Боремся с вирусами (autorun'ом, и пр. гадостью)

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Аватара пользователя
fant
Сообщения: 3799
Зарегистрирован: 24 фев 2007, 00:30
Откуда: Дубна.МО
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение fant »

На днях то же поднесли ноут, с ругательствами на копирование и распространение непотребщины. С обещание простить за 500 руб.
От скуки пролечил вручную. Винлокер стандартно изменил точку входа и поуродовал "таскменеджер". По окончании прошёлся AVZ.
Стандартный ответ девчушки. На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
"Ask not what your country can do for you, ask what you can do for your country." JFK
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Al_lexx »

fant писал(а):На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
Оч старая замануха.
Это я к тому, что иногда стоит читать что то кроме мейл.ру , в контакте и одноклассников. )))
Оффтоп
Изображение
Что то ищете? В GOOGLE!
Аватара пользователя
avtandil0001
Сообщения: 724
Зарегистрирован: 17 июл 2006, 15:03
Откуда: м.о.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение avtandil0001 »

V_P_Zadov писал(а):У drweb проблема (была, сейчас, возможно, решили)
скорее не решили(дней несколько назад скачал образ CD) графический интерфейс не запустился, но из под доса заработало.
fant писал(а):На мэйлру пришло сообщение от неизвестного, я кликнула глянуть что там..... Результат.
Вот интересно мне, как происходит заражение "из письма"? Его надо открыть в клиенте(т.е. скачать на комп) или открыв почту в браузере можно получить такой подарок? Наверняка еще требуется полное отсутствие защитного ПО...
Люблю кошек!
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Al_lexx »

avtandil0001
Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса (сначала закачивается, пока читаете письмо, а потом и запускается).
Отсутствие защиты не обязательно, если зараза свежая и написана не дураком. Отчасти спасает эвристика, но это уже зависит от того, какая защита. Бесплатные антивири (авира, аваст, комод) как правило пропускают такие атаки. Из платных, НОД наверное самый паршивый. Каспер, Семантек - ничего, приемлемо.
Изображение
Что то ищете? В GOOGLE!
Аватара пользователя
Alss
Сообщения: 450
Зарегистрирован: 21 июн 2006, 10:27
Откуда: Королев
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Alss »

Достаточно открыть в броузере. Запускается скрипт, а из под него и основной код вируса
Еще добавлю, что сейчас скрипты окон-винлокеров запускаются часто даже с весьма безобидных сайтов. Пользователям Firefox крайне рекомендую установить ABP (AddBlock Plus) - это дополнение прекрасно отсекает всю эту заразу, по крайней мере после установки на компы нашего предприятия, вся наша беготня по удалению винлокеров закончилась :) . Часто пользователь запускает скрипт добровольно, сам того не ведая, что он делает. Это когда на сайте выскакивает окошко с каким нибудь вопросом (типа проверки системы на вирусы), и надо нажать ДА, НЕТ, Отмена и т.п. И не важно что нажимать - в данном случае всё равно запустите скрипт. В этом случае при возникновении такого подозрительного окошка, лучше нажать cont+alt+del и снять задачу (браузер). После перезапуска браузера вкладки могут начать восстанавливаться, а с ними и скрипт. Поэтому лучше сразу все вкладки начать закрывать, пока они не загрузились (касаемо ФФ, не знаю как там в ИЕ и опера)
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Al_lexx »

