Боремся с вирусами (autorun'ом, и пр. гадостью)

Обсуждение проблем, связанных с ПО для компьютеров

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose »

Al_lexx писал(а):Вот... на фига вам это надо, когда есть другие решения?
так и перевожу постепенно с альтернативно-лицензионного Drweb на бесплатный Avast. :D
Уровень защиты практически такой же (при грамотно настроенной системе), :wink:
Тормозов на порядок меньше, защита не отключается, когда ключик заканчивается, и самовольства разного нету, как вышеуказанного, так и, например, когда "докторзверь" втихушку без спроса полфлэхи в карантин сливает :evil:
Глупый пингвин робко прячет, умный - смело достаёт...
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose »

Внимание! Держим ухо востро! С начала октября началась эпидемия злобных вирусов-шифровальщиков
Trojan-Ransom.Win32.Hanar (Trojan.Encoder.162)
гад шифрует пользовательские файлы файлы с расширениями .doc, .docx, .xls, .xlsx, .jpg и требует немалую денюжку за расшифровку!
Подробности на http://virusinfo.info/showthread.php?t=125993
Глупый пингвин робко прячет, умный - смело достаёт...
TillLinderman
Сообщения: 919
Зарегистрирован: 08 июн 2006, 20:11

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение TillLinderman »

Может быть не так страшно, как предыдущий пост, но все равно неприятно
В ПО сетевых версий принтеров Самсунг, обнаружена критическая уязвимость.
Подробности на опеннет
Страдания каждый выбирает для себя сам
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose »

Avast free при автополучении "кривого" обновления 05.12.12, производит ложное срабатывание и отрубает инет:
Подробности и как лечить здесь:
http://avast-russia.com/lozhnoe-srabaty ... ws-xp.html
Глупый пингвин робко прячет, умный - смело достаёт...
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Al_lexx »

TillLinderman писал(а):Может быть не так страшно, как предыдущий пост, но все равно неприятно <...>
Не очень понятно чего тут неприятного? То, что какой то прыщавый кулхацкер проверит состояние картриджей или попытается распечатать на этом принтере Большую Советскую Энциклопедию? Ну так всё равно не проверит и не распечатает, если lan адрес принтера не выставлен в DMZ, как та голая задница в форточке. :lol:
Если же человек что то публикует в и-нете (домашнюю страничку, ftp или нет-принт), то уж как минимум он понимает, что делает.

Не, я не последняя инстанция, но было бы любопытно понять, какие и в каких случаях мы имеем тут риски.
Изображение
Что то ищете? В GOOGLE!
TillLinderman
Сообщения: 919
Зарегистрирован: 08 июн 2006, 20:11

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение TillLinderman »

Не буду спорить. Ни на что не претендую...
Я просто цитирую автора:
Используя указанный сервис удалённый злоумышленник может выполнить любое действие с правами администратора, в том числе изменить конфигурацию, получить доступ к информации о сети и параметрах аутентификации, осуществить перехват отправляемых на принтер данных и даже запустить свой код, который может быть использован для проведения атаки на локальную сеть.
Ну хотя бы...Если он может перехватить задания посылаемые на принтер, то по моему это не очень хорошо. Мало ли что принтер печатает и мало ли в какой организации принтер установлен.
А так да: использовать IP из диапазона интранет адресов, доступный только из локальной сети.
Вы будете смеяться...А принтера доступные не только в локальной сети, но и снаружи я в некоторых организациях встречал...
Страдания каждый выбирает для себя сам
Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Al_lexx »

TillLinderman писал(а):Вы будете смеяться...А принтера доступные не только в локальной сети, но и снаружи я в некоторых организациях встречал...
Ничего смешного. Вполне нормальное явление. Но! Дело в том, что есть два варианта доступа к локальному принтеру через интернет. Первый - это когда вы публикуете страничку принтера (так же как сайт), что конечно же дает к нему доступ кому угодно, кто может взломать пароль. Если страничка написана левой задней, то получится та самая голая задница в форточке.
Второй - это посредством спецового софта, который работает по принципу VPN туннеля, т.е. зашифрованный канал. Во втором случае что бы взломать шифр нужно иметь очень сильную охоту тратить на это время/деньги.


Т.е. разговор не столько о сабжевом принтере, сколько по том, каким образом кто то может попасть в интрасеть из интернета. И я не столько утверждал, сколько хотел услышать от кого нить, какие именно риски всвязи с такими заявлениями производителя.

