалапное соединение и на флэшку мою, дурачок, защищённую от записи залезть пробовал. Причем 7-й каспер с базами от 22-го его игнорировал, также, как и нестарая cure-It. А сдал мне его со всеми потрохами - AVZ4, он же и исправил "надругательсто" этого КСРы над эксплорером (чего и вам рекомендую сделать). После чего прибить бяку из безопасного режима ручками на диске и в реестре было делом пары минут.
Кроме того Abdulla, если вы убиваете вирей не сдельно, а за оклад , то настоятельно рекомендую с помощью того же AVZ4 (есть там такой "Мастер поиска и устранения проблем") поотключать автозапуск со всего абсолютно. А так же создать на всех подопечных компах в корне каждого диска папочку AUTORUN.INF c атрибутами только для чтения и системная (это в FAR сделать можно), можно и скрыть её также, с помещением в эту папку грозного предупреждения её не стирать.
И вы не поверите - насколько меньше проблем с вирусами у вас будет.
ЗЫ. Папочку AUTORUN.INF я также уже давно создаю на всех видах флешек всех моих друзей и знакомых.

[Abdulla]

Vose
Ну, "надругательство" на эксплорером - это я уже "ручками" сделал.
Вирей я убиваю за трудодни! И мне проще отключить нах автозапуск всего на свете средствами винды, а самому шлангом прикинуться (или даже на коллег наехать, мол, чё творите? ).
"Авторановые" папочки уже давно живут на всех дисках и флэхах. А х*ли толку?..
AVZ4 - эт, конечно, здорово. Но тока где его взять? И не будут ли они с Каспером воевать, вместо того, чтоб бяку шукать?
Интересно, у вас также троян наглел, как и у меня... Однако, остались непонятки: на сайте Каспера этот троян добавлен в базы аж в декабре 2007-го!!! Мож новый штамм объявился?..
И главное, ради чего изначально постил: Vose, у вас где на дисках шняга была? Если в корневых папках, то я оттуда пощёлкал, но вдруг где ещё сидит в засаде?..

[Vose]

Вирей я убиваю за трудодни!

В смысле -пока убиваете - трудодни ставят, а как перестаёте - прогул? А что потом с "трудоднями" делаете?

И мне проще отключить нах автозапуск всего на свете средствами винды

насчёт "проще" - очень спорное утверждение - вы просто не пробовали этого с AVZ делать.
Вот когда запустите AVZ, то увидите, что отключено не везде.

"Авторановые" папочки уже давно живут на всех дисках и флэхах. А х*ли толку?

Авторановые вирусы не могут запуститься САМОСТОЯТЕЛЬНО "очень самостоятельной виндой" - только руками глупопытного юзера.

AVZ4 - эт, конечно, здорово. Но тока где его взять?

http://z-oleg.com/secur/avz/download.php
http://z-oleg.com/secur/avz_up/avzbase.zip
и весит то - совсем ничего и портэйбл (только запись в собственную папку должна быть доступна - поэтому я с защищённой на запись флэхи копирую его на пациента и там запускаю - иногда вири его блочат и тут сначала cure-It вперёд приходится пускать)

не будут ли они с Каспером воевать

Нет - в последнего каспера он даже встроен.

у вас где на дисках шняга была

windows\system32\ , в корнях дисков как раз не было. Правда там передо мной "специалистъ" приходил 1С-ку ставить и заменил 7-го зарегеного КИСа (ну никак у него легальная 1С-ка с KIS-ом не ставала ) на пробного KAVа - может он и прибил, что в корне было (хотя сомневаюсь, что было что-нибудь). А чтоб найти все копии гадиков - юзайте поиск по имени, включив отображение и поиск скрытых и системных файлов.
ЗЫ. Да, кстати, в Опере до версии 9.52 хорошая дыра была - могут через неё лезть. И поубивайте вы уже везде своих "дремучих" 5-х и 6-х касперов - что с них толку-то?!

[Abdulla]

Всем добрый вечер! (Хабаре - доброе утро!)
В общем, сегодня троян вернулся на прежнее место - в корни дисковых разделов, в System32 и в реестр. Снова Каспером, куритом и AVZ-шкой прогнал - ни фига. Снова ручками убивал. Снова пытался отыскать исходный файл - не нашёл (мож просто не знаю, где шукать, задавал поиск всех файлов *.ехе).
Вечером погуглил "csrcs", наткнулся на это:
http://forum.olympus.ru/showpost.php?p= ... stcount=71
Вот так-то! Всё-таки новый штамм! Будем надеяться, что после обновления Каспер вытравит заразу...

[Vose]

Вот так-то! Всё-таки новый штамм! Будем надеяться,

.... что снова позовут вирусов бить. Ну чтоб мы без вирусописателей делали - померли бы с голоду
Спасиб за ссылочку, документик сохранил - будет отмазка и пугалка для клиентов. Типа можно сказать, что вот вы что в инете наловили, а я отослал куда надо