Alss писал(а):В этом случае при возникновении такого подозрительного окошка, лучше нажать cont+alt+del и снять задачу (браузер). После перезапуска браузера вкладки могут начать восстанавливаться, а с ними и скрипт. Поэтому лучше сразу все вкладки начать закрывать, пока они не загрузились (касаемо ФФ, не знаю как там в ИЕ и опера)
Оч сложно. Проще просто закрыть вкладку, в которой появляется приглашение что либо нажать/проверить/установить.
У нас в конторе всё просто решилось. Несколько человек посидели по нескольку дней без работы, были предупреждены, что в следующий раз будут сидеть без работы гораздо дольше. После этого, все заходы на подобные ресурсы прекратились. Кроме того, у нас, юзерам, строжайше запрещено устанавливать программы, без ведома админа. Формулировка проста: "Хочешь устанавливать сам программы - сам и обслуживай компьютер, в случае заражения".
Те, кто недопонимал подобных правил, у нас не задержались.
Изображение
Что то ищете? В GOOGLE!
Аватара пользователя
Alss
Сообщения: 450
Зарегистрирован: 21 июн 2006, 10:27
Откуда: Королев
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Alss »

Проще просто закрыть вкладку, в которой появляется приглашение что либо нажать/проверить/установить.
В том то и дело, что это назойливое окошко ничего больше делать не дает, т.е. "поверх всех окон" и всё тут :). Можно нажать только то, что оно предлагает. С такими окнами сталкивался не раз. Поэтому и предлагаю снять задачу, выключить комп и т.д. только НЕ нажимать кнопки окна :roll:
Кроме того, у нас, юзерам, строжайше запрещено устанавливать программы, без ведома админа
У нас еще круче - у юзеров отняты админские права, поэтому проги у них просто не устанавливаются.
Аватара пользователя
avtandil0001
Сообщения: 724
Зарегистрирован: 17 июл 2006, 15:03
Откуда: м.о.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение avtandil0001 »

Alss писал(а):В том то и дело, что это назойливое окошко ничего больше делать не дает, т.е. "поверх всех окон" и всё тут . Можно нажать только то, что оно предлагает.
Может это только в ФФ так? В опере просто закрывается вкладка с таким вопросом...
А вот ешё одно интересное предложение попалось:

Изображение
Люблю кошек!
Аватара пользователя
V_P_Zadov
Сообщения: 1792
Зарегистрирован: 09 июл 2006, 13:01
Откуда: Техподдержка stream
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение V_P_Zadov »

avtandil0001 писал(а):скорее не решили(дней несколько назад скачал образ CD) графический интерфейс не запустился, но из под доса заработало.
DRWEB, как впрочем и каспер live cd не используют дос. Это gentoo. http://ru.wikipedia.org/wiki/Dr.Web_Live_CD
Да в общем то это и не так важно, просто к слову. А с иксами у drweb очень старый косяк. Можно поиграться с параметрами ядра, если так важна визуализация процесса сканирования. Ребята из drweb предоставляют этот диск бесплатно, как есть, и как известно- дареному коню в зубы не смотрят. И их бесплатная лечащая утилита cureit также достойна всяческих похвал. Правда раньше её можно было скачать гораздо проще, чем сейчас, т.к. приходится придумывать и вводить левое мыло и отвечать на нелепые вопросы, что использую только для себя и т.п. Также привлекает возможность у drweb и kaspersky rescue disk создания загрузочных флешек на которых можно обновить антивирусные базы. Обновить их можно и с live cd. Главное, чтобы модуль сетевушки правильно подгрузился.
Самый страшный компьютерный вирус - это User.
Restart
Сообщения: 1644
Зарегистрирован: 26 окт 2008, 14:33

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Restart »

V_P_Zadov писал(а):Главное, чтобы модуль сетевушки правильно подгрузился.
И компьютер вообще был подключен к интернету.
Alss писал(а):Это когда на сайте выскакивает окошко с каким нибудь вопросом (типа проверки системы на вирусы), и надо нажать ДА, НЕТ, Отмена и т.п. И не важно что нажимать - в данном случае всё равно запустите скрипт.
Особенно прикольно выглядит окно типа "виндоуз обнаружил угрозу", когда ты сидишь под линуксом или фрёй
Аватара пользователя
avtandil0001
Сообщения: 724
Зарегистрирован: 17 июл 2006, 15:03
Откуда: м.о.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение avtandil0001 »

