Боремся с вирусами (autorun'ом, и пр. гадостью)
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
На днях то же поднесли ноут, с ругательствами на копирование и распространение непотребщины. С обещание простить за 500 руб.
От скуки пролечил вручную. Винлокер стандартно изменил точку входа и поуродовал "таскменеджер". По окончании прошёлся AVZ.
Стандартный ответ девчушки. На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
От скуки пролечил вручную. Винлокер стандартно изменил точку входа и поуродовал "таскменеджер". По окончании прошёлся AVZ.
Стандартный ответ девчушки. На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
"Ask not what your country can do for you, ask what you can do for your country." JFK
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Оч старая замануха.fant писал(а):На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
Это я к тому, что иногда стоит читать что то кроме мейл.ру , в контакте и одноклассников. )))
Оффтоп
- avtandil0001
- Сообщения: 724
- Зарегистрирован: 17 июл 2006, 15:03
- Откуда: м.о.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
скорее не решили(дней несколько назад скачал образ CD) графический интерфейс не запустился, но из под доса заработало.V_P_Zadov писал(а):У drweb проблема (была, сейчас, возможно, решили)
Вот интересно мне, как происходит заражение "из письма"? Его надо открыть в клиенте(т.е. скачать на комп) или открыв почту в браузере можно получить такой подарок? Наверняка еще требуется полное отсутствие защитного ПО...fant писал(а):На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
Люблю кошек!
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
avtandil0001
Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса (сначала закачивается, пока читаете письмо, а потом и запускается).
Отсутствие защиты не обязательно, если зараза свежая и написана не дураком. Отчасти спасает эвристика, но это уже зависит от того, какая защита. Бесплатные антивири (авира, аваст, комод) как правило пропускают такие атаки. Из платных, НОД наверное самый паршивый. Каспер, Семантек - ничего, приемлемо.
Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса (сначала закачивается, пока читаете письмо, а потом и запускается).
Отсутствие защиты не обязательно, если зараза свежая и написана не дураком. Отчасти спасает эвристика, но это уже зависит от того, какая защита. Бесплатные антивири (авира, аваст, комод) как правило пропускают такие атаки. Из платных, НОД наверное самый паршивый. Каспер, Семантек - ничего, приемлемо.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Еще добавлю, что сейчас скрипты окон-винлокеров запускаются часто даже с весьма безобидных сайтов. Пользователям Firefox крайне рекомендую установить ABP (AddBlock Plus) - это дополнение прекрасно отсекает всю эту заразу, по крайней мере после установки на компы нашего предприятия, вся наша беготня по удалению винлокеров закончилась . Часто пользователь запускает скрипт добровольно, сам того не ведая, что он делает. Это когда на сайте выскакивает окошко с каким нибудь вопросом (типа проверки системы на вирусы), и надо нажать ДА, НЕТ, Отмена и т.п. И не важно что нажимать - в данном случае всё равно запустите скрипт. В этом случае при возникновении такого подозрительного окошка, лучше нажать cont+alt+del и снять задачу (браузер). После перезапуска браузера вкладки могут начать восстанавливаться, а с ними и скрипт. Поэтому лучше сразу все вкладки начать закрывать, пока они не загрузились (касаемо ФФ, не знаю как там в ИЕ и опера)Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Оч сложно. Проще просто закрыть вкладку, в которой появляется приглашение что либо нажать/проверить/установить.Alss писал(а):В этом случае при возникновении такого подозрительного окошка, лучше нажать cont+alt+del и снять задачу (браузер). После перезапуска браузера вкладки могут начать восстанавливаться, а с ними и скрипт. Поэтому лучше сразу все вкладки начать закрывать, пока они не загрузились (касаемо ФФ, не знаю как там в ИЕ и опера)
У нас в конторе всё просто решилось. Несколько человек посидели по нескольку дней без работы, были предупреждены, что в следующий раз будут сидеть без работы гораздо дольше. После этого, все заходы на подобные ресурсы прекратились. Кроме того, у нас, юзерам, строжайше запрещено устанавливать программы, без ведома админа. Формулировка проста: "Хочешь устанавливать сам программы - сам и обслуживай компьютер, в случае заражения".