Имхо, видимо написали паршивую прогу удаленного доступа. Но тогда эти писаки должны пойти в "школу" и заново переучится писать сетевые проги.

Кстати, всё так и есть, как я предполагал
Всем пользователям принтеров Samsung, прошивка которых выпущена до 31 октября 2012 года, рекомендуется заблокировать на межсетевом экране доступ к принтеру или использовать IP из диапазона интранет адресов, доступный только из локальной сети. Кроме того, компания Samsung намерена в ближайшее время выпустить специальную утилиту для исправления проблемы в ранее выпущенных моделях принтеров.
Но интересно было бы посмотреть на умельцев, которые умудряются присвоить принтеру IP-шник из internet-диапазона. :lol2:
Если же принтер стоит за NAT-ом, то по фигу, какая у него прошивка. А если атакуют/взломают NAT, то пофиг любые принтеры, так как ты получаешь контроль на интрасетью. :lol2:

В общем - бред оф сив кэбыл.
Изображение
Что то ищете? В GOOGLE!
Аватара пользователя
Alss
Сообщения: 450
Зарегистрирован: 21 июн 2006, 10:27
Откуда: Королев
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Alss »

Товарищ подхватил заразу, не могу никак победить. Но всё по порядку. Система WinXP. Во первых на компе не стоял антивирус, поэтому вроде ничего и не заметно, что есть вирус, кроме некоторых подтормаживаний. Но когда установили антивирус (Avira Free), то сразу обнаружилось несколько троянов, которых успешно прибили. После перезагрузки обнаружилось, что нашу Авиру кто-то вырубил. Полезли в реестр, смотрим винлогон, шелл : Explorer.exe C:\Windows\System32\WinSit.exe . Ага, вроде понятно, встречали уже такое, как его в инете зовут, FUN.exe . Качаю скрипт для AVZ, запускаю, перезагрузка. Не тут-то было! Никуда вирус не делся. Файлов на компе, причастных к вирусу fun не обнаружено, в ключах автозагрузок все чисто, в процессах (смотрел process explorer`ом) ничего подозрительного нет. Тем не менее вирус сидит: правлю в реестре шелл на Explorer.exe, через пару секунд он по своему правит на Explorer.exe C:\Windows\System32\WinSit.exe. Авира по прежнему не запускается. файл Hosts править не дает. Обнаруживает "вдруг" какие то неизвестные устройства...Где сама зараза сидит так и не понял. Что еще делал? Сравнил все сис.файлы (winlogon, svchost и.т.д.) Обнаружил разный размер в taskmgr, замена ничего не дала. Снимал винт, ставил в другой комп, сканировал лицензионным Dr.Web с последними обновлениями - ничего не обнаружил. AVZ при сканировании также ничего не обнаруживает, удаление отладчиков системных процессов и прочие восстановления системы ничего не дают. Видать какая то новая модификация вируса. Понятно, что легче всё снести и заново поставить, но тут чисто спортивный интерес, спешки нет, поэтому интересно узнать, что это такое?
Аватара пользователя
kirill15
Сообщения: 2229
Зарегистрирован: 16 июн 2006, 17:45

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение kirill15 »

Alss
Я встречался с нечто подобным, правда давно. Авира при проверке нашла несколько гадов, попросила перезагрузку, и все. Авира не запускается, ее оболочка тоже, Проводник через раз не запускается, некоторые службы не запускаются, еще один антивирус (по-моему AVG) не устанавливается, CureIt! ничего не находит, ОС, внешне нормальная, работает через пень-колоду. Диск проверял на другом компе, вирус не обнаруживается. Пришел к выводу, что вирус был удален, но успел "накакать" в системе. Попытался поковырять где именно, потом плюнул, и восстановился из образа.
"Человек – иногда это звучит горько." © В.Пикуль
Аватара пользователя
VoidVolker
Always watching
Сообщения: 1006
Зарегистрирован: 02 дек 2006, 00:33

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение VoidVolker »

Я как-то autoruns из пакета SysInternals вполне себе успешно вычистил аналогичную заразу, что подменила собой проводник. В любом случае, это надо делать в безопасном режиме. Обязательно сделать sfc /scannow и sfc /scanboot - то же самое, но при загрузке компа. Нужен будет дистрибутив на диске.
Из под другой ОС надо пройтись еще как минимум нодом и хотя бы теми же касперским/нортоном и еще несколькими антивирусами, в реестре все исправить. Если все это не поможет, то тупо поставить винду поверх. Хуже - не станет, а все системные файлы вернутся к оригинальному состоянию.
Если ты не гонишься за своей мечтой, то ты, пожалуй, не человек, а овощ... капуста например.
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose »

