|
Трояны - [Архив]
Достали эти твари. Хотел найти регистрилку на Вента факс, захожу на ******* и начинает произвольно открываться всякая х.......! AVP показ. что обнар. вирус JS.Trojan.Seecker-based, браузер закрывается. Потом проверяю сканером - все нормально.
Запускаю опять - и все снова. На других страницах это не проявлялось (кроме порнушных):biggrin: .Что делать ??? |
Хе, хе..это он на скрипты реагирует и на то сообщение, которые вылазит "типа, что-то установить просит" ...
Вот на это он и орет. ищи альтернативу! |
Vadim
Просто там куча поп-апов и всякой рекламы.......вирусов там нет...убивай нафиг AVP и ставь файерволл..это будет надежнее :gigi: |
BigMac
Цитата:
Насчет файрвола же - не так-то все просто, файрвол еще надо сконфигурировать правильно, да и по сути файрвол не от всякой дряни поможет. Скорее наоборот, зачастую файрвол создает ощущение ложной безопасности, которое и подводит. А антивирь ИМХО лучше оставить. Учитывая количество дыр в броузерах и емайл-клиентах, никакая защита лишней не будет. Береженого бог бережет. Vadim Могу еще посоветовать заменить AVP на Dr.Web - я им по жизни пользуюсь, он работает аккуратнее: когда такая напасть встречается, он ругаться ругается и пресекает, но броузер не закрывает. И овцы сыты, и волки целы.. ИМХО |
Большое всем спасибо что откликнулись, забыл написать что браузер закрывает не антивир., а сам IE, пишет что произошел сбой, просит отправить отчет и стоит галочка о закрытии программы (ее можно снять, но без толку).
А может пост. Нортон антивир., когдато стоял, ничего плохого не было ? Почему именно на ****** начинается этот цирк ? Почему произвольно начинают открываться другие страницы??????? P.S. Что такое файерволл ? :cranky: |
Vadim
Выруби скрипты в броузере и лазь смело по тому сайту! (когда закончишь лазить, вруби обратно). Иди в Tools>Internet options.., вкладка "Security", жми кнопку "Custom Level.", находишь среди опций "Active Scripting" и ставишь его в "disabled" иил "enabled", соответственно. другие страницы начинают открываться потому что авторы сайта пытаются на тебе заработать деньги, и чтобы это происходило быстрее, подсовывают тебе (в качестве открывающихся окон) левые сайты с порнухой. обычное дело, когда имеешь дело с такого рода сайтами. Добавлено: Цитата:
|
Vadim
Если AVP монитор ругается, значит в теле страницы действительно содержится вредоносный скрипт. Я часто брожу в Инете. В большинстве случаев на наличие скриптов и всплывающих окон монитор не реагирует. Но, часто, особенно на разного рода порнушных сайтах, выявляет бяку. Для стопроцентной защиты от троянов и других вирусов подходит связка антивирус + файервол. От назойливых всплывающих окон избавился с переходом на Оперу. Там разрешение или блокировка таких окон производится одним кликом мыши. BigMac Цитата:
|
Belansky
Я имел ввиду убивай AVP Monitor....:) Ты не каркай давай... :gigi: |
AVP + Outpost = 30% удачной защиты!
Это моё мнение. А вебер кстати сохраняет вредоносные скрипты на ЖД в отличии от AVP который их блокирует! |
Здравствуйте, Уважаемые!
Помогите (бедному ламеру) мне пожалуйста в моей маленькой проблеме! Недавно сканером портов проверил свой комп и очень удивился, обнаружив на одном из портов весит троян (port: 5000 sockets de troie). Никак не могу удалить его из системы (проверил все свежим АВП и Cleaner' om)... Как можно убить этого проклятого Трояна?... Как выследить какой процесс взаимодейтвует с указанным портом?... Может софт какой посоветуете.. Или Как его отыскать вручную... ПОМОГИТЕ... Спасибо.. |
RV
а пробовал Trojan Remover? |
RV
Если NT-подобная система стоит, то очень полезная утилита есть от SysInternals http://www.sysinternals.com/ntw2k/source/tcpview.shtml - показывает какой процесс на каком порту сидит. А так вам надо проверить все места автозапуска программ (Поиск по форуму, startup. Я помню в в форуме W2000 такой вопрос был). BigMac то же дело говорит :) Удачи |
|
В школе такая проблема - на все компы загнали троян, причем и на всех компах стоит и клиент, и сервак. Вобщем творится такая наразбериха, что порой очень сильно достает. Посоветуйте какую-нибудь прогу, которая закрыла бы порт 12345, или анти-троян, но чтоб поместилась на дискету. Конечно можно было бы и в ручную убить сервер, но я не знаю куда он себя воткнул. Троян - Анти-ламер.
|
По-моему через такой порт netbus работал.
IlyaSh, тебе нужен файрвол. Соответственно маленький файрволвлезет на дискету ;-) |
ИМХО сервер должен быть не на ваших компах а у того кто вам его закинул, а у вас клиентская часть коня, может я и ошибаюсь
|
А где достать файрвол по-меньше? У меня дома стоит Agnitum Outpost Fire Wall, но он не залезет и на две дискеты, а мне нужно его поставить быстро.
|
Могу предложить зайти на avp.ru и провести скан в онлайне. Может чего и почистит
Добавлено: А вообще зайди http://www.viruslist.com/viruslist.html?id=13 и почитай. Вдруг найдешь про своего коня. И мне кажется что это не умно кидать и клиента и сервак на 1 машину, зачем это надо до??? может ты чего напутал??? |
modem
сервер ставится на машине жертвы. IlyaSh посмотри разделы реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice там может быть и прописан твой троян для запуска есть прога TDImon которая показывает tcp udp активность. с помощью знания порта сможешь вычилисть какой процесс есть троян твой. |
IlyaSh
Цитата:
Скорее всего он прописан ещё в системных файлах win.ini system.ini посмотри нет ли в корне диска С файла autorun.inf, если есть то напиши что там, некоторые троянчики ещё и туда себя суют. [s]Исправлено: Artla, 13:26 13-03-2003[/s] |
Да, я перепутал. Называется "смерть ламера", сегодня на одном компе убил. Он прописал в win.ini c:\windows\system\... .exe
Почему пишу "...", так как название файлика явно поменяли. Еще нашел NetBus - тоже троян. Одна из его запчастей - *patch.exe, которая было встроена в саму папку Windows. Но NetBus я просто знаю, сам нечаяно заразил свой комп(в смысле домашний). *А вот то, что на одном компе и сервер и клиент, так это потому, что сначала на всех компах, кроме одного, стояли серваки. Потом кто-то нашел клиента на незараженном компе и растащил его на остальные. Всех благодарю за помощ, спасибо. З.Ы. Вообще на всякий случай поставлю Фаревалл и за одно анти-троян, все-таки безопаснее будет [s]Исправлено: IlyaSh, 14:48 13-03-2003[/s] |
IlyaSh
убей файл в папке c:\windows\system называется winsock.exe Добавлено: IlyaSh + к этому вирус цепляется к системным файлам, по дефолту к internat.exe, проверь этот файл на вирусы. |
Ой, я от Ентого winsock.exe не мог отделаться, пока систему поверх не переставил. Он, зараза, оставляет после своего удаления ещё более мелкий троянчик для поиска самого себя на всех дисках (ищет флоппи, CD, даже в сеть лезет, я его файерволом застукал за этим делом). А ''насобирал'' я его там:
http://forum.oszone.net/topic.cgi?fo...&topic=545 |
Возможности вируса, версия 2.6
• Множество приятных мелочей, которых нет нигде; • Воровать Кэшированные и Диалапные пароли, а также пароли популярных звонилок EDialer и MDialer; • Присылать _новые_ пароли и другую информацию на ваш EMail, что очень удобно. • Выбирать язык интерфейса. Доступны русский и английский языки; • Выполнять автоапгрейд; • Скачивать и запускать файл по указанному url; • Запрещать чтение и изменение настроек без предъявления пароля; • Следить за жертвой автообновлением позиции курсора мыши и содержимого экрана; • Менять дату сервера на идентичную системным файлам Windows; • Открывать порты только в онлайне; • Автоудаляться через указанное количество дней; • Закрывать окна файрволов при обнаружении; • Закрывать окна известных антивирусов; • Отправлять на icq отчёты об ошибках; • Убивать, Закрывать, Показывать, Скрывать и Запрещать доступ к любому окну и процессу, менять заголовки окон; • Выполнять стандартные операции с файлами, такие как Просмотр, Копирование, Удаление, Изменение, Поиск, Скачивание, Закачивание, Запуск и Воспроизведение, а также возможность просмотра по введённой маске; • Эмитировать нажатия клавиш • Устраивать чат с жертвой • Создавать, Удалять, Изменять ключи и значения реестра; • Управлять громкостью удалённого компьютера; • Шпионить за нажатыми в оффлайне и в онлайне кнопками, сохранять архив нажатий; • Показывать количество соединений и удалённые адреса каждого отдельного пользователя; • Устраивать чат для всех пользователей, подключённых к данному серверу; • Мигать лампочками, Изменять время и дату на удалённом компьютере, Открывать введённый URL в броузере и управлять выходом из Windows; • Управлять CDROM'ом, включать/отключать сочетание Ctrl+Alt+Del, просматривать и менять содержимое Буфера обмена, Скрывать и показывать Таскбар, Трей, Часы, Рабочий стол; • Менять местами кнопки Мыши, эмулировать одиночные и двойные нажатия любой кнопкой в любом месте экрана, Следить за перемещениями курсора; • Сдирать скриншоты разного качества и размера, Следить за определённой областью экрана удалённого компьютера, Управлять питанием монитора и менять текущее разрешение; • Выводить сообщения и окна ввода всех стилей; • Собирать подробнейшую информацию о системе: Версия и дата установки Операционной системы; Количество сободных и занятых ресурсов; Размер и процент использования файла подкачки; Текущее разрешение монитора; Временная папка и папка ОС; Производитель, модель и частота процессора; Общее количество и процент незанятой физической памяти; Модель сетевой карты, если таковая имеется; Подробная информация о каждом диске системы; Зарегистрированное имя пользователя и организация; Список почтовых ящиков со всеми параметрами; • Уведомлять вас на ICQ, когда юзер вышел в Онлайн; • Также есть возможность Изменения имени файла-сервера , Пароля и Рабочего порта сервера. Ессесно присутствуют стандартные операции работы с сервером, такие как Закрытие, Удаление и Перезапуск; • Вы можете указать папку для временных и скаченных файлов, настроить по своему усмотрению Интерфейс клиента и Качество камеры; • Также клиент включает в себя утилиту Ху из (пинг, лукап) и красивый РУССКИЙ интерфейс! • И это только основные возможности данного трояна. Добавлено: APOSTOL Цитата:
|
Я теперь уже не помню, тогда с перепугу :o рушил всё подряд.
