Вирусы и Лекарства

[Bumble-Bee 2]

Коллега на работе наступил на грабли. WinLock -- что характерно:

а) наличие DrWeb, который видимо о вирусе не знает, --- Доктор ещё старого рОзлива, когда Би такую акцию предлагал, ДО каспера;

б) на сайте доктора http://www.drweb.com/unlocker/index/?lng=ru не смогли найти по номеру, и по морде лица...

Сейчас распаковал предыдущего паразита, Доктор его прибивает, так что на VMware WinXP --- естественно, запустил и... никаких Alt+F4, Диспетчер задач высвечивается, а доступа к нему, как в прошлый раз уже нет... Как пользоваться LiveCD я знаю, только вот не могу понять как я тогда от него избавился... разве что Виста?

P.S.

44a133dc6baefbbedb9ade16147405c0.avi.exe - инфицирован Trojan.Winlock.1705

Кстати, на сайте "моего" 1705 нет. Изменено 23 июня, 2010 пользователем Bumble-Bee

[Гость mistacker]

Коллега на работе наступил на грабли. WinLock -- что характерно:

а) наличие DrWeb, который видимо о вирусе не знает, --- Доктор ещё старого рОзлива, когда Би такую акцию предлагал, ДО каспера;

б) на сайте доктора http://www.drweb.com/unlocker/index/?lng=ru не смогли найти по номеру, и по морде лица...

Сейчас распаковал предыдущего паразита, Доктор его прибивает, так что на VMware WinXP --- естественно, запустил и... никаких Alt+F4, Диспетчер задач высвечивается, а доступа к нему, как в прошлый раз уже нет... Как пользоваться LiveCD я знаю, только вот не могу понять как я тогда от него избавился... разве что Виста?

P.S. Кстати, на сайте "моего" 1705 нет.

Анти(вирусы) такую дрянь не лечат, т.к. "вирусом" в привычном смысле она не является... Это банальный развод на деньги.

А лечится просто - из под LiveCD убиваем все из ВСЕХ "временных папок" и большинство баннеров уходит, на всякий чистим автозагрузку.

[amanita 0]

Небольшое отступление:

Сразу после установки ОС желательно разрулить папочки TMP, TEMP и прочие не туда, где они по-умолчанию, а в отдельно созданный каталог+дать права доступа на них соответствующие. Задача поиска и устранения всякой дряни весьма упростится (в том числе)...

[Fatal1ty 0]

Небольшое отступление:

Сразу после установки ОС желательно разрулить папочки TMP, TEMP и прочие не туда, где они по-умолчанию, а в отдельно созданный каталог.

А какой в этом смысл? Мало кто обращается напрямую к папкам для временных файлов без использования переменных окружения. Все равно придется отредактировать пользовательские или системные переменные TEMP и TMP, чтобы программы нормально работали.

[amanita 0]

А какой в этом смысл? Мало кто обращается напрямую к папкам для временных файлов без использования переменных окружения. Все равно придется отредактировать пользовательские или системные переменные TEMP и TMP, чтобы программы нормально работали.

Так я это и имел ввиду, может не совсем правильно выразился...

[Bumble-Bee 2]

А лечится просто - из под LiveCD убиваем все из ВСЕХ "временных папок" и большинство баннеров уходит, на всякий чистим автозагрузку.

Нефига! Я Вам могу "своего" переслать, и вам придётся искать его там, где вы его запускали --- тем более, что он пишется в реестре заменяя собой shell=explorer.exe на себя --- обычное дело. Только одно дело, когда у Вас контролируемый процесс, другое --- когда ХЗ где что находится.

Небольшое отступление:

Сразу после установки ОС желательно разрулить папочки TMP, TEMP и прочие не туда, где они по-умолчанию, а в отдельно созданный каталог+дать права доступа на них соответствующие. Задача поиска и устранения всякой дряни весьма упростится (в том числе)...

Чтобы я без вас делал???

В большинстве случаев умников приводящих временные папки к "общему знаменателю" раз-два и обчелся, хорошо, если какой сборщик WinOS заранее предусмотрел оттвикать систему (хотя я не люблю это --- фиг его знает, что он/она/они "натвикали"). Например, у меня где-то есть филковский winxpsp2, который для каждого нового пользователя автоматом подстраивает под общую гребенку...

Так, ладно... Вобщем коллега на работе как-то справился, хотя уж и договаривались, что он принесет НЖМД.