Те, кто недопонимал подобных правил, у нас не задержались.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
В том то и дело, что это назойливое окошко ничего больше делать не дает, т.е. "поверх всех окон" и всё тут . Можно нажать только то, что оно предлагает. С такими окнами сталкивался не раз. Поэтому и предлагаю снять задачу, выключить комп и т.д. только НЕ нажимать кнопки окнаПроще просто закрыть вкладку, в которой появляется приглашение что либо нажать/проверить/установить.
У нас еще круче - у юзеров отняты админские права, поэтому проги у них просто не устанавливаются.Кроме того, у нас, юзерам, строжайше запрещено устанавливать программы, без ведома админа
- avtandil0001
- Сообщения: 724
- Зарегистрирован: 17 июл 2006, 15:03
- Откуда: м.о.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Может это только в ФФ так? В опере просто закрывается вкладка с таким вопросом...Alss писал(а):В том то и дело, что это назойливое окошко ничего больше делать не дает, т.е. "поверх всех окон" и всё тут . Можно нажать только то, что оно предлагает.
А вот ешё одно интересное предложение попалось:
Люблю кошек!
- V_P_Zadov
- Сообщения: 1792
- Зарегистрирован: 09 июл 2006, 13:01
- Откуда: Техподдержка stream
- Контактная информация:
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
DRWEB, как впрочем и каспер live cd не используют дос. Это gentoo. http://ru.wikipedia.org/wiki/Dr.Web_Live_CDavtandil0001 писал(а):скорее не решили(дней несколько назад скачал образ CD) графический интерфейс не запустился, но из под доса заработало.
Да в общем то это и не так важно, просто к слову. А с иксами у drweb очень старый косяк. Можно поиграться с параметрами ядра, если так важна визуализация процесса сканирования. Ребята из drweb предоставляют этот диск бесплатно, как есть, и как известно- дареному коню в зубы не смотрят. И их бесплатная лечащая утилита cureit также достойна всяческих похвал. Правда раньше её можно было скачать гораздо проще, чем сейчас, т.к. приходится придумывать и вводить левое мыло и отвечать на нелепые вопросы, что использую только для себя и т.п. Также привлекает возможность у drweb и kaspersky rescue disk создания загрузочных флешек на которых можно обновить антивирусные базы. Обновить их можно и с live cd. Главное, чтобы модуль сетевушки правильно подгрузился.
Самый страшный компьютерный вирус - это User.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
И компьютер вообще был подключен к интернету.V_P_Zadov писал(а):Главное, чтобы модуль сетевушки правильно подгрузился.
Особенно прикольно выглядит окно типа "виндоуз обнаружил угрозу", когда ты сидишь под линуксом или фрёйAlss писал(а):Это когда на сайте выскакивает окошко с каким нибудь вопросом (типа проверки системы на вирусы), и надо нажать ДА, НЕТ, Отмена и т.п. И не важно что нажимать - в данном случае всё равно запустите скрипт.
- avtandil0001
- Сообщения: 724
- Зарегистрирован: 17 июл 2006, 15:03
- Откуда: м.о.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Вот мне интересно - это ОНО или, теперь, Adobe Flash Player так и устанавливается?
После установки вылезает это -
Через некоторое время, при отсутствии действий, это -
После установки вылезает это -
Через некоторое время, при отсутствии действий, это -
Люблю кошек!
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Оно, оно Откуда скачано?Вот мне интересно - это ОНО
Реальный FP (дистриб) называется install_flashplayer10_mssd_aih.exe и весит 2.94 мб . А это шляпа какая-то
Качать лучше с оффсайта only http://get.adobe.com/ru/flashplayer/
- avtandil0001
- Сообщения: 724
- Зарегистрирован: 17 июл 2006, 15:03
- Откуда: м.о.