И по-моему, мы разговариваем о разных вирусах. Этот - в архиве называется crack.cab размером 252 Кб, внутри архива лежит crack.exe размером 263555 байт от 30.11.01. Если его запустить (а я чё-то больше не хочу), то он запихнёт в папку Windows файл Winsock.exe (это то, что я тогда заметил) и распёхивает его автозапуски везде. Если убрать его самого и порушить автозапуски в нескольких местах реестра, sis.ini, win.ini, autorun.inf да и ещё не помню уже где, при запуске Проводника или Мой компьютер что-то такое лазеет по всем дискам, и если там найдётся этот Winsock.exe или crack.exe (даже в корзине) снова его запускает резидентно, без всякого Русского интерфейса. Хотя, может это серверная часть. Валяется у меня с тех пор на флоппи. [s]Исправлено: APOSTOL, 16:34 14-03-2003[/s] |
V google-Panda active scan
|
Проанализируй, какие процессы "висят" в системе. Многие трояны маскируются под именами типа winsvr, winsvc, svchost (если NT-система). На NT-системе все упрощается: достаточно посмотреть, кто является владельцем процесса, т.е. тебя интересуют все процессы, запущенные текущем пользователем. Если владелец SYSTEM или LOCAL SERVICE, то все впорядке, т.к. под ними запускаются только системные службы. Троян не может быть с таким владельцем.
|
Компом нормальным обзавелся не так давно сейчас думаю о установке антивируса и файрвола программ куча.
помогите выбрать оптимальную для персонального, домашнего в сети находящегося часто. |
Выбери DrWeb, он маленький, удобный и качественный. Не даром же он один из лидеров (если не лидер :confused: ).
А ключ к рему ищи в разделе "кряковарез". :oszone: |
|
посмотрите топики "Файеры", "Антивирусные программы" и "Граждане подскажите какой антивирус ставить!"
|
М.п. подписка на DrWeb на год стоит всего 20 у.е. Неужели жалко заплатить за продукт, которым собираетесь пользоваться?
|
Не нравится мне этот DrWeb просто напросто принципиально, хотя я не сомниваюсь в его надежности. Как только я его начал ставить полезла куча всяких тупых вопросов в инсталляторе. В общем не нравится мне он из-за своего интерфейса, хотя мне всегда было насрать на интерфейс лишь бы прога была полезной, например Far, но это бьёт по нервам. А вообще как-то так сложилось, что пользуюсь Norton'ом, поставил и забыл :)
|
Фаервол советую взять Tiny Personal Firewall. От червей и троянов хорошо помогает Ad-aware. А вирусы валить - это F-secure или McAfee.
|
zigzag75 - Привет. Больше года пользую AVG 6. Обновления регулярные, троянов ищет. А брандмауэр - Outpost Firewall.
|
Norton AntiVirus Professional
Norton Personal Firewall Norton AntiSpam или Norton Internet Security Professional, который включает в себя выше написанные и ещё некоторые полезные утилиты. |
В принципе я тоже склоняюсь к Dr.Web, но хочу проконсультироваться как он под ХР, а то у меня были проблемы с Outpostom после установки у меня комп перестал грузиться точнее грузиться до определенного момента и заново начинает поэтому я его через Safe mode загрузил и снес всеравно систему пришлось востанавливать грохнулся кудато русификатор ХР
|
Цитата:
Ни вирусов, ни проблем... Всё замечательно. [s]Исправлено: zif, 4:13 17-03-2004[/s] |
ALLY a у тебя какой Windows не ХР часом, как себя ведет OUTPOST
|
как защиту от троянов используй Ad-Aware (лучше конечно в режиме монитора)
|
ad-aware у меня есть, но он английский где надыбать к нему русификатор
|
zigzag75
ну конечно не здесь, а в кряковарезе: http://forum.oszone.net/topic.cgi?fo...&topic=136 |
Dr.Web 4.31b рулит: вирусы вылавливает отлично и ресурсов ест немного. Пробовал AVP чуть ось не убил и ресурсов он ест немеренно. Про Norton плохого ничего не могу сказать, наравне с Dr.Web.
|
zigzag75, так что ты выбрал? :spy:
|
пожалуй Dr.Web я тут обзавелся все же диском с различными прогами данного профиля там их штук 5 разных лицензионных ,ребята на работе скачали вот и попробую.
А Outpost ставить не буду страшно аж жуть........:o |
:о) чего страшного? zigzag75 стоит на нескольких ХР и еще ни разу не начилал глючить раньше самой ХР :о/
...кстати вместе с ним стоит и Касперский :о) и ничего, все живы и здоровы, ничего не свалилось и не умерло! |
Цитата:
|
уменя троян как убить его касперский несправляется
|
кокой троян ???
если низнаеш то скажи каспер вообще его не ловит или ловит но не может удалить??? если не может удалить то зайди в сейв мод и запусти там касперского :biglaugh: |
Guest 217.114.8.*
см. Вирусная энциклопедия Касперского: Троянские кони |
Не всегда все так просто - AVP + Outpost. Все равно эта зараза проникает. У меня доктор. Поздно обновил и поплатился за это. В виндовскую директорию в \SYSTEM прописался rundll32.vbe - и пошло поехало, висюки, тормоза и пр. и пр. По сети с другого компа лечится. Если комп 1 - рекомендую проверить в ДОСе, надежнее.
[s]Исправлено: GiniBe, 12:11 29-05-2004[/s] |
Эй - умники - а логи не посмотреть?
Баним сайты *xxxtoolbar.com + по желанию всё что на автомате вылезает и даже спрашивать не будет! ------------best regards------------ ----------John Freeman------------- |
А как банить ?
|
|
* * * Для начала об Ad-Aware: Недавно они в очередной раз сменили формат файлов обгновлений сигнатур (в сторону уменьшеия размера, более чем в 2-3 раза), так что теперь надо опять озаботиться овой версией ПО. Не помню как было раньше, но теперь есь вполне бесплаьная вполне функциональная версия, так что ограничение на лицензионое использование теперь снимается.
* * * Среди прочего рекомендовал бы уделить внимание этому топику, посвященному объяснению причин необходимости решения вопроса безопасности своего ПК. * * * *Для такой дырявой системы как маздай, наличие такой вещи как Baseline Security Analyzer просто жизненно необходимо. Регулярно проверяйте уязвимость своей системы и обязательно применяйте все необходимые обновления безопасности. * * * * Ad-Watch, входящая в состав известной Ad-Aware является серьезным средством протеиводействия различным шпионским программным элиментом. Для большинсва пользователей вполне достаточно установить автозагрузку данного модуля, а все возникающие вопросы можно обсуждать в соответствующих форумах "Программное обеспечение Windows". |
Greyman
Цитата:
2) Об обновлении я решил не писать, хотя его видел, потому что его и так увидит каждый, кто зайдет к ним на сайт. 3) Ad-watch в бесплатную версию не включается , потому я так расписал бесплатный WinPatrol Добавлено: Greyman Цитата:
"передает всей линейке 9Х большой привет" - он их не поддерживает (и не идет и не сканит), так что musthave'ом ты его назвать, имхо, несколько поторопился. Вот список того, на чем он идет (взято с http://www.microsoft.com/technet/sec...ls/mbsaqa.mspx ) Цитата:
|
ShaRP
Цитата:
Цитата:
* * * А если серьезно, то ничего не поторопился. Во-первых, на текущий момент 9х системы имеют уже на порядок (если не более) меньшее количество критических уязвимостей, чем NT-based системы. Соотсветственно для них можно подобрать готовый комплект секурных обновлений и уже можно слегка передохнуть (тот же SP1.5 стороннего производства, для 98 ИМХО оптимальный вариант, единственный минус - он на локализациях как следует не откатывался, ну да это не смертельно, всегда можно обратно откатиться, если заранее этим озаботился). А вот для НТ-систем уязвимости ползут, как грибы после дождя, так что чтоб потом не валить все на плохих дядей-хакеров, лучше заранее об этом подумать. Ну а во-вторых, ни на одну новую машину 9х уже не стявятся (исключения делают только некоторые из тех, кто действительно могут неплохо самомтоятельно работать с компом и способны боротся с проблемами старой ОС с новым софтом и железом), а подавляющее большинство - это уже винХР. Единственный общим глючным звеном, которое связывает эти типы систем и для контроля за безопасностью к-ого также служит BLSA, так это маздаевский эксплорер. Но, как ты справедливо заметил, ни что не мешает пользоваться альтернативными браузерами. |
В и-нете куча всего прог на эту тему... Да и в форуме часто встречалось че-то подобное...
|
Появилась в нете в последнее время гадость, из-за которой можно попасть на бабки.
Это маленькая програмка, которая сама собой инсталируется, не записываясь на рабочий стол и в Пуск. Это програмка дозвона в интернет в кредит (15 рублей в минуту). Когда обрывается связь вашего провайдера, в действие вступает она. Причём никакого окна не видно. И чтобы прекратить действие, надо жать ресет. Но если в это время вы не были около компа...страшно подумать. Norton Antivirus её не видит. |
ИМХО это вечная тема, пока существует и-нет...
|
Цитата:
Цитата:
Цитата:
Цитата:
|
Трояны | Umbriel-A (UBR2.exe)
С недавнего времени , после загрузки Windows , в процессах начал висеть ubr2.exe.