Новая напасть. Только что пришёл от человека, у которого эта зараза встала совершенно легально. Всё систему изрыл, так и не нашел откуда запускается --- точнее что за файл дает картинку... Повезло только с тем, что это оказался не WinLock, но всё равно хренов баннер. Значит висит, такой милый квадратик с текстом (извините, забыл сфоткать), что-де, гражданин, ваше время порнопросмотра закончилось... но выход есть --- телефон и смс. Из плюсов только то, что комп доступен... AVZ запустил --- ноль, криминала почти нет. Сам диспетчер задач открывется, а там Age Verifier в задачах неснимаемый... Перерыл всё, экспериментально пришел к выводу,что зараза маскируется под winlogon, причем реальный winlogon. Следующий действием установил (повторно, там мания эту прогу удалять --- видать пара Мб неподъемны для винта на 250 Гб) --- anvir task manager. Вот он-то и сдал... Нашелся интересный процесс-автозагрузка: запускался через userinit, причем в свойствах был как Adobe Flash Plugin, с официальным названием и фирмой. Ну я его запретил, и он исчез. Опять, уже без проблем, прошерстил систему на предмет новый файлов за 22.06-24.06.2010 --- ну, набралось на 1,7 Гб. Визуально, ничего подозрительного... НО, в процессах я его нашёл. В любом случае, я не понял как он запускается. Такое чувство, будто записался на НЖМД в недоступный "блок" жесткого диска, либо хитро перезаписал собой userinit: его командная строка --- \.\\globalroot\\systemroot\\system32\\usеrinit.exe . Вдобавок, паразит сидит как законный представитель самоего, что ни на есть законно-легального ПО в "Установке/удаление программ", и не удаляется --- типа параметры устройства нетакие...

Вот, в реестре нашел

"DisplayName"="Adult Access"
"Publisher"="ООО Флеш Технологии"
"URLInfoAbout"= <это не важно, URL есть>
"UninstallString"="\\\\.\\globalroot\\systemroot\\system32\\usеrinit.exe /uninstall"
"DisplayIcon"="\\\\.\\globalroot\\systemroot\\system32\\usеrinit.exe"

Изменено 25 июня, 2010 пользователем Bumble-Bee

[russiamen 0]

Здравствуйте кто может помочь в папке сетевые подключения есть подключение Dailup. ни какой антивирус не берёт спасибо

[Bumble-Bee 2]

Здравствуйте кто может помочь в папке сетевые подключения есть подключение Dailup. ни какой антивирус не берёт спасибо

Точно вирус??? А чем мешает???

Можно выделить и нажать правую кнопку мыши --- в меню выбрать удалить.

[amanita 0]

Здравствуйте кто может помочь в папке сетевые подключения есть подключение Dailup. ни какой антивирус не берёт спасибо

А с чего Вы взяли, что это вирус?

[russiamen 0]

Ну вообщем конектится нет и из за дайлупа выключается через 1 мин!После того как удаляешь он появляеться снова

[russiamen 0]

Ещё для информации проверял AVZ вроде как он проверял проверял и каким то *** он сам себя заблочил

[DwarfM 0]

По сабжу голосовалки опять же. Торгуем софтом и техникой. Преимущественно общаемся с ITшниками, редко когда решение принимает человек далекий от IT. Так вот когда разговор заходит об антивире стандартные рассуждения сводятся к поливанию грязью всех производителей антивирусного ПО. Естественно кроме того, который юзается в данной компании. Народ, "лучшего нет" ... Всё вы правильно говорите. Можно обвешаться ими и цеплять заразу. А можно сидеть без антивиря и не знать проблем, ибо соображать надо куда ты заходишь, что клацаешь и что делаешь... Типичная ситуация опять же: Магазин, женщина менеджер с винлоком (в данном случае был порно банер), нужно срочно делать отгрузку, работа стоит ппц короче. А в сторонке куча мужиков хихикает, тоже манагеры-продавцы. Женщина красная как рак - Я мол не смотрела ничего, наверное мужики лазили куда то. И смех и грех ..и ее вроде жалко в годах уже...смущается и понимаешь, что тут никакой антивирь не поможет. Пока эти индивиды в сторонке стоящие, не забудут как осел запускается. Обычно я даже не расписывая преимущество одного антивиря над другим. Я просто даю выговориться ITшнику и потом пытаюсь рассказать то, что он еще не знал( если такое случается) о его любимом антивире и он доволен. Сравнение кто лучше, кто хуже еще смешнее, когда знаешь, что для повышения рейтинга производители антивирусного ПО сами пишут вредоносный код. Кто-то больше (как Евгений Валентинович) кто-то меньше как (Eset) но пишут время от времени все. Так что думаю вопрос нужно ставить не Кто же лучше? а Кто удобнее в пользовании лично для вас? Сам юзаю Nod32, закончится поставлю Мелкософтовский, т.к. никто больше них не заинтересован в уменьшении этой дряни. А корпоративный Forefront, который как известно юзает сразу несколько ядер, просто тупо по определению обходит на голову других производителей, так как большинство из них уже в себя включает.

