!Вирусы!, Achtung! |
Добро пожаловать, гость ( Вход | Регистрация )
!Вирусы!, Achtung! |
-=CHE@TER=- |
Sep 1 2007, 18:02
Сообщение
#21
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
хехе, если не секрет, чем истреблял? Ну ты, в принципе, сам на этот вопрос и ответил:зы: а, это тот которого ты Симантеком убил после "МакКофе"? (*улыбается*)а всего-то девушка зашла из эксплорера по одной ссылке, которую выдал ей яндекс (запрос не помню) Я тоже уже так накололся. Теперь никогда и ни за что не использую IE. Только Opera.jTommy! Смысл просто был в том, чтобы понять из-за чего это вообще. Вдруг, ты напишешь программу и на неё NOD32 тоже ругаться будет. Тогда нужно быть, так сказать, подкованным - знать что где изменить/заменить в коде программы, чтобы не было ложных срабатываний. Не будешь же всем пользователям объяснять, что это NOD32 - тупой и ложно срабатывает - они, скорее, поверят что у тебя в программе вирус. |
Дмитрий-Нск |
Sep 2 2007, 04:05
Сообщение
#22
|
Незарегистрирован |
здравствуйте
у меня побывал Delf - поленился я месяц обновлять базы Nod'a базы обновил - вирь везде, где можно было был удалён антивирусом, но! комп не исзелчён. был не излечён - я форматнул диск С (10 гигов) и восстановил образ. почему не удалён? потому что от него остались следы в директории Windows файлы regedit.exe, msconfig.exe, cmd.exe были ущемлены - до них был закрыт доступ - файлы есть, а доступа нет. взамен им система или антивир создали их дубли с именами regedit.exe.exe и в т.д... в общем формат. теперь вопрос: на локальном диске D (он у меня 290 гигов) у меня склад информации - я сисадмин и дизайнер. форматнуть диск D у меня рука не подыметься. на этом диске осталась папка "runauto..". самая соль в том, что антивирус периодически удаляет из неё один и тот же файл (следовательно он не может его удалить, а пытается это сделать, как только файл с вирусом пытается активироваться. меня, разумеется, смущает эта папка. Unlocker'ом, как выше было сказано, удалить нет возможности - пробовал 2 версии (1.7.1 и 1.8.5) - даже не появляется вариант удалить эту папку с помощью unlocker'a - на всех других такой вариант есть... что думаете, господа? P.S.: ваш reg файл я внёс в реестр, спасибо |
nickolayer |
Sep 2 2007, 08:46
Сообщение
#23
|
Member Группа: Delegated Сообщений: 23 Регистрация: 4-February 08 Пользователь №: 1,698 Спасибо сказали: 1 раз(а) |
to xkLO#J:
Возможно, экспериментаторов немного. Но я согласен насчет борьбы. Люди занимаются вредительством в том числе и для того, чтобы нам было хуже. Не поддаваясь на их трюки, мы делаем их труд бессмысленным... хотя если они и пожрут друг друга, то очень нескоро. to jTommy: В роли подопытных кроликов мы, пототму что больше некому... где же они узнают об исходе эксперимента, как не от растерянных пользователей? to -=CHE@TER=-:: Opera, конечно, малость сложнее в обращении, чем IE, но рекламу в этом обозревателе в виде всплывающих окон почти и не увидишь. Когда NOD32 находит вирус где-то на той страничке, куда я захожу, это происходит в IE, но никогда в Opera. Поэтому я принял тот же выбор. |
-=CHE@TER=- |
Sep 2 2007, 13:27
Сообщение
#24
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Дмитрий-Нск!