Раньше его никогда небыло , я подумал МОЖЕД ЭТО КАКОЙ-НИБУДЬ ТРОЯН ! И удалил его из папки C:\Windows\system. Теперь при загрузки Windows пыдаёт ошибку что не найден файл ubr2.exe Но Windows при этом работает нормально. Так вот хочу узнать это троян или это Windowsовский файл ? И если он Windowsовский , то почему он раньше не весел в процессах ? И за что он отвечает ? |
Barada
Троян это. Вроде эта шняга его убивает. |
Нет , она его не убивает , она Windows убивает :)
После использования этой шняги пришлось ВИНДУ переставлять , она грузит её в безопасном режиме и всё , ничего сделать не получается , а когда загрузит в безопасном , то на рабочем столе никаких значков , кнопки пуск тоже нет , вобщем ничего нет. |
Цитата:
|
Трояны | Agobot.NIB aka W32.hllw.gaobot
Уважаемые участники форума, надеюсь, правильно выбрала раздел. Пользуюсь Win XP и подцепила троян Agobot.NIB, в папке \system32 засел файл winhlpp.exe и перманентно загружает комп или начинает очень сильно пожирать ресурсы. Несколько раз удалила его, пробовала вылечиться антивирусами NOD32 и DrWeb, однако он все равно появляется вновь и вновь. system restor у меня выключено. Как излечиться от этой заразы???
|
Очевидно он по новой приходит из И-нета. Вывод: поставить файерволл.
|
Описание, методы лечения, методы профилактики - W32.hllw.gaobot
|
Firewall стоит но заглучил бат и я буквально на секунду отключила Firewall вот и подцепила
|
теперь Вы проверили на личном опыте, что фаервол отключать находясь в сети крайне не рекомендуется...
|
Не удаляемая зараза типа вируса или трояна
Поймал в инете заразу. BTGrab.dll. Сидит в c:\windows. Из под виндов не удаляется. Запустил под DOS. Включил ntfsdos, попробовал удалить. Нет доступа. Включил vc. Попробовал изменить атрибуты, отказывается ссылаясь на неправильную дату\время. Что с инфекцией делать? Как боротся? За счет чего она такая упорная?
|
Рекомендую взять process explorer от sysinternals.com, и вычислить к какому процессу она цепляется (вероятно, explorer). Затем убить процесс и удалить dll. Переношу в ИБ.
|
hassisin
Попробуй сделать следующее:
|
Blast, Google рулит, да? Я даже поленился вбивать длл-ку в поисковик ;-)
|
Vadikan
В данном случае я тоже поленился, помог не гугль, а http://www3.ca.com/securityadvisor/ ... |
для таких случаев лучше всего имхо орк - загрузочный сидюк.
|
Цитата:
|
Ну, спасибо всем. Вроде удалил. Однако остались последствия: Если на рабочем столе пытаешся создать папку, или ярлык, или перенести на него файл, они появляютмя только после перезагрузки. Переставлять систему вломы. Чо делать то?
|
hassisin
И что, обновление раб. стола не проявляет эти созданные объекты? |
Вышел свежий неплохой обзор anti spyware программ, опубликованный в журнале pc magazine (пока на английском). Наглядно результаты обзора представлены в сравнительной таблице (если не будет отображаться, проверьте свои "резальщики рекламы". У меня Outpost гасил ее по ключу "00.gif"). Описание тестирования (повторюсь - на английском) представлено здесь. А здесь - начало самого обзора. Думаю со временем выйдет и русскоязычная версия обзора, но уже сейчас, выявившийся лидер Spy Sweeper, ИМХО заслуживает пристального внимания.
Большое спасибо Vadikan'у за наводку на данный материал. |
Цитата:
|
Интересный момент: я много-часто дёргал гугль в поисках чего-то-там-уже-не-помню, в результате гугль меня заподозрил в гадостях :) и отослал на свою страничку, посвященную antivirus'ам и адаварям. Первым в списке убийц стоит Ad-Aware SE Personal edition, for free. Кто юзал? Или это такой рекламный ход?
|
hasherfrog
Цитата:
|
Привет.
сразу вопрос - а почему не задевают антиспайварьный софт самого Билла? там есть встроенный монитор А вообще вопрос в другом: есть ли там закладки, посылающие инфу на microsoft.com, и можно ли от них избавится? Извините, что не вовремя, но интересно |
Shamil
Цитата:
Цитата:
|
Очень хорошая бесплатная программа Олега Зайцева, на мой взгляд гораздо лучше Ad-aware и Спубота
http://z-oleg.com/secur/avz.htm Антивирусная утилита AVZ предназначена для обнаружения и удаления: * SpyWare и AdWare модулей - это основное назначение утилиты * Dialer (Trojan.Dialer) * Троянских программ * BackDoor модулей * Сетевых и почтовых червей * TrojanSpy, TrojanDownloader, TrojanDropper Утилита является прямым аналогом программ TrojanHunter и LavaSoft Ad-aware 6. Первичной задачей программы является удаление SpyWare и троянских программ. Особенностями утилиты AVZ (помимо типового сигнатурного сканера) является: * Обновляемая база безопасных файлов. В нее входят цифровые подписи десятков тысяч системных файлов и файлов известных безопасных процессов. База подключена ко всем системам AVZ и работает по принципу "свой/чужой" - безопасные файлы не вносятся в карантин, для них заблокировано удаление и вывод предупреждений, база используется антируткитом, системой поиска файлов, различными анализаторами. В частности, встроенный диспетчер процессов выделяет безопасные процессы и сервисы цветом, поиск файлов на диске может исключать из поиска известные файлы (что очень полезно при поиске на диске троянских программ); * Встроенная система обнаружения Rootkit. Поиск RootKit идет без применения сигнатур на основании исследования базовых системных библиотек на предмет перехвата их функций. AVZ может не только обнаруживать RootKit, но и производить корректную блокировку работы RootKit для своего процесса. Противодействие RootKit распространяется на все сервисные функции AVZ, в результате сканер AVZ может обнаруживать маскируемые процессы, система поиска в реестре "видит" маскируемые ключи и т.п. Антируткит снабжен анализатором, который проводит обнаружение процессов и сервисов, маскируемых RootKit. Одной из главных на мой взгляд особенностей системы противодействия RootKit является ее работоспособность в Win9X (распространеннное мнение об отсуствии RootKit, работающих на платформе Win9X глубоко ошибочно - известны сотни троянских программ, перехватывающих API функции для маскировки своего присутствия, для искажения работы API функций или слежения за их использованием). * Детектор клавиатурных шпионов (Keylogger) и троянских DLL. Поиск Keylogger и троянских DLL ведется на основании анализа системы без применения базы сигнатур, что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger; * Нейроанализатор. Помино сигнатурного анализатора AVZ содержит нейроэмулятор, который позволяет производить исследование подозрителных файлов при помощи нейросети. В настоящее время нейросеть применяется в детекторе кейлоггеров * Встроенный анализатор Winsock SPI/LSP настроек. Позволяет проанализировать настройки, диагностировать возможные ошибки в настройке и произвести автоматическое лечение. Возможность автоматической диагностики и лечения полезна для начинающих пользователей (в утилитах типа LSPFix автоматическое лечение отсутствует). Для исследования SPI/LSP вручную в программе имеется специальный менеджер настроек LSP/SPI. На работу анализатора Winsock SPI/LSP распространяется действие антируткита; * Встроенный диспетчер процессов, сервисов и драйверов. Предназначен для изучения запущенных процессов и загруженных библиотек, запущенных сервисов и драйверов. На работу диспетчера процессов распространяется действие антируткита (как следствие - он "видит" маскируемые руткитом процессы). Диспетчер процессов связан с базой безопасных файлов AVZ, опознанные безопасные и системные файлы выделяются цветом; * Встроенная утилита для поиска файлов на диске. Позволяет искать файл по различным критериям, возможности системы поиска превосходят возможности системного поиска. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом файлы и может удалить их), фильтр позволяет исключать из результатов поиска файлы, опознанные AVZ как безопасные. Результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно пометить группу файлов для последующего удаления или помещения в карантин * Встроенная утилита для поиска данных в реестре. Позволяет искать ключи и параметры по заданному образцу, результаты поиска доступны в виде текстового протокола и в виде таблицы, в которой можно отметить несколько ключей для их экспорта или удаления. На работу системы поиска распространяется действие антируткита (как следствие - поиск "видит" маскируемые руткитом ключи реестра и может удалить их) * Встроенный анализатор открытых портов TCP/UDP. На него распространяется действие антируткита, в Windows XP для каждого порта отображается использующий порт процесс. Анализатор опирается на обновляемую базу портов известных троянских/Backdoor программ и известных системных сервисов. Поиск портов троянских программ включен в основной алгоритм проверки системы - при обнаружении подозрительных портов в протокол выволятся предупреждения с указанием, каким троянских программам свойственно использование данного порта * Встроенный (и защищенный антируткитом) анализатор общих ресурсов, сетевых сеансов и открытых по сети файлов. Работает в Win9X и в Nt/W2K/XP. |
Статья по обсуждаемой теме от того же автора, что и программа, упомянутая das'ом - SpyWare, Trojan, Backdoor ... - угроза безопасности вашего ПК
|
AVZ понравился, даже очень. Например, нашел TrojanDownloader.Win32.INService.i и TrojanDownloader.Win32.Small.aao, один из них - в файле ietcom.dll, который в свое время прозевали NAV (хотя и ликвидировал вторичный файл этого йетком-а - dmstwe.exe) и множество anty-spyware программ.
Отмечу это: "...что позволяет достаточно уверенно детектировать заранее неизвестные троянские DLL и Keylogger" - да, действительно нюхает хорошо, убедил несколькими примерами! Но то же время он пропустил Trojan dropper в Downloaded Program Files\#.exe, которого, расшевеленного от спячки сканированием AVZ, мигом стащил у него и сожрал NAV. :tongue: Это в который раз подтверждает, что для более-менее спокойной жизни надо иметь парочку антивирусов и пол-дюжины антишпионов. Другое дело, что тогда половину времены надо отвести на обслуживание всего этого софтяка. [Кстати, не по теме, но к слову - а может, косвенно и по теме - если станете бить мою голову на метод полного просмотра и доступа ко всему содержимому фолдера Downloaded Program Files, буду признателен!] |
Есть еще 2-ва класса программ, предоставляющими профилактическую защиту от различны вредоносных воздействий:
1. Драйвера-"песочницы" системных процессов, осуществляющие жесткий контроль за всеми процессами происходящими в системе. Один ин представителей такого ПО является "DiamondCS ProcessGuard" 2. Программы, автоматически восстанавливающие первоначальное состояние системы после перезагрузки, независимо от произошедших перед перезагрузкой изменений в вистеме. Примерами такого ПО могут служить "Deep Freeze" и "ShadowUser" (обсуждение велось в этой теме). |
Непонятный троян
Я здесь (в инете) новичок,если кто поможет,буду благодарен.
Суть: При работе в windows xp sp2 после подключении к интернету (диал ап) и во все ввремя подключения с периодичностью в 3-5 минут выскакивает сообшение: Цитата:
|
kurgan
это не троян, это разновидность спама приходящего через службу сообщений подробнее здесь: In english: На русском: |
т.е мне просто нагло предлагают скачать и установить их программный продукт???? Спамеры???? Это, мягко говря, наглость.
|
Цитата:
|
спасибо, щас попробую отрубить брандмауэром
|
kurgan
Если речь о домашнем ящике, то как по мне проще отрубить вобще службу сообщений, так как дома по диал-апу ты все равно не сможешь получать востребованные сообщения (IP ведь динамический), да и в офисе я, например, крайне редко использую net send, тем паче что отключение службы сообщений повлечет за собой лишь невозможность получать сообщения через net send, но позволит отправлять сообщения. |
Цитата:
1) Цитата:
Цитата:
|
Цитата:
Пуск/выполнить пишем 2 команды sc stop messenger sc config messenger start= disabled и радуемся жизни, а ещё лучше ставим фаервол. |
Как защититься от троянов!!!
Привет всем!
Такая штуковина, рассказываю: надо было мне залесть сюда (http://www.crackz.ws), ну надо и все!!! Но оттуда вдруг повалило такое!!!! само стало прописываться на автозапуск всюду, лезть в системные папки винды, и главное даже не спрашивает ничего, прет и прет, фриц паршивый. :-((((( Я запретил писать в системные папки винды, так оно на мой профиль в десктоп записалось, сволочь. И главное все ехе-шники и длл-ки. В експлорере настройки безопасности по умолчанию, перед заходом на сайт никакой троян не сидел, сеть рутит ИСА сервак, я за его стеной. Винда ХР СП2+ апдайты. Ну не лох я вроди бы,а вот это никак понять не могу, каким макаром Интернет експлорер пропускает ехе-шники в систему, позволяет прописаться в реестре и вообче сделать с виндой все, что угодно. Таким же макаром можна и вирусы пихать, а это уж очень и очень!!!! ПОМОГИТЕ, ЛЮДИ ДОБРЫЕ, УМНЫМ СОВЕТОМ, как мне этот беспредел остановить (не лазить туда и прочее на эту тему не предлагать, вопрос здесь ставиться не этического содержания, а чисто профессионального)!!! |
Цитата:
Желаю успехов. |
Цитата:
До новых встреч в эфире!!! :biggrin: |
Цитата:
Цитата:
|
Я смотрю ты оказывается продвинутый юзверь!А если в инет вообще не лазить то и проблем не возникнет!
Если ты прислушиваешься к рекомендациям "милкасофт" то и юзай стандартный брэнмауэр милкасофта! А самое главное когда в будующем будеш ставить новый софт то обязательно изучи лицензионное соглашение и не забудь купить лицензионный виндовоз!!! |
sergey_dsv
Цитата:
Цитата:
Цитата:
И вообче! На форуме не место для подобной туфтологии и перепалки! Лучше давайте в теме разберемся, может что-то и получится!!! |
Единственный мой совет установить фаервол, настроить его как положено и забыть про всякую нечесть с инета. Если ты сильно доверяешь Мелкомягким то пользуй ихний брэнмауэр. Просто твое высказывание что Microsoft не рекомендует исползовать фаерволы в сетях чисто порвало на куски. Лично я нахожусь тоже в локальной сети в которой порядка 3000 (трех тысяч) машин. Есть конечно пользователи у которых ничего не установлено из защиты, но в большинстве установлены антивирусы и фаерволы. И то проблем хватает. И запомни одно правило в сети: как бы нибыл настроен и защищен главный сервер, на то он и сервер, а индивидуальная защита еще ни кому не повредила.
|
О! Входим в доверие друг другу! :-)))) Енто радует!!!
На счет такого Цитата:
Слушай, а почему никто не говорит например о ограничениях, которые можно выставить в самом браузере, ну типа отключить джава и т.д???? Да и прочая теория нашему сообществу не повредит! Как оно там работает и т.д. Ведь тот самый Експлорер имеет с десяток-другой настроек безопасности для разных зон интернета, но что-то я не шибко сильно о них слышал. Так же запретом на запись в ветки реестра, которые отвечают за туж стартовую страницу можно отрубить тварям менять настройки (но в этом случае юзер тоже их не изменит, но речь не об его привелегиях, да иму и не надо) и т.д. И вообче: как же теоретически всякая нечисть внедряется к нам! К учету то что сегодня пятница, 13 и полнолуние можно не брать! |
Если честно очень давно не пользую IE. Ни дома ни на работе. Перешел на Mozilla Firefox и на Opera. Ну и конечно антивирус и фаервол.
Правда недавно для пробы установил антивирус Avast в котором имется фунция фаервола блокирующая сетевые атаки. Два месяца полет нормальный. В принципе вот и все критерии по которым я защищаюсь. Больше я тебе советовать не буду. Решай сам что лучше. |
для windows рецепт не сложен: opera (вообще-то, главное, что не IE, но я выбираю оперу) + файрвол грамотно настроенный (!!!) + антивирус + минимум прав + грамотный серфинг. нужно пойти на crackz.ws? ну отлючите в опере плагины и javascript + проверяйте все скачанные файлы и кэш и всё будет хорошо.
|
Меня эти трояны и вредоносные скрипты тоже достали одно время, я уже хотел в серьез пересесть на Windows 3.11. А чего, для них можно найти и IE, и Netscape 16 bit, и поддержку TCP-IP, в общем, все что надо для лазанья в интернет. А под 16-битной системой ни один троян жить не будет, и в реестр ничего вредоносного не пропишут при всем желании, ибо реестра нет вообще. Ну просто непробиваемая защита!
|
это всеравно что пересесть с мерседеса на запорожец
|
Цитата:
|
Антивирус Касперского не обнаруживает троянскую программу
почему Антивирус Касперского
совершенно не обнаруживает троянскую программу Trojan horse BackDoor.Agent.2.H Обнаружил случайно, поставив ради интереса AVG Antivirus, хотя подозрения были уже давно. Проблема в том, что после загрузки и каждый раз при входе в ИНТЕРНЕТ приложение SVCHOST.EXE требует отправки UDP пакетов на адрес: 239.255.255.250 удаленный порт 1900, 1900,123, 3013 локальный порт 3007, 3014,123,3013 (отправка заблокирована АНТИХАКЕРОМ КАСПЕРСКОГО) Отправку пытается осуществить приложение Generic Host Process for Win32 Services. Вопрос:- Это что вирус? Как можно узнать что за информация в этом UDP пакете? - Что это за адрес 239.255.255.250, куда осуществляется эта отправка? - Что будет с системой если удалить SVCHOST.EXE ? - И как прекратить эти попытки отправок ? - Теперь сомневаюсь в доверии Антивирусу Касперского? Касперский Антивирус имеется, вовремя обновляется,регулярно проверяет систему, никаких тревожных сигналов, ничего не находит. |
2678
1) В каком файле "AVG Antivirus" обнаружил троян? В самом SVCHOST.EXE? 2) Описания вирусов есть на сайтах многих производителей ПО, возможно можно найти и этот. В ИБ есть соответствующая тема, посвященная этому вопросу, посмотри там. 3) Чтобы смотреть, что содержиться в пакетах, необходимо использовать снифферы. Подробнее - в поиск. 4) Как искать информацию об интернет адресах посмотри в теме про определение IP в Интернете (находиться в ХВЗ или в Сетях, точно не помню). 5) Если удалить "настоящий" SVCHOST.EXE, то не будут работать многие службы и приложения, в т. ч. сеть. Некоторые вирусы маскируются, заражая не сам системны файл, а создавая такой же, но в другом месте. В таком случае подобный файл м/б удален (но сперва необходимо проверить правильность). 6) Сетевой трафик легко блакируется соответствующими настройками ПСЭ, КАВ Антихакер у тебя вроде нормально с этим справляется, но можно проверить, прописано ли там соответствующее постоянное правило. 7) На счет надежности, здесь много "если" и "или". Во-первых, AVG мог ошибиться, во вторых, у тебя может быть слишком старая версия касперского (ты так и не написал, какую версию ты используешь). В инете есть несколько ресурсов, где можно проверять файлы сразу несколькими антивирусам, вон там можно более серьезно судить о надежности по выявлению вирусов конкретного типа. Примеры таких ресурсов указаны в объявлении в данном разделе, отправь туда "завирусованный" файл, чтобы определить, кто и что там находит. Если касперский таки его найдет, то проблема не в нем, а твоей системе и в версии. |
2678: Вот здесь глянь... и дальше по ссылкам. Эта проблема появляется с периодичностью пару раз в месяц.
ЗЫ: и переименуй тему поосмысленнее, пока ее не закрыли за несодержательность заголовка. |
Прошу прощения, троян был на рабочем (общем) компе, с ним я разобрался, был он в игрушке ( вместе с игрой и выкинул). А, вот проблема с SVCHOST на домашнем, и как разобраться с этой проблемой пока не знаю? |
|
Help:Сдуру запустил трояна...
В результате: 1) при запуске системы непонятно откуда запускается проводник. При каждом запуске проводника комп ломится куда-то в интернет.
2) Жутко плодятся процессы под названием services.exe. Антивирусная программа ничего не находит. В реестре ничего криминального вроде не запускается. Что с этим делать?? |
d_joy
Этот servises.exe - и есть троян, про который можно прочитать здесь. (В Note). |
Вроде ничего подобного вин_таскс не показал.... То есть все запущеные services.exe вроде один и тот же файл. Проблема в том, что после повторного запуска проводника они съедают всю свободную память.
|
Могу посоветовать malware scanner a-squared .
|
d_joy
Цитата:
|
Пробовал Dr.Web, NOD32. В первом базы обновлял вчера, второй токо вчера скачал...
|
Ура!!! Я победил. Касперский его обнаружил!!!
|
Цитата:
|
Троян?
На главном компьютере какой то троян стоит от которого ни как не избавится. Он постоянно мешает работе сети, перегружает весь трафик, запускает иногда непонятные сайты. Фаервол спасает только один компьютер, при включении второй вырубается с ним. да и вообще не выход спасаться одним фаерволом, его необходимо как то удалить или обезвредить хотябы.
Постоянно что-то сканируется и тут же блакируется в netbios, mssecure.exe, winlogon.exe, winws.exe непонятные v1021.exe . Вобщем на компьютере полный hell и я не знаю что с этим делать. Думаю может купить по новей винду, у меня хп. Незнаю, поможет ли. |
HUMN
Цитата:
Если вы не особо разбираетесь, то доверьте это дело человеку, который в этом понимает. А точнее, попросите человека из сервисного центра, ну или на крайний случай из компьютерного магазина, придти к вам и установить антивирус с последними обновлениями антивирусных баз. А заодно пусть и проверит ваш комп на наличе вирусов. У этого же человека и проконсультируетесь по дальнейшим вашим действиям. Это обойдется куда дешевле, чем покупка новой винды... |
Закалибал троян.
Поставился троян, вроде процессы поубивал файлы трояна удалил, но только interner explorer постоянно выкидывает окна и рекламу подгружает, мож кто подскажет как избавиться от етой хрени.
Проверял антивирусом и Ad-Aware SE Personal, один хрен окна выкидавает. |
Ad-Aware обновлял ? Проверься в Безопасном режиме.