[Гость mistacker]

+1 об этом я в начале и говорил)

_____________________________

2 Bumble_bee скинуть коллекцию фоток баннеров? я их фоткаю. только один по описанному заменил собою шел. помог банальный SFC -scan с вставкой дистра

[Osip 2]

Я без антивиря, я 2 раза из чуть больше 4х лет пользования пк переустанавливал винду из за вирусни, т.к. я раньше не понимал как их убрать. Все же повезло пользователям никсов ибо под них меньше пишут.) Иногда проверяюсь куритом или авз, но что то даже не вспомню когда они последний раз что нить находили. Да и сам я чет не вижу ничего постороннего. Иногда не очень большие файлы проверяю на virustotal.com. =)

[vovka192 0]

На компе и на ноуте AVG Internet Security. И не жалуюсь

[GlobeTrotter 0]

повезло пользователям никсов ибо под них меньше пишут.)

там тоже можно залететь, если поставить пак с левого репа или трекера (или с флешки)

[Гость mistacker]

там тоже можно залететь, если поставить пак с левого репа или трекера (или с флешки)

Покажите пожалуйста, на конкретном примере, куда можно залететь ни никсе с левой флешкой под правами юзвера

Будем учиться

[GlobeTrotter 0]

Покажите пожалуйста, на конкретном примере, куда можно залететь ни никсе с левой флешкой под правами юзвера

Будем учиться

если с флешки установите левый пакет, введёте пароль? да куда угодно можно попасть, в принципе)

[Bumble-Bee 2]

Наконец-то повезло и мне! Рад, очень рад! Ещё не ставил! Ж)

Шарясь по нелицензионным сайтам, заметил, что практически все обвешаны скрытыми ссылками, или как это называется --- когда, пусть даже случайно ткнешь по странице --- и пара лишних страниц откроется... Если раньше открывались всякие сайты, например, новости, порно, реклам, игры... До сих пор не ловил. Зато у меня знакомые ловили, кажись, назывался он что-то вроде "Антивирус Про 2010" --- не антивирус, а тупо вымогатель...

Я бы не обратил внимание и закрыл, если бы не интересная запись в открывшемся окне --- Инициализация системы защиты... Эм-м-м-м-м! У меня уже сложилась привычка со времен dial-up --- лазить БЕЗ включенных картинок: оно так быстрее, да и если нужно посмотреть чего --- не проблема посмотреть (тем более в Опере). Включил отображение картинок, и вуаля. Ещё не ставил! И, что-то не хочется...

Всё на что можно нажать, повидимому можно нажать, судя по появляющейся "ладони" на характерных кнопках/ссылках.

Если двигать окно, ужимая по ширине, то предупреждающее окно начинает сдвигаться --- держится центра, всё остальное вобщем-то тоже подвижное, но ведёт как обычная страница...

Ну, и две вещи, которых у меня нет --- красивости отключены --- а ля Win98...Win2000. Ну, и сам "виновник торжества" у меня так заблочен (также выключен его сервис), что реанимировать его может только SP3 для WinXP...

Те, кто знает свою систему (ну, или сидит на чем-то отличным от винды) -- это сразу заметит... Ну, а прочие --- ???

Доктор Веб молчит пока, ОутПост тоже...

Ой, забыл:

если "полистать" исходный код страницы --- это в основном java, но есть там и здравый смысл!

Чтобы помочь защитить компьютер, необходимо<br/> выполнить 3 простых шага</div>
Выбрать вашу страну:
Отослать смс с числом: ... на номер ... (или  7781)
Стоимость SMS 1 рубль
Ввести полученный в ответном смс код

Аха, щазззз --- смс "врубель"!

Изменено 12 сентября, 2010 пользователем Bumble-Bee

[Osip 2]

а что в этом такого? это боянская реклама

[Bumble-Bee 2]

а что в этом такого? это боянская реклама

Это не реклама --- это псевдо-антивирус, хотя, конечно, элементы рекламы тоже есть...

[Bumble-Bee 2]

Ээээх! Вот "непруха"... Это не он! На VMware потыкал, ничего страшного --- вроде ничего не загрузилось лишнего... При тыкании в разные кнопки неизменно вываливается центральное окно, попытка "разрешить лечение" дает окно --- отправь СМС... Мммм! Ладно! Сайт добавил к себе в АутПост... Я ожидал большего. абидна!

[amanita 0]

Bumble-Bee, а ссылочку на сайтик с этой прелестью можно? Хочу попробовать в действии на себе

[Bumble-Bee 2]

Bumble-Bee, а ссылочку на сайтик с этой прелестью можно? Хочу попробовать в действии на себе

Так на фотке же адрес ("защитаписи" по англицки...)

Хотел в коллекцию, а за одно "пободаться" по старой памяти...

P.S. Кстати, необязательно вводить полный адрес --- вполне хватит домена "имя точка ком", остальное, я так понял "партнерская программа" с сайтами.

Изменено 13 сентября, 2010 пользователем Bumble-Bee

[amanita 0]

Чет там какой-то блек-джек открывается по этому адресу...