VoidVolker писал(а):Если все это не поможет, то тупо поставить винду поверх.
если не поможет, то и перестановка винды поверх - тоже лишняя тратат времени - только чистая установка!
Alss
1. антивири на заражённый комп - НЕ СТАВЯТ! удали авиру - она всё равно уже заражена/поломана - сама теперь - источник заразы.
2. запусти AntiSMS с live-винды - она больше тебя знает про способы автозагрузки и внедрения вирей и сама поправит, что надо.
3. скачай свежий kaspersky rescue-disk, сделай загрузочный диск/флэху и проскань им.
4. Посмотри ещё
VoidVolker писал(а):autoruns из пакета SysInternals
5.
Alss писал(а):AVZ при сканировании также ничего не обнаруживает
AVZPM загружен? в "Параметрах поиска" все галки ставишь, эвристика на максимум и в логе красным ничего не пишет?? А АВЗ сам не заразился у тебя часом? Я обычно екзешник AVZ в батник переименовываю "от греха"...
Глупый пингвин робко прячет, умный - смело достаёт...
Аватара пользователя
Alss
Сообщения: 450
Зарегистрирован: 21 июн 2006, 10:27
Откуда: Королев
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Alss »

Обязательно сделать sfc /scannow и sfc /scanboot - то же самое, но при загрузке компа. Нужен будет дистрибутив на диске
Пытался это уже делать. К сожалению стоит какая-то гомносборка, которая не кушает нормальные лицензионные ХР.
удали авиру - она всё равно уже заражена/поломана - сама теперь - источник заразы.
+1. Когда решил проследить Regmon`ом кто вносит изменения в реестре в шелл, оказалось avguard, т.е. Авира. Удалил.
1. антивири на заражённый комп - НЕ СТАВЯТ!
Кто ж знал, что тут такой "букет" :)
AVZPM загружен? в "Параметрах поиска" все галки ставишь, эвристика на максимум и в логе красным ничего не пишет?? А АВЗ сам не заразился у тебя часом?
Похоже заразился, как и вся моя флэха. DR.Web выдал заражение Win32.HLLW.Dungcoi, по другим названиям это Sality, который заражает екзешники. Но странно, просканировал зараженный комп касперовским salitykiller`ом - ничего не нашел :dontknow:
2. запусти AntiSMS с live-винды - она больше тебя знает про способы автозагрузки и внедрения вирей и сама поправит, что надо.
3. скачай свежий kaspersky rescue-disk, сделай загрузочный диск/флэху и проскань им.
Это сейчас сделаю, отпишусь. Хотя проверял вроде диск Dr.Web`ом на другом компе, ничего.

UPD. Прогнал Касперским Rescue Disk, ничего не обнаружил. что за...
Аватара пользователя
VoidVolker
Always watching
Сообщения: 1006
Зарегистрирован: 02 дек 2006, 00:33

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение VoidVolker »

Alss писал(а):К сожалению стоит какая-то гомносборка
Тогда точно надо делать формат цэ.
Если ты не гонишься за своей мечтой, то ты, пожалуй, не человек, а овощ... капуста например.
Аватара пользователя
Alss
Сообщения: 450
Зарегистрирован: 21 июн 2006, 10:27
Откуда: Королев
Контактная информация:

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Alss »

Тогда точно надо делать формат цэ.
Да, похоже, жаль до зловреда не докопался.
Аватара пользователя
Vose
Сообщения: 4347
Зарегистрирован: 12 июн 2006, 14:22
Откуда: Свердл. обл.

Re: Боремся с вирусами (autorun'ом, и пр. гадостью)

Сообщение Vose »

Alss писал(а):Похоже заразился, как и вся моя флэха.
для лечения НАДО юзать отдельную флэху с защитой от записи!
Alss писал(а):DR.Web выдал заражение Win32.HLLW.Dungcoi
вот тут вроде легко вылечили
http://virusinfo.info/showthread.php?t=129749
там всё расписано
Alss писал(а):Да, похоже, жаль до зловреда не докопался.
пробовали AntiSMS и то, что выше по ссылке написано?
Глупый пингвин робко прячет, умный - смело достаёт...
Ответить