Цитата:
|
Ad-Aware обновлял, я так понял он каким-то макаром интегрировался в браузер.
|
Посмотри в реестре внимательно. Только сегодня рассказывал на курсе, как это делать. Приводить весь курс не смысла. Короче - в реестр! В реестр!
|
VladimirB: весь курс приводить не надо, а вот выдержки привел бы. А то совет
Цитата:
> Megacucumber: команда msconfig, закладка Автозагрузка - приведи содержимое. Какой антивирус? |
Может хоть подскажите где примерно искать? Ато реестр большой.
sd:\WINDOWS\Downloaded Program Files вот тут 2 левых файла нашёл, удалил вроде браузер повисать перестал, но окна один хрен выкидывает и ещё в избранное ссылки добавляет левые. |
Цитата:
|
Мета обитания spyware
Более конкретно что произошло?
Да, учтите, не всегда msconfig покажет все, что грузится через автозагрузку! Настройка IExplorer с помощью реестра В этом разделе названия опций говорят сами за себя, поэтому даны только краткие комментарии. IExplorer: Hide General Page from Internet Properties Чтобы спрятать вкладку Общие в параметрах Internet Explorer'a, добавьте в реестр: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "GeneralTab"=dword:1 IExplorer: Hide Securiry Page from Internet Properties Чтобы спрятать вкладку Безопасность в параметрах Internet Explorer'a, добавьте в реестр: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "SecurityTab"=dword:1 IExplorer: Hide Privacy Page from Internet Properties Чтобы спрятать вкладку Конфиденциальность в параметрах Internet Explorer'a: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "PrivacyTab"=dword:1 IExplorer: Hide Content Page from Internet Properties Чтобы спрятать вкладку Содержание в параметрах Internet Explorer'a, проведите соответствующие изменения в реестре: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "ContentTab"=dword:1 IExplorer: Hide Connections Page from Internet Properties Чтобы спрятать вкладку Подключения в параметрах Internet Explorer'a, добавьте в реестр: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "ConnectionsTab"=dword:1 IExplorer: Hide Programs Page from Internet Properties Чтобы спрятать вкладку Программы в параметрах Internet Explorer'a: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "ProgramsTab"=dword:1 IExplorer: Hide Advanced Page from Internet Properties Чтобы спрятать вкладку Дополнительно в параметрах Internet Explorer'a, добавьте в реестр: [HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel] "AdvancedTab"=dword:1 IExplorer: Change Default Download Path Для изменения папки для закачек по умолчанию добавьте ключ с именем вашей папки: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer] "Download Directory"="C:\ My Downloads" IExplorer: Wallpaper for Internet Explorer Toolbar Для изменения обоев для панели инструментов добавляем ключ: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar] "BackBitmap"="c:\ папка\ имя_файла" IExplorer: Change Internet Explorer Large Animation Замена эмблемы IE Для этого необходимо два изображения. Первое размером 38х38 пикселей, а второе 22х22. Если захотите вернуться к значениям по умолчанию, то либо удалите ключи, либо присвойте им пустые значения. Итак, добавляем ключ: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar] "BrandBitmap"="c:\ папка\ имя_файла_1" IExplorer: Change Internet Explorer Small Animation И добавляем еще: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar] "SmBrandBitmap"="c:\ папка\ имя_файла_2" IExplorer: Remove the Outlook Express Splash Screen Не показывать заставку при загрузке OE. Измените значение ключа с 0 на 1: [HKEY_CURRENT_USER\ Identities\ {8D48CF80-251E-46D0-9EAF-6633E2DBD392}\ Software\ Microsoft\ Outlook Express\ 5.0] "NoSplash"=dword:1 IExplorer: Change the Outlook Express Title Bar Для изменения заголовка окна OE добавьте ключ: [HKEY_CURRENT_USER\ Identities\ {8D48CF80-251E-46D0-9EAF-6633E2DBD392}\ Software\ Microsoft\ Outlook Express\ 5.0] "WindowTitle"="ваш заголовок" Добавление вашего текста к стандартному заголовку IE Чтобы добавить ваш текст к стандартному заголовку IE, добавьте в реестр ключ: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main] "Window Title"="ваш заголовок" IExplorer: Auto Complete Feature IE имеет режим Автозаполнение, то есть он может запоминать, какие данные и пароли вы вводите в веб-формах и пользуясь этой "памятью" помогает вводить данные в дальнейшем. Хотя это хорошая особенность, но она может привести к проблемам защиты. Для включения возможностей автозаполнения измените или добавьте три ключа: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main] "Use FormSuggest"="yes" "FormSuggest Passwords"="yes" [HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ AutoComplete] "AutoSuggest"="yes" IExplorer: Disable the Ability to Customize IE Toolbar Запрет возможности изменения панели инструментов IE Для запрета возможности изменения панели инструментов IE измените значение ключа с 0 на 1: [HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer] "NoToolbarCustomize"=dword:1 IExplorer: Disable Internet Explorer Auto-Updates Для запрета автообновления IE измените значение с 0 на 1: [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main] "NoUpdateCheck"=dword:1 IExplorer: Disable Smart Favorites Menu Feature По умолчанию редко используемые элементы меню Избранное не отображаются. Для отключения этой особенности нужно изменить значение ключа с "YES" на "NO": [HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main] "FavIntelliMenus"="NO" IExplorer: Delete Content Advisor Password Для удаления пароля на изменение настроек свойств обозревателя на закладке Содержание удалите ключ: [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Ratings] "Key"=- Итак, основные места регистрации spyware в реестре: Ключ HKCR В этом ключе прописываются в основном spyware-модули, выполненные в виде COM-объектов. Вручную вычистить оттуда ссылки на spyware вы вряд-ли сможете, так как уж очень много информации в этом ключе. Для вычистки этой ветки лучше воспользоваться spyware-сканером. Также встречаются случаи, когда spyware переопределяет на себя регистрацию какого-либо известного типа файлов. В этом случае можно, например, дважды щелкнув по иконке документа Word, попросить spyware заново зарегистрировать себя в системе и начать творить свое черное дело. Общий рецепт борьбы с этим: 1. Открываете редактор реестра. 2. Переходите на ключ HKCR\.ext (где .ext – расширение нужного типа файлов). 3. Смотрите значение ключа по умолчанию (например, «Word.Document»). 4. Идете на ключ HKCR\type (где type – значение ключа по умолчанию, полученное на предыдущем шаге). 5. Анализируете значения подключей shell\open\command, shell\edit\command, shell\print\command. Ключ HKCU Из всех подключей ключа HKCU для нас важнейшим является, безусловно, подключ Software\Microsoft. Ниже – краткий перечень подвергающихся атаке мест в этом подключе: • HKCU\Software\Microsoft\Internet Explorer, значение «SearchURL». • HKCU\Software\Microsoft\Internet Explorer\Main, значения «Default_Page_URL», «Default_Search_URL», «Local Page», «Search Bar», «Search Page», «Start Page». • Все подключи ключа HKCU\Software\Microsoft\Internet Explorer\MenuExt. • Ключ HKCU\Software\Microsoft\Internet Explorer\Search, значение «SearchAssistant». • Ключ HKCU\Software\Microsoft\Internet Explorer\SearchUrl, значение «provider». • Все подключи и значения HKCU\Software\Microsoft\Internet Explorer\Toolbar (здесь селятся тулбары, как вы догадались). • Все значения ключа HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks. • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Run. • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce. • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell • Ключ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run • Ключ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, значение «Load» • Ключ HKCU\Software\Policies\Microsoft\Windows\System\Scripts • Ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Ключ HKLM • Все значения ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs • Все подключи HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions • Ключ HKLM\SOFTWARE\Microsoft\Internet Explorer\Main, значения «Default_Page_URL», «Default_Search_URL», «Local Page», «Search Page», «Start Page» • Ключ HKLM\SOFTWARE\Microsoft\Internet Explorer\Search, значения «CustomizeSearch», «SearchAssistant» • Все значения ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar • Все подключи ключа HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad • Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, значение «AppInit_DLLs» • Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение «Userinit» • Ключ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, значение «Shell» • Ключ HKLM\Software\Policies\Microsoft\Windows\System\Scripts • Ключ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Далеко не все места регистрации spyware в реестре перечислены выше. Всего не знает никто, к сожалению. PS А курс я все же отчитал сегодня :) Приятно! PPS Я ж его не слушаю! Я его автор :) |
может все же стоит попробовать Opera 9.01
только предварительно удалив ослика. _______________________________________________________________________ Нужно быть действительно великим человек, чтобы устоять против здравого смысла. |
Shumakov
Такой вариант не всегда оправдан. Т.е. существует куча приложений, в которых корректно работает только IE |
В internet explorer ставится 'хитрая куки' и сразу начинает выкидывать левые окна, отключаю получение всех куки - окна не выскакивают, вопрос: что заставляет ie ставить эту куки?
Вот эта куки |
|
Как избавится от трояна "services.exe"
С недавнего вермени появилась эта гадость на компе, плодятся процессы services.exe. При админе еше можно работать но в юзвере совсем не возможно жрет проц. ХР СП2, антивирус symantec 10й ничего найти не может. Подскажите как избавится от него!
|
Ну вообще-то процесс с таким именем существует и в нормальной системе. Если это действительно троян, попробуй просканировать программой Ad-Aware к.-нибудь последней версии с обновленными базами.
|
Что то их слишком много для обычных процессов, 4 шт. Скачал Ad-Aware SE, шас обновится попробую просканить.
|
Forest_G: не пробовал команду msconfig пользовать? Там же: если процесс с именем системного стартует откуда -либо, кроме windows\system32 - возможно, он не совсем системный; другим антивирусом проверь, тем же Касперским с последними базами, хоть он и не сильно антитроян.
|
В msconfig ничего подозрительного не нашол, все равно отключил там все лишнее.
Создал нового пользователя с правами юзера, стало творится что то совсем ужасное, система корректно работает только с правами админа!! отсальные просто не грузятся совсем, вот что творится в процессах при в ходе в систему нового пользователя... обратите внимание на процессы пользователя admin1!  просканил ad-aware постоянно находит следушее обьекты например: MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw кто-нить может обьяснить что это такое??? |
А в безопасном режиме есть ли этот процесс?
|
все кажется этот кошмар кажется закончился, после прочистки каспеским. Правда были еше проблемы не запускался explorer при в ходе в систему, но это решилось обнулением ключа "Debugger" в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]. "Debugger"="".
Всем спасибо! |
И,что Касперский нашел?
