Форум UPgrade

На днях то же поднесли ноут, с ругательствами на копирование и распространение непотребщины. С обещание простить за 500 руб.
От скуки пролечил вручную. Винлокер стандартно изменил точку входа и поуродовал "таскменеджер". По окончании прошёлся AVZ.
Стандартный ответ девчушки. На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.

fant писал(а):На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.

Оч старая замануха.
Это я к тому, что иногда стоит читать что то кроме мейл.ру , в контакте и одноклассников. )))
Оффтоп

V_P_Zadov писал(а):У drweb проблема (была, сейчас, возможно, решили)

скорее не решили(дней несколько назад скачал образ CD) графический интерфейс не запустился, но из под доса заработало.

fant писал(а):На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.

Вот интересно мне, как происходит заражение "из письма"? Его надо открыть в клиенте(т.е. скачать на комп) или открыв почту в браузере можно получить такой подарок? Наверняка еще требуется полное отсутствие защитного ПО...

avtandil0001
Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса (сначала закачивается, пока читаете письмо, а потом и запускается).
Отсутствие защиты не обязательно, если зараза свежая и написана не дураком. Отчасти спасает эвристика, но это уже зависит от того, какая защита. Бесплатные антивири (авира, аваст, комод) как правило пропускают такие атаки. Из платных, НОД наверное самый паршивый. Каспер, Семантек - ничего, приемлемо.

Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса

Еще добавлю, что сейчас скрипты окон-винлокеров запускаются часто даже с весьма безобидных сайтов. Пользователям Firefox крайне рекомендую установить ABP (AddBlock Plus) - это дополнение прекрасно отсекает всю эту заразу, по крайней мере после установки на компы нашего предприятия, вся наша беготня по удалению винлокеров закончилась

. Часто пользователь запускает скрипт добровольно, сам того не ведая, что он делает. Это когда на сайте выскакивает окошко с каким нибудь вопросом (типа проверки системы на вирусы), и надо нажать ДА, НЕТ, Отмена и т.п. И не важно что нажимать - в данном случае всё равно запустите скрипт. В этом случае при возникновении такого подозрительного окошка, лучше нажать cont+alt+del и снять задачу (браузер). После перезапуска браузера вкладки могут начать восстанавливаться, а с ними и скрипт. Поэтому лучше сразу все вкладки начать закрывать, пока они не загрузились (касаемо ФФ, не знаю как там в ИЕ и опера)

Alss писал(а):В этом случае при возникновении такого подозрительного окошка, лучше нажать cont+alt+del и снять задачу (браузер). После перезапуска браузера вкладки могут начать восстанавливаться, а с ними и скрипт. Поэтому лучше сразу все вкладки начать закрывать, пока они не загрузились (касаемо ФФ, не знаю как там в ИЕ и опера)

Оч сложно. Проще просто закрыть вкладку, в которой появляется приглашение что либо нажать/проверить/установить.
У нас в конторе всё просто решилось. Несколько человек посидели по нескольку дней без работы, были предупреждены, что в следующий раз будут сидеть без работы гораздо дольше. После этого, все заходы на подобные ресурсы прекратились. Кроме того, у нас, юзерам, строжайше запрещено устанавливать программы, без ведома админа. Формулировка проста: "Хочешь устанавливать сам программы - сам и обслуживай компьютер, в случае заражения".
Те, кто недопонимал подобных правил, у нас не задержались.

Проще просто закрыть вкладку, в которой появляется приглашение что либо нажать/проверить/установить.

В том то и дело, что это назойливое окошко ничего больше делать не дает, т.е. "поверх всех окон" и всё тут

. Можно нажать только то, что оно предлагает. С такими окнами сталкивался не раз. Поэтому и предлагаю снять задачу, выключить комп и т.д. только НЕ нажимать кнопки окна

Кроме того, у нас, юзерам, строжайше запрещено устанавливать программы, без ведома админа

У нас еще круче - у юзеров отняты админские права, поэтому проги у них просто не устанавливаются.

Alss писал(а):В том то и дело, что это назойливое окошко ничего больше делать не дает, т.е. "поверх всех окон" и всё тут . Можно нажать только то, что оно предлагает.

Может это только в ФФ так? В опере просто закрывается вкладка с таким вопросом...
А вот ешё одно интересное предложение попалось:

avtandil0001 писал(а):скорее не решили(дней несколько назад скачал образ CD) графический интерфейс не запустился, но из под доса заработало.