Тут есть одна хитрость. Если внимательно присмотреться к содержанию файла autorun.inf, который создаёт вирус, то там можно заметить, что вирус сам обращается к каталогу не как "autorun..", а как "RUNAUT~1". Чем мы и воспользуемся. Делаем так: 1) Пуск -> Выполнить... 2) Набираем там: d:\runaut~1\ 3) Щёлкаем по кнопке ОК - и открывается этот самый каталог. Теперь щёлкаем на autorun.pif правой клавишей и херим его Unlocker'ом. После этого поднимаемся в корень диска и оттуда опять-таки Unlocker'ом херим и сам каталог (пустой каталог будет хериться, а с файлом - нет). Насчёт копий CMD.EXE, REGEDIT.EXE, MSCONFIG.EXE - ничего сказать не могу, т.е. у меня их нет - всё ок (пользовался скриптом приведённым по ссылке в первом посте). Дубли с именами *.EXE.EXE создавал вирус. P.S. У меня Unlocker 1.8.5. |
Дмитрий-Нск |
Sep 3 2007, 02:15
Сообщение
#25
|
Незарегистрирован |
спасибо, '-=CHE@TER=-'
пиф удалил, но по-прежнему не появляется в меню Unlocker... |
-=CHE@TER=- |
Sep 6 2007, 19:07
Сообщение
#26
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
спасибо, '-=CHE@TER=-' Кто не появляется? Вызов Unlocker на каталоге "RUNAUT~1"? Он в контекстное меню что-ли не встроен?пиф удалил, но по-прежнему не появляется в меню Unlocker...:( При установке Unlocker есть такая галочка "Встроить в Проводник" - так вот, она должна быть включена. Добавлено: Всё, начиная с сегоднешнего дня Symantec видит этот троян: Trojan.KillAV (правда там мало чего вразумительного написано о том, как его удалить). Сам проверил - видит и удаляет. Ещё добавлено: Затрахало. Это оказалась старая версия вируса. Сегодня притащили новую. Вот VirDelete.bat файл, который я переделал из китайского - он херит эту сволочь раз и навсегда (в том числе и из оперативной памяти): Кликните правой клавишей мышки на ссылке и выберите "Сохранить как..." Click right mouse button to link and select "Save as..." |
Siberian GRemlin |
Sep 8 2007, 03:29
Сообщение
#27
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
У меня палево: вчера скидывал знакомой с флэшки на флэшку инфу, потом в силу обстоятельств - обалдуи с её группы вырезали с флэшки файлы, вставили на рабочий стол, переставили флэшку и в этот момент у компа отказал USB порт, в итоге у них началась истерика - мне пришлось их выручать, скидывая через интернет на другой комп. Вообщем, печаль не в этом, а в том, что на одной их их флэшек я заметил два файла: AUTORUN.INF и SVCHOST.EXE с розовой иконкой, для меня даже не стало удивлением, что они не знают что это и откуда. Явно, это сифон какой-то. NOD32 на том компе его не поймал. Теперь я палюсь вставлять свою флэшку в свой комп. Не, можно конечно отключить функцию автозапуска, а потом включить, но мне как-то лень... мне интересно, если зажать левый SHIFT и вставить флэшку, проигнорируется ли автозапуск, как это с оптическими дисками происходит?
|
-=CHE@TER=- |
Sep 8 2007, 11:27
Сообщение
#28
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Siberian GRemlin!
SHIFT должен, по идее, помочь. Плюс не забудь .REG файл из первого поста (и перезагурзись после его применения). Если совсем сомневаешься сделай так: возьми WinXPBootableCD, отключи жёсткие диски (выдерни шлейфы), грузанись с этого CD-ROM и там втыкай флэшку - тогда точно ничего не заразится. Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами. |
jTommy |
Sep 8 2007, 15:32
Сообщение
#29
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Кстати, если будете покупать флэшки, то лучше брать те, где есть перемычка как на дискетах - "запись запрещена". Тогда при копировании чего-либо на заражённый компьютер не заразитесь сами. Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют.Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился? |
-=CHE@TER=- |
Sep 8 2007, 15:45
Сообщение
#30
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Ну уж нет, флешки надо брать, те, у которых скорость обмена больше и фирма известная (к примеру Kingston). А флешек с таким переключателем я еще ни разу не встречал, только знаю, что они где-то существуют. Нет, это, конечно, всё верно, но переключатель тоже бы не помешал...Кстати, у меня вопрос: если я вставил флешку, пошло ее сканирование, и потом появилось стандартное меню WinXP с запросом действия (посмотреть фотки, открыть, распечатать)... этого достаточно, чтобы комп заразился? Скорее всего, это значает то, что на такой флэшке просто напросто нет autorun.inf - иначе запустился бы он. Не уверен на все 100%, но скорее всего так. |
-=CHE@TER=- |
Sep 10 2007, 10:43
Сообщение
#31
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Оказывается, существует несколько вариаций на тему "RUNAUTO..".