Вот мне интересно - это ОНО или, теперь, Adobe Flash Player так и устанавливается? :shock:
После установки вылезает это -
Изображение

Через некоторое время, при отсутствии действий, это -
Изображение
Люблю кошек!
Аватара пользователя
Alss
Сообщения: 450
Зарегистрирован: 21 июн 2006, 10:27
Откуда: Королев
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Alss »

Вот мне интересно - это ОНО
Оно, оно :lol: Откуда скачано?
Реальный FP (дистриб) называется install_flashplayer10_mssd_aih.exe и весит 2.94 мб . А это шляпа какая-то :lol:
Качать лучше с оффсайта only http://get.adobe.com/ru/flashplayer/
Аватара пользователя
avtandil0001
Сообщения: 724
Зарегистрирован: 17 июл 2006, 15:03
Откуда: м.о.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение avtandil0001 »

Alss писал(а):Откуда скачано?
Тс-с-с-с... Из интернета!
Адобовский сайт не грузился, вот я и качнул..
Нормальный(10.3.183.7) называется теперь - flashplayer_10_ax_debug.exe и весит - 3,23 ну вы знаете чего :)
Люблю кошек!
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose »

avtandil0001 писал(а):Вот мне интересно - это ОНО или, теперь, Adobe Flash Player так и устанавливается?
Это какой-то развод на бабло!
реальный установщик флэш не требует никаких номеров и не предлагает НИКАКИХ СМС! И называется файл:
flash_player.exe (для Оперы и Лиса) или flash_player_ax.exe (для IE). Проверяйте всегда наличие цифровой подписи перед установкой!
Картинки установщика лень вставлять, они похожи, но там только один чекбокс по принятию лицухи и две кнопы: принять/отказаться от установки.
V_P_Zadov писал(а):Правда раньше её можно было скачать гораздо проще, чем сейчас, т.к. приходится придумывать и вводить левое мыло и отвечать на нелепые вопросы
Зачем так сложно???!!!! Тупо идём на
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
и скачиваем :wink:
Глупый пингвин робко прячет, умный - смело достаёт...
Аватара пользователя
mekkanizer
Сообщения: 127
Зарегистрирован: 12 авг 2008, 22:46
Откуда: русский
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение mekkanizer »

В общем классика - воткнул плеер в зараженный комп, и у него все папки приобрели свойства скрытый, системный и только для чтения, а на сами папки создались ярлыки, сам вирь сидит в $Recycle.Bin. Вроде бы ничего не пропало, но и плеер музыку не видит. Полез в свойства файла, ридонли снял а скрытый не могу. Оказалось что на семерке какая-то заморочка со связкой атрибутов скрытый/системный, т.е. скрытый можно снять только если снят системный, а галочки системный нету. Лечится атрибутами файлов через ТоталКоммандер.
Это раз :)
Дедушка мой словил где винлок, который требует номер квитанции об оплате энной суммы на такой-то счет, по этому базы как на сайте др. веба или ransom hide сразу отпадают. Но я с этим всем зря разбирался так как оказывается, вирь должен стереть все пользовательские файлы если номер не ввести за 3 часа, а до ноута я добрался только через 2 дня после произошедшего. Но не стер он все потому что дед сидел с висты а вирь судя по всему был написан под ХР, поэтому он сделал лютую вещь - создал несуществующую docs&settings и туда накидал чего-то :D И одновременно где-то очень хитро прописался, откатывать с alkid'a систему и пытаться чистить автозапуск ниче не дало. В итоге поставил деду бубунту, а т.к. ему только и нгадо что офис, браузер и почтовый клиент (и чтоб картинка рабочего стола та же осталась :D ) то он ничего и не заметил. Мораль - с этого надо было начинать использование ноута :D
It's nice to be important , but it's more important to be nice.
Изображение
Ответить