DRWEB, как впрочем и каспер live cd не используют дос. Это gentoo. http://ru.wikipedia.org/wiki/Dr.Web_Live_CD
Да в общем то это и не так важно, просто к слову. А с иксами у drweb очень старый косяк. Можно поиграться с параметрами ядра, если так важна визуализация процесса сканирования. Ребята из drweb предоставляют этот диск бесплатно, как есть, и как известно- дареному коню в зубы не смотрят. И их бесплатная лечащая утилита cureit также достойна всяческих похвал. Правда раньше её можно было скачать гораздо проще, чем сейчас, т.к. приходится придумывать и вводить левое мыло и отвечать на нелепые вопросы, что использую только для себя и т.п. Также привлекает возможность у drweb и kaspersky rescue disk создания загрузочных флешек на которых можно обновить антивирусные базы. Обновить их можно и с live cd. Главное, чтобы модуль сетевушки правильно подгрузился.

V_P_Zadov писал(а):Главное, чтобы модуль сетевушки правильно подгрузился.

И компьютер вообще был подключен к интернету.

Alss писал(а):Это когда на сайте выскакивает окошко с каким нибудь вопросом (типа проверки системы на вирусы), и надо нажать ДА, НЕТ, Отмена и т.п. И не важно что нажимать - в данном случае всё равно запустите скрипт.

Особенно прикольно выглядит окно типа "виндоуз обнаружил угрозу", когда ты сидишь под линуксом или фрёй

Вот мне интересно - это ОНО или, теперь, Adobe Flash Player так и устанавливается?

После установки вылезает это -

Через некоторое время, при отсутствии действий, это -

Вот мне интересно - это ОНО

Оно, оно

Откуда скачано?
Реальный FP (дистриб) называется install_flashplayer10_mssd_aih.exe и весит 2.94 мб . А это шляпа какая-то

Качать лучше с оффсайта only http://get.adobe.com/ru/flashplayer/

Alss писал(а):Откуда скачано?

Тс-с-с-с... Из интернета!
Адобовский сайт не грузился, вот я и качнул..
Нормальный(10.3.183.7) называется теперь - flashplayer_10_ax_debug.exe и весит - 3,23 ну вы знаете чего

avtandil0001 писал(а):Вот мне интересно - это ОНО или, теперь, Adobe Flash Player так и устанавливается?

Это какой-то развод на бабло!
реальный установщик флэш не требует никаких номеров и не предлагает НИКАКИХ СМС! И называется файл:
flash_player.exe (для Оперы и Лиса) или flash_player_ax.exe (для IE). Проверяйте всегда наличие цифровой подписи перед установкой!
Картинки установщика лень вставлять, они похожи, но там только один чекбокс по принятию лицухи и две кнопы: принять/отказаться от установки.

V_P_Zadov писал(а):Правда раньше её можно было скачать гораздо проще, чем сейчас, т.к. приходится придумывать и вводить левое мыло и отвечать на нелепые вопросы

Зачем так сложно???!!!! Тупо идём на
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
и скачиваем

В общем классика - воткнул плеер в зараженный комп, и у него все папки приобрели свойства скрытый, системный и только для чтения, а на сами папки создались ярлыки, сам вирь сидит в $Recycle.Bin. Вроде бы ничего не пропало, но и плеер музыку не видит. Полез в свойства файла, ридонли снял а скрытый не могу. Оказалось что на семерке какая-то заморочка со связкой атрибутов скрытый/системный, т.е. скрытый можно снять только если снят системный, а галочки системный нету. Лечится атрибутами файлов через ТоталКоммандер.
Это раз

Дедушка мой словил где винлок, который требует номер квитанции об оплате энной суммы на такой-то счет, по этому базы как на сайте др. веба или ransom hide сразу отпадают. Но я с этим всем зря разбирался так как оказывается, вирь должен стереть все пользовательские файлы если номер не ввести за 3 часа, а до ноута я добрался только через 2 дня после произошедшего. Но не стер он все потому что дед сидел с висты а вирь судя по всему был написан под ХР, поэтому он сделал лютую вещь - создал несуществующую docs&settings и туда накидал чего-то

И одновременно где-то очень хитро прописался, откатывать с alkid'a систему и пытаться чистить автозапуск ниче не дало. В итоге поставил деду бубунту, а т.к. ему только и нгадо что офис, браузер и почтовый клиент (и чтоб картинка рабочего стола та же осталась

) то он ничего и не заметил. Мораль - с этого надо было начинать использование ноута

Форум UPgrade

Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)