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Тс-с-с-с... Из интернета!Alss писал(а):Откуда скачано?
Адобовский сайт не грузился, вот я и качнул..
Нормальный(10.3.183.7) называется теперь - flashplayer_10_ax_debug.exe и весит - 3,23 ну вы знаете чего
Люблю кошек!
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
Это какой-то развод на бабло!avtandil0001 писал(а):Вот мне интересно - это ОНО или, теперь, Adobe Flash Player так и устанавливается?
реальный установщик флэш не требует никаких номеров и не предлагает НИКАКИХ СМС! И называется файл:
flash_player.exe (для Оперы и Лиса) или flash_player_ax.exe (для IE). Проверяйте всегда наличие цифровой подписи перед установкой!
Картинки установщика лень вставлять, они похожи, но там только один чекбокс по принятию лицухи и две кнопы: принять/отказаться от установки.
Зачем так сложно???!!!! Тупо идём наV_P_Zadov писал(а):Правда раньше её можно было скачать гораздо проще, чем сейчас, т.к. приходится придумывать и вводить левое мыло и отвечать на нелепые вопросы
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
и скачиваем
Глупый пингвин робко прячет, умный - смело достаёт...
- mekkanizer
- Сообщения: 127
- Зарегистрирован: 12 авг 2008, 22:46
- Откуда: русский
- Контактная информация:
Re: Боремся с вирусами (autorun'ом, и пр. гадостью)
В общем классика - воткнул плеер в зараженный комп, и у него все папки приобрели свойства скрытый, системный и только для чтения, а на сами папки создались ярлыки, сам вирь сидит в $Recycle.Bin. Вроде бы ничего не пропало, но и плеер музыку не видит. Полез в свойства файла, ридонли снял а скрытый не могу. Оказалось что на семерке какая-то заморочка со связкой атрибутов скрытый/системный, т.е. скрытый можно снять только если снят системный, а галочки системный нету. Лечится атрибутами файлов через ТоталКоммандер.
Это раз
Дедушка мой словил где винлок, который требует номер квитанции об оплате энной суммы на такой-то счет, по этому базы как на сайте др. веба или ransom hide сразу отпадают. Но я с этим всем зря разбирался так как оказывается, вирь должен стереть все пользовательские файлы если номер не ввести за 3 часа, а до ноута я добрался только через 2 дня после произошедшего. Но не стер он все потому что дед сидел с висты а вирь судя по всему был написан под ХР, поэтому он сделал лютую вещь - создал несуществующую docs&settings и туда накидал чего-то И одновременно где-то очень хитро прописался, откатывать с alkid'a систему и пытаться чистить автозапуск ниче не дало. В итоге поставил деду бубунту, а т.к. ему только и нгадо что офис, браузер и почтовый клиент (и чтоб картинка рабочего стола та же осталась ) то он ничего и не заметил. Мораль - с этого надо было начинать использование ноута
Это раз
Дедушка мой словил где винлок, который требует номер квитанции об оплате энной суммы на такой-то счет, по этому базы как на сайте др. веба или ransom hide сразу отпадают. Но я с этим всем зря разбирался так как оказывается, вирь должен стереть все пользовательские файлы если номер не ввести за 3 часа, а до ноута я добрался только через 2 дня после произошедшего. Но не стер он все потому что дед сидел с висты а вирь судя по всему был написан под ХР, поэтому он сделал лютую вещь - создал несуществующую docs&settings и туда накидал чего-то И одновременно где-то очень хитро прописался, откатывать с alkid'a систему и пытаться чистить автозапуск ниче не дало. В итоге поставил деду бубунту, а т.к. ему только и нгадо что офис, браузер и почтовый клиент (и чтоб картинка рабочего стола та же осталась ) то он ничего и не заметил. Мораль - с этого надо было начинать использование ноута