Поделись с обществом! И как Касперский ужился с Симантеком? |
Forest_G: присоединюсь к вопросам 100269: что было-то? На Нортоне свежие базы?
|
Скачал я недавно один загрузочно-востановочный диск, с симантеком и прочим барахлом, для удаления всякой дряни с компа, с красивым названием "KasperSky6EmergencyCD")). Ну так вот заргузился я с него просканил сисему, он нашол кучку троянов семейсва "Вирус-червь", обезвредил и после некоторых вышеизложеных проблем все заработало как прежде!
Еще что хотел спросить! какие профилактические работы провести во избежания всевозможных сюрпризов, (пароли сменить или еще чего где проверить) мало ли какую информацию обо мне он успел собрать-отослать?! |
Forest_G:
1) Установить антивирус в системе и запускать его при работе в инете или с левыми дисками. 2) установить файрвол - тогда никто без твоего ведома ничего никуда не отошлет. |
На самом деле, тот же троян можно было вначале попробовать поискать руками. Просто в автозагрузке. А наилучший выход - загрузка под "диском спасени". Что-то типа аварийного диска из комплекта KAV/KIS 6.0 Т.е. загрузиться под чистой системой и проверяться.
А что вирус успел натворить - посмотри какой вирус найден и далее в вирусную энциклопедию. :) |
Не могу удалить троян\вирус с XP
Перезагружаю комп, а после перезагрузки, когда появляется рабочий стол выпригивает сообщение:
Registry Procector – Trojan tender HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nod32kui (Sttartup With Windows) Value: “C:Programm files\nod32kui.exe” /WAITSERVICE Has been added .,recover it С предложением нажать: Да и нет Что это такое: Вирус троян ещё что-то. У меня такие проги, что я не могу их сломать кроме Каспера, а он почему-то не хочет их удалят, только показывает что они в списке, а я думаю как их удалить. И ещё показывает время 01:06, хотя сейчас 13:06 |
NOD32 - это у тебя антивирус. Он запускается вместе с Windows, вот и ругается (наверно встоенный брандмауэр).
|
А как быть с не правильным временем
|
united
Время возможно слетает из за мёртвой батарейки на матери. А что касаемо пары NOD + Kaspersky, то это гремучая смесь! ;) если я правильно понял, они оба установлены. надо кого то из них удалить. |
Цитата:
Или оставить из компонентов только Анти-Хакер и Сканер (не монитор!), тотя я больше предпочитаю связку NOD32 + Outpost или Comodo + сканер Dr.Web для подстраховки. Цитата:
|
В случае если вы хотите оставить оба антивируса необходимо ставить монитор только у одного из них (лучше при установке оставлять один!)
|
united
Цитата:
Исправить можно: Панель управления - Язык и региональные стандарты - Региональные параметры - Настройка - Время. |
Недавно запустил и радуюсь двумя замечательными сканерами из обсуждаемой области.
AVG Anti-Spyware Free Edition - бывший Ewido Anti-Spyware - http://free.grisoft.com/doc/avg-anti.../lng/us/tpl/v5 Бесплатный отличается от платного тем, что не имеет автоматические обновления и, что главное, - постоянную резидентскую службу; она остановливается после 30 дней... Но сканер - серьёзный. и A-Squared Free - только сканер - http://www.emsisoft.com Оба они, после опробования нынешнего общесетевого хита - XoftSpy (имеющего в данный момент несколько хозяйнов, один - ParetoLogic) - да и после AdAware, чего греха таить :) - произвели впечатление. Пока что опознавали всё, что ловил NAV, и больше. Я даже пошёл на то, чтобы прописать их в проводнике! :) Также нельзя не отметить, что незаслуженно забыт и не оценён A-Squared HiJackFree - http://www.emsisoft.com Видимо, у программ тоже своя судьба, как и у людей. Как говорится в пословице, у кого-то хлопок гремит, а у кого - и золото молчит. :) |
На данный момент есть вещички покруче меня порадовал Microsoft Windows Defender
Дефендер я отсканил комп он чекнул реестр и все жесткие диски ну и обнаружил порядка 10 троянов в том числе делающих мой комп ботом:)))))))))) Правда дефендер тока для лицензии, на пиратку не поставишь (если руки не из того места:)) еще есть у него плюс он работает также как встроеный windows firewall ресурсы почти не жрет если только не врубаешь на полную проверку)))))) |
Цитата:
За 2 последних года я опробовал (с точки зрения чайника) все самые известные по теме - хиты, так сказать. Aluria SpyWare Eliminator Sunbelt Software CounterSpy (этот - вообще липа; недавно прочитал на указанном сайте, что он ищет троянов по именам (известных) файлов, :) и не только этот "хит".) - не выдерживали критики. AdAware и Spybot S&D - тоже. XoftSpy - достаточно говорил недавно, долой его в корзину. BPS Spyware&Adware Remover Steganos Antispyware - чуть лучше по моему скромному мнению. Тестов вроде не было Webroot Spy Sweeper - гораздо лучше по тестам (я не стал продолжать пользование им после очередного переустановления системы из-за плохого диска). A-Squared (есть и бесплатный). Нравился. Задним числом оказалось, что по тестам на указанном сайте этот и был лидером в 2004-2005. Ewido >>> AVG Anti-Spyware - теста пока нет, но чую, что будет из первых. Остались: Spyware Terminator Spyware Doctor SpaywareStormer Spy Emergency - этих не ставил интуитивно. :) Это оказалось оправданным - см. на указанном сайте. Ashampoo Antispyware - тоже не ставил, посторонные отзывы хорошие. Windows Defender - о котором речь и который по тестам, мягко говоря, не блещет... |
Софт против программ-вредителей (trojan, spyware)
На вот этой страничке (на английском) представлен большой список "подозрительных" программ, обещающих защиту от вредительского ПО - троянов (trojan), диалеров (dialers), шпионов (spyware), и "перехватчиков" (hijackers) {это которые, например, открывают в броузере ненужные окна}.
Список недостойных программ - впечатляет. А среди достойных я отметил бы Ad-aware и Spybot Search and Destroy, плюс по непонятным причинам не попавший ни в одну из категорий резидентный монитор WinPatrol, который, хотя и не является "анти", однако позволяет контролировать, "не подхватили ли вы чего-либо". |
У меня при включении компьютера сообщение не находит этот файл, посмотрел в C:/ win 20 его нет, и через поис файла не находит,что необходимо делать, кто знает помогите!!!
|
mosgavrКакой именно файл, укажите пожалуйста.
P.S.Впервые слышу о том как "сообщение файл ищет". |
Троян переименовывает системные файлы ?
Вот что случилось сегодня.
Пока я занималась большим компом (установила агнитум аутпост 4), в ноутбук проник Троян – трижды Аваст сообщил, что он скрывается здесь: WINDOWS\system32\blowsemu.dll, но не смог его удалить, так "как потерял к нему доступ". Я нашла похожий файл, изменена была одна буква. Ad Aware Se Professional нашел только три кукис. Между тем, по-моему, этот Троян переименовывает системные файлы виндоуз и размножается, так как, обычно молчаливая, история журнала агавы, сегодня выдает красным цветом следующее: 02.04.2007 15:33:51 Операция начата. 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\h2r51.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\VGX20.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\VGX29.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\VGX4.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv11.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv12.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv13.tmp (ошибка №-2147023890) 02.04.2007 15:34:00 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\wmv14.tmp (ошибка №-2147023890) 02.04.2007 15:34:01 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\~DF61E1.tmp (ошибка №-2147024864) 02.04.2007 15:34:02 Нет доступа к файлу: C:\DOCUME~1\234\LOCALS~1\Temp\~DFA2AA.tmp (ошибка №-2147024864) 02.04.2007 15:34:07 Нет доступа к файлу: C:\WINDOWS\system32\comcsi7.dll (ошибка №-2147023890) 02.04.2007 15:34:15 Нет доступа к файлу: C:\WINDOWS\system32\fdecarew.dll (ошибка №-2147023890) 02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtforum.dll (ошибка №-2147023890) 02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtsmt.dll (ошибка №-2147023890) 02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtsmtspm.dll (ошибка №-2147023890) 02.04.2007 15:35:08 Нет доступа к файлу: C:\WINDOWS\system32\pfxzmtwbmail.dll (ошибка №-2147023890) 02.04.2007 15:35:10 Нет доступа к файлу: C:\WINDOWS\system32\qdviewfe.dll (ошибка №-2147023890) 02.04.2007 15:40:14 Операция завершена. P.S.Пока писала, два новых файла присоединились к этому списку. Подскажите, пожалуйста, есть ли повод для беспокойства. |
Цитата:
Смотри, что у тебя болтается в процессах, прибивай трояна, потом чисть автозагрузку и удаляй вражескую DLL. P.S. Те DLL, что в твоем списке, вовсе не системные, они левые. Они - и есть троян. |
А можно подробнее, у меня не запущено никаких процессов :( !
Удалить все файлы DLL? |
Винда какая? XP? Жми CTRL-ALT-DEL, там Диспетчер задач -> Процессы.
Все DLL тереть не надо, винда от этого очень сильно расстроится, заболеет и даже умереть может. |
А что нужно в процессах делать ?
*ХР |
Ну вообще, помотреть, нет ли там чего лишнего - если есть прибить это лишнее, потом стереть с винта и почистить автозагрузку.
Но, поскольку, мои советы тебя явно озадачили, посмотри для начала вот эту тему: Борьба с троянами, шпионскими и рекламными модулями |
*в процессах большое количество файлов с расширением .ехе
но как определить, что из них завершать ? |
perchinka
Для начала, все-таки было бы не плохо уточнить название вируса. как его опознал, например, Аваст. Потом установить антивирус, например AntiVir или Nod32 со свежими базами. И если вот они ничего не найдут и не смогут ликвидировать - пытаться искать руками. Под сомнение должны попадать процессы с "ненормальными" именами (hrbrhack и т.п.) и повышенной прожорливостью (по количеству занимаемой памяти и активным обращениями к процессору). Так же в ручном поиске неоднократно помогал AVZ. |
Аваст больше не выдает сообщение об этом вирусе, - к сожалению, он его пропустил, и потерял в моем компе.
Нод можно скачать в сети? На большом мне установили нод, - два года никаких троянов. А тут такое на третий месяц... P.S.Я только что нашла в этом разделе, последнем сообщении (автор Erekle) темы "Новый вирус или разновидность Trojan.Goldun?" такую же ситуацию. Посмотрите, пожалуйста, это сообщение http://forum.oszone.net/thread-78431-2.html. Могу ли я поступить так же, как рекомендовано в ссылке, которую дает автор сообщения. Может, это облегчит мои "действия" по ловле вручную? скачала AVZ 4. Подскажите, пожалуйста, как его настроить? :( |
Убедитесь, что ваше интернет соединение защищено брандмауэром (хотя бы встроенным), прежде чем выходить в Интернет.
|
Vadikan, специально убедилась: встроенный брандмауэр включен.