Одну из них Symantec не знал. Отослал им вирус (BTW, это может сделать любой желающий отсюда) 07.09.2007, и вот сегодня, только они мне ответили, что базы за 09.09.2007 rev.17 его лечат. Обновился, проверил - точно лечат. Почему-то они определили его как Backdoor.Graybird, хотя по описанию нихрена не похож. Ну да ладно - главное, что он теперь лечится. |
Siberian GRemlin |
Sep 11 2007, 15:36
Сообщение
#32
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
|
jTommy |
Sep 11 2007, 16:07
Сообщение
#33
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Может ты его не заметил?! =) Лично я без него ещё ни одной не видел. Интересно... Мы наверное о разных флешках говорим? Я держал в руках много USB-флешек от Transcend и A-Data - ни на одной, также Kingston DataTraveler I&II - тоже нету. Флешки SD (Secure Digital), вот эти точно все с таким переключателем. |
Siberian GRemlin |
Sep 13 2007, 11:03
Сообщение
#34
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
Гляжу на Transcend... сбоку такой овальный переключатель.
|
Дмитрий-Нск |
Sep 20 2007, 16:48
Сообщение
#35
|
Незарегистрирован |
у меня, как я уже говорил, разные версии unlocker. есть и последняя
встроенная в меню опция появляется на всех папках, кроме runaut.. как её грохнуть без формата? |
-=CHE@TER=- |
Sep 20 2007, 21:20
Сообщение
#36
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
у меня, как я уже говорил, разные версии unlocker. есть и последняя встроенная в меню опция появляется на всех папках, кроме runaut.. как её грохнуть без формата? Воспользуйтесь .BAT файлом вот из этого поста. Или только вот этой его частью (сохраните как .BAT файл и запустите): CODE @echo off for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do ( if exist %%d:\autorun.inf cacls %%d:\autorun.inf /c /e /p /t everyone:f if exist %%d:\autorun.inf attrib -s -h -r %%d:\autorun.inf if exist %%d:\autorun.inf del %%d:\autorun.inf /q if exist %%d:\autorun.inf rd %%d:\autorun.inf /s /q if exist %%d:\runaut~1 cacls %%d:\runaut~1 /c /e /p /t everyone:f if exist %%d:\runaut~1 rd %%d:\runaut~1 /s /q if exist %%d:\autorun.inf.tmp attrib -s -h -r %%d:\autorun.inf.tmp if exist %%d:\autorun.inf.tmp del %%d:\autorun.inf.tmp /q ) |
Siberian GRemlin |
Oct 3 2007, 16:10
Сообщение
#37
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
Товарищи, я уже несколько раз ловил комп за тем, что он качает что-то большое из инета. Все автообновления и отсылки докладов разработчикам отключены. За обновлениями замечен был только Flash - как ему обновление вырубить? И ещё вроде же есть программки, которые отслеживают и выдают информацию о том какое ПО откуда и сколько в данный момент качает или качало или пытается. Посоветуйте, пожалуйста, если пользуетесь... А то вдруг сифон какой-нибудь.
|
xkL0#J |
Oct 3 2007, 16:29
Сообщение
#38
|
Mock Tudor Группа: Delegated Сообщений: 59 Регистрация: 10-February 08 Пользователь №: 964 Спасибо сказали: 8 раз(а) |
Outpost - при правильной настройке этому фаерволу нет цены (но полноценной защиты всеравно не существует ), при неправильной - полный кошмар... Он выдает достаточно подробную инфу на все активные подключения, какой процесс и сколько он скачал. Попробуй.
|
jTommy |
Oct 3 2007, 16:35
Сообщение
#39
|
Наблюдающий Группа: CTPAX-X Сообщений: 197 Регистрация: 4-February 08 Из: деревня Москва Пользователь №: 6 Спасибо сказали: 19 раз(а) |
Siberian GRemlin, ставь файерволл обязательно. Он тебе покажет все программы, которые рвутся в инет, плюс расскажет о том, кто хочет залезть в твое личное дисковое пространство.
Я без теперь файера в открытый инет не выхожу. Кому есть что сказать про этот класс программ - добро пожаловать в соседную ветку. |
Дмитрий-Нск |
Oct 8 2007, 12:38
Сообщение
#40
|
Незарегистрирован |
спасибо вам огромное!
|
Упрощённая версия | Сейчас: 5th November 2024 - 14:06 |