Снесла аваст. Установила триальную версию нод32, pos2man , спасибо за подсказку. Троян Win32/TrojanProxy.Cimuz.NAF удален. Нашла все указанные агавой файлы"dll", нод не видит в них ничего подозрительного, антиспай агнитума (установила) тоже ничего не нашел, программа avz провела лечение. Но агава продолжает записывать и выделять красным цветом эти файлы в истории журнала. Есть ли повод для беспокойства в этом случае? (если что не так, могу выложить скриншот процессов Диспетчера задач виндоуз) P.S. CyberDaemon , спасибо за советы, теперь знаю, что такое "процессы" :). |
помнится где-то прочитал: у одного мужичка был ноутбук, после того как он его включал, ноут жил своей жизнью где-то так полчасика, и работать на нем было нельзя. Так вот, он ждал эти полчаса, а потом принимался за работу. Эдакий разогрев перед стартом. =)
|
Цитата:
|
Самое занятное, что Трояны (как бы я их не "загружала"), в течение двух лет (с последней переустановки WXP, и установкой на нем NOD32) никогда не попадали на мой большой компьютер, - где до сих пор был отключен брандмауэр и не был установлен фаервол.
Так-то, господа насмешники. (а лучше бы ответили на последний мой вопрос… :) ) |
perchinka
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
VGX, например, довольно распространенное имя продуктов Sony. WMV - просто Windows Media Video. :) Главное там dll-ы. Можно, во-первых, отослать их (по одному...) на www.virustotal.com - там комплексная проверка многими антивирусами. Но до того надо просмотреть "свойства" этих файлов (правый клик - "свойства" / Properties). Там может иметься вкладка "версия", а в ней - информация о компании. Вполне может быть, эти файлы (или часть их) от ваших программ. (Случайно, у вас нет папки WinSecurity в папке Windows?) По процессам: Process Explorer - http://www.sysinternals.com/Utilitie...sExplorer.html - показывает и производителей. Сгруппируйте процессы, - а также Dll-ы по всем процессам - по графе "компания". Что не помечено как принадлежащее Майкрософту и известным вам компаниям (чьи программы у вас установлены), - входит в "группу риска". Дальше надо разбираться (есть многие легальные файлы, которые не имеют вкладки производителя, но определить вредное и безопасное по разным параметрам можно. К примеру, если какой-то dll или exe создан или модифицирован за последние дни, а вы ничего не инсталлировали за этот период, - то они очень подозрительны). Цитата:
Базы должны быть новыми. В опциях отметить [в "Типы файлов"] "все файлы", [в "Параметры пойска"] эвристический анализ установить на максимуме, включить "расширенный анализ" и "пойск портов UDP/TCP троянских программ". Дальше [в "Области пойска"] поставить галочку на системный диск и нажать "пуск". Лог можно выложить или прикрепить к сообщению. И непременно провести следующее: сервис > Менеджер автозапуска. Этот лог тоже интересен. |
Erekle, точно, слегка померещилось, что проблемы похожи :) .
Не помню, название вируса, по-моему, аваст не упоминал. Закричал только что это Троян, что он его не достает, и указал путь с файлом - dll. Нод установила, тот тоже сам не удалил - вручную избавлялась от …них, как в фильме ужасов: навожу на него, нод его удаляет, а на его месте новый образуется, так раз пять, пока не догадалась перезагрузить компьютер. Но кажется, dll в названии того файла не было. Обычно вирусы у агавы в виде зеленых или красных жучков, а эти файлы она не считает вирусами, в истории ее журнала они появились сразу же после обнаружения вируса Авастом, и висят там второй день, как не проверенные - "нет доступа". Иногда к этим семи присоединяется один- два других, не dll, иногда висят только эти семь. Свойства всех этих файлов (в папке Sistem32 есть еще четыре таких же, но с другим окончанием) одинаковые: тип файла:Application Extension; приложение: неизвестное приложение; в графе сводка – пусто. Созданы они в разные дни марта, изменены в разные дни марта, открыты сегодня. Только один из указанных агавой файл весит 161 байт, остальные – 0. (Вес четырех родственников - по161 байт каждый) Может, и правда, отослать эти файлы по адресу? А может, можно удалить?!? (Случайно, у вас нет папки WinSecurity в папке Windows?) Есть папка WinSxS – она? AVZ. Нескольких элементов в моих настройках, видимо, недоставало, в подтверждение тому сейчас, с Вашими, вылетело предупреждение: Внимание! Вы включили режим противодействия перехватчикам уровня ядра (Kerel Mode). Нейтрализация перехватчиков ядра влияет на всю систему и может нарушить работу мониторингового ПО, в частности антивирусов и Faerwall. После нейтрализации перехватчиков необходимо обязательно необходимо обязательно перезагрузить компьютер. Сканировала три раза. (Происшествие: зашла в файл, запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось :( ) Прежде чем продолжить работу с avz, спрошу: в графе Методика лечения – нужно что-то включать? Я включала: Hack Tool – лечить, RiskWare – удалять, копировала в карантин (удаляла из карантина). (офтоп: После заверения, что на большом у меня полный хелп, решила ночью проверить его AVZ-ом, и, вопреки запретам разработчика самостоятельно удалять подозреваемые программой файлы, удалила-таки для профилактики парочку на свою голову (настройки были на эвристику и анализ). Сейчас срочно понадобилось сделать откат на день назад - не получается! Создавать новую тему совестно, что делать не знаю, нужно срочно… :( ) |
Так... Первое. Сравним:
Цитата:
Цитата:
С запретом/очисткой СистемРесторе не стоит торопиться (при ваших экспериментах с AVZ). Взамен можно поискать в этой папке (или прямо - если она видна, или пойском) DLL-файл размером 90,112 Bytes и удалить. Только поищите этот файл - пока продолжу. |
Второе.
Цитата:
AVZ. Я точно прописал графы, которые надо было трогать. Экспериментировать с программой не надо. Конкретно: включать режим противодействия перехватчикам уровня ядра просто так опасно для системы. Надо строго следовать инструкции автора. К тому же, для этого сначала надо установить соответственный драйвер. Пото надо делать только то, что ждать, когда перехватчик появится на сцене и примется за работу. К тому же, вовсе не известно, ваш троян просто троян или троян с таким перехватом. Цитата:
"В" какой файл "зашли"? Карантин - в смысле, включили опцию в графе "лечение"? Но я сказал: сначала лог. AVZ должен детектировать всякий перехват системных функций, включая, конечно, совершаемые антивирусом и т. д. Но потом пользователь должен сначала разобраться, что из перехватов вредно, и что - нет. Представьте, что вы попытаетесь отнять у антивируса жизненно важный файл, который перехватил аж функции ядра системы. Хорошо, что у большинства антивирусов имеется защита себя любимого. :) В графе Методика лечения включали только Hack Tool и RiskWare? Цитата:
Если удалили просто в корзину, то откройте её и восстановите те файлы. Не забудьте приметить, что они за файлы и где восстанавливаются. |
Если удаляли через AVZ - не включали ли опцию в "копировать удаляемые файлы в infected" в Методике лечения? Если да - они будут в соответственной папке в каталоге программы.
И вообще: перед каким-либо действием нужно сохранить всякий лог - может понадобиться. Если какая-то программа не имеет такого лога, или если удалили что-то сами - надо сохранить в текстовом виде все возможные параметры, которые могут помочь при случае. AVZ в принципе НЕ может удалить какой-либо системный или важный файл, потому что у него есть и база безопасных файлов, в который входят и файлы от известных антивирусных компаний. Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы)? |
Корзину сразу очистила :( .
К сожалению, все мною описанные действия в avz, я провела ночью (на обеих компах), тогда же и произошли эти недоразумения. Сегодня вот только появились Ваши инструкции. Не знаю как быть (сканировала avz раза по три. Перехватчики были. Есть копия лога с большого компа :( Сейчас еще раз пройдусь по Вашим текстам, отвечу на остальное. ("В" какой файл "зашли"? Карантин - в смысле, включили опцию в графе "лечение"? ) Нет. Левый верхний угол -файл. Выбрала: автокарантин, зашла туда, и т.д. (В графе Методика лечения включали только Hack Tool и RiskWare?) Hack Tool - лечить, остальное - удалять (Если удаляли через AVZ - не включали ли опцию в "копировать удаляемые файлы в infected" в Методике лечения? Если да - они будут в соответственной папке в каталоге программы.) Включала. Потом зашла в карантин и все файлы удалила. Но на большом) (Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?) Один - из папки sistem32. Беленый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz. |
Перед удалением файлов, в опасности которых не уверены до конца, желательно сохранять их в архиве под (простым - чтобы не забить) паролем. Он оттуда не выскочат.
На www.virustotal.com отсылать пустой файл нет никакого смысла, да и размером 161 байт - тоже. К тому же, как написано в цитате выше, троян хранит в этих файлах просто детали мессаджей. Цитата:
|
Теперь буду знать.
|
А можно я после "всего-всего" сделаю теперь проверку по Вашей схеме на обоих компьютерах, отключив стенку и антивирус?
|
Цитата:
Цитата:
Это на большом, да? И лог подоспел. Эти два файла и удаляли? Больше ничего? Если больше или другие - дайт полный лог. Второй - нужно было. Расстроить функционирование Восстановления Системы он не может. Первый - драйвер защиты электронным ключем HASP. Тоже удаляли? Но он лежит не в System Restore. Цитата:
Просто нужны меры предосторожности. Антивирус и стенку не отключать. В AVZ: лечение не включать или включать с обязательным копированием. Потом Карантин и папку Infected - не очищать. Драйвер расширенного режима (AVZPM), AVZGuard, Ревизор, Автокарантин и т. д. - НЕ запускать. Опцию Блокировать работу RootKit (две графы) - галочку НЕ проставлять (только детектирование, что и включено по умолчанию). Только анализ. Плюс в опциях: сканировать все файлы, эвристика - по максимуму и с Расширенным анализом. Дальше - только разбирать логи сначала. Ничего сразу не удалять руками, а если удалять - сохранить копии и параметры (как то - где лежали). Тем более - если на обычном компе нет проблем с вирусами. Ещё раз. В меню AVZ: Сервис - есть Менеджер автозапуска. Его лог интересен (сохраняется как HTML, с которого потом можно скопировать текст). |
Делала откат системы на большом, как обычно, два раза. Попробую разок еще.
(Эти два файла и удаляли? Больше ничего? Если больше или другие - дайт полный лог.) Из папок точно ничего больше, так как параллельно читала справку разработчика :) (Второй - нужно было. Расстроить функционирование Восстановления Системы он не может.) Тогда удалю! (Первый - драйвер защиты электронным ключем HASP. Тоже удаляли? Но он лежит не в System Restore. ) Сейчас попробую найти эту папку и вернуть свою память назад - была я там или нет... Вроде нет Давайте, если можно, я Вам лог не на общее обозрение вышлю, мало ли. Я теперь что-то всего боюсь :) Я поняла, Вы по логу вопросы задавали - нет, оттуда я ничего не удаляла, но у меня там красным цветом очень много выделено. Я дала лишь выборочно. Вернулась выше, прочитала дополнение к ответу. Хорошо. Возьмусь за дело. (значит, ситуация на моих компах критическая?) |
Подредактировал предыдущее сообщение.
Цитата:
(Если нет - обязательно сохраните копию и все параметры из "свойств" файла.) Цитата:
Насчёт лога - как хотите, хотя там нет никакой секретной информации. Из него можно узнать только имена файлов, которых программа подозревает (или не подозревает) и ничего более. Вот узнал пойском по Google, что у вас какая-то программа защищена системой электронного ключа. Ну и что? У меня уже небольшая путаница. Это большой комп. Проблема с ним - только Восстановление Системы. Если проблемы с драйвером ключа причина этому, и если в логе этот драйвер присутствовал не в System Restore, и если вы удалили этот драйвер (?) - проблем с обычными вкючением компа и работой - нет? Цитата:
Не надо "взяться за дело"! Просто вы спросили про намерение поотключать антивирусы, и я сказал, что можно делать и что опасно. Ничего более. Насчёт dll-ов в System32. Если они не изменяются, это означает, что трояна больше нет, а сами они (тем более пустые) никакой опасности не содержат. В таком случае надо думать, что антивирус удалил именно этого трояна - даже имя которого вы не запомнили - а эти файлы просто осталичь, как безвредные. Но для еверенности поищите указанный rsvp32_2.dll |
"Тогда удалю!" - я тоже редактировала сообщение, выше смотрите, я думала Вы говорите не про лог, а про папку puncto :) (см. выше)
"Из папок точно ничего" - простите, тороплюсь, когда редактировала эту фразу, Вы ее уже успели цитатой вставить :) - я потом добавила слово, получилось, больше ничего (кроме того, о чем уже написала) Прыгаю между двумя компами. Откат не удался. Хорошо. Запускаю avz. |
Это - с ноутом. Тогда останется проблема (силой созданная:) ) на большом - с Восстановлением на день назад. Но это критично? Нельзя ли сделать откат на два дня - если такое есть и если за этот период ничего не инсталлировалось? И в общем - зачем это восстановление-то? Что-то такое расстроилось в системе, что оно необходимо?
Ещё про ноутбук. Там Агава, да? И она говорит, что файл размером 0 байт опасно, да? Это означает, что она ищет вредность просто по известным именам файлов. :) |
Записала случайно ярлык вместо папки, папку удалила. Ставлю диск, там ярлык - содержимого нет. Третий откат не получился. Попробую на четыре дня назад.
Агава и на ноуте и на большом. Ясно. Агаву убираю :) |
Цитата:
А красный цвет - не критично. Цитата:
Цитата:
Главное - не торопиться. У вас, похоже, сейчас никаких вирусов и нет. Цитата:
Если не секрет - к чему этот откат нужен? |
Из моего верхнего сообщения на третьей странице, цитата:
(Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?) Один - из папки sistem32. Белый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это, уже знаю, переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz. Вот про это говорила. 99,5 - критерий профилактики, но файл я пока оставила, так как не могла понять, что это за папка. Второй файл, уже не помню, но тоже предсказывал "большую опасность" Файлы лога (удалила это сообщение на всяк. сл) - я в папках не искала, удалила их из карантина (я же три раза сканировала, настройки меняла и т.д. :( ). Лог был с большого компьютера и речь шла о нем. (Немного не понял. Какие диск и ярлык? Это - в Восстановлении Системы? Если не секрет - к чему этот откат нужен?) Не секрет. Откат нужен для восстановления удаленной папки, ярлык которой я записала на CD диск (глупо - вместо самой папки. Папка у меня хранилась на диске D, а ее ярлык -на диске С. Вот ярлык я и записала =) а папку удалила. |
Цитата:
Если удаление папки не давнее дело, если на Д места много, а папка занимала мало места, если на Д особой активности по записи не было после удаления - можно восстановить программой для этого. Если эти условия соблюдены, могу закачать такую программу куда-нибудь и сообщить ссылку по профилю пользователя. Цитата:
Ничего от puncto не трогать. Он, конечно, перехватчик определённых событий. Вот AVZ и должен детектировать. Другие файлы удаляла из avz - какие другие и как назывались? Это и есть "Второй файл"? И какой - так и не понял, что оставили пока от puncto: тот файл или папку? "я в папках не искала, удалила их из карантина" - а до того удалили с основных мест с помощью включенного лечения? В общем, если лог поможет, то он нужен. Примечание: если комп с тех пор включается нормально, и проблема только с откатом, то причиной может быть только удаленный файл с System Restore (или как по-русски). Если такой важный файл был Dll, то ничего узнать не гарантировано, потому что эти файлы, как правило, в System Restore получают случайные числовые имена... |
Цитата:
Боюсь, что проблема с откатом (если она вызвана удалением какого-то важного для отката файла с System Restore) неразрешима. Тем более, что папку он не восстановит. Может быть - только exe и dll файлы и документы (сомнительно) с неё. |
(Если удаление папки не давнее дело, если на Д места много, а папка занимала мало места, если на Д особой активности по записи не было после удаления - можно восстановить программой для этого. Если эти условия соблюдены, могу закачать такую программу куда-нибудь и сообщить ссылку по профилю пользователя)
УРА!!! Спасибо за хорошую новость! (Удалила сегодня утром) Пожалуйста, закачайте куда-нибудь эту программу. (Белый квадрат с синей полоской - ничего не говорит. Как звали бедного?) Точно не помню, но нехорошо, мне не понравилось :) В puncto все живо. И папка, и файлы. Как-то там все аккуратно было расставлено, жалко было порядок менять :) Другие файлы – трудно сказать сейчас что это могло быть. Еще одно что-то точно удаляла из папки, не помню что, - одновременно на обоих компах была запущена avz … Erekle, спасибо Вам большое, столько времени потратили на все это. Возможно, для Вас это хобби, но мне точно досталось по уши. Башка набекрень. Попробую прочитать тему еще раз, прояснить для себя ситуацию, может, обойдусь пока без avz? Поищу тот файл, о котором Вы говорите, – rsvp32_2.dll - поиск пока нашел только rsvp32_2.dll345, rsvp32_2.dllerter, rsvp32_2.dllret. P.S. на будущее, ...жалко, что отката не будет больше на компе. (Понятно - exe-файл без иконки. Процентов на 99 - он имел также какой-нибудь номер вместо имени) Нет, название было из 4-5 букв, невзрачное (была там буква h или n, набор согласных в основном, без dll, удалила я его, конечно, по "наводке" лога) |
Это не хобби уж. :)
Цитата:
(я даже не знаю, как его вывести напрямую в запущенной системе. :) Ищу System Restore в Help and Support, и там выбираю в списке Run Sustem Restore Wizard. Дальше понятно.) Цитата:
Теперь. Ссылка на программу - в профиле. Открываем страницу, внизу нажимаем на FREE, и ждём, пока на следующей странице появится картинка. Надо будет вВести код, что на картинке. Скачать, вынуть из архива и запустить согласно порядку, что в сообщении по профилю. Сначала провести эту операцию, потому что с каждой новой записью чего-либо на тот же диск шансы на восстановление уменьшаются Цитата:
Для не очень подготовленного пользователя он должен запускаться только при наличии (или после) вирусов на компе, и только для анализа - разве что в опциях повысить уровень эвристики и выставить "сканировать все файлы". Плюс - проверять Менеджером Автозапуска, что в меню "Сервис". И не удалять ничего безоглядно. Теперь: Цитата:
Во-первых - только спокойствие, ничего особенного. :) Вот, к примеру, цитата Цитата:
browsemu.dll - с "r" - а я удивлялся, почему в инете нет. Это - Trojan Goldun. При правильном обращении с антивирусом должен удаляться безболезненно. Но в идее могут быть проблемы с сетью (интернет, ICQ...). У вас этого нет и не было? Это к тому, что если таковое есть, может быть, потребуется восстановление настроек сети. Тоже ничего особого, просто следует сделать это не в спешке. Всего одно небольшое действие. Можно было привести множество ссылок, но если проблем с сетью нет, хватит и удаления этих файлов, а то в спешке можно народить ещё проблем. :) |
Под хобби, подразумеваю, помощь чайникам вроде меня. В остальном, догадываюсь, что Вы специалист в области компьютерных вирусов.
Раньше откат шел безукоризненно. Корзина всегда пуста – привычка. Сеть в порядке (Интернет, ICQ работают) Да, это файлы ноута, но не могу в это поверить, - они исчезли! Может, запущенный антиспай агнитума их удалил? (запускала час назад. И обновление виндоуз как раз после этого было, перезагрузка… Не знаю, что и думать: Поиск их больше не видит! ) (если они не сами переименовываются после того, как их находишь, то как их можно еще найти?) Большое спасибо за программу, отправила подтверждение, открою ее когда проснусь (у нас утро), отпишусь как все получилось. :) |
Цитата:
Цитата:
Скорее всего, их временно создаёт основной файл, как же и те DLL-ы, в которых хранит детали рассылаемого спама. Цитата:
Поэтому поищите только по имени файла: rsvp32_2 Цитата:
Цитата:
Я, может, и "эксперт" по сравнению с "чайником" - но ЧАЙНИК по сравнению со специалистами. |
Erekle, огромное спасибо, восстановилась значительная часть документов.
Оказывается, несчастная папка хранилась все же на диске С, а там у меня, к сожалению, FAT (на диске D -NTFS). Подозреваю, это и было причиной неполного восстановления папки. Повторила операцию, используя эвристический метод восстановления (для FAT), результат остался прежним. Но все равно, здорово. Часть документов уцелела, и то хорошо. :) Программа отличная. Перейду полность на NTFS и постараюсь не делать таких глупых ошибок. Запустила avz на ноуте. Со всеми настройками. Если можно, поделюсь с Вами, результатом. Да, поиск снова нашел rsvp32_2, как Вы и сказали, – по имени файла. Но "главного-страшного" среди них не было, новых тоже. Все удалила. Кроме того, конкретно искала dll-файл весом 90 112 Bytes. У всех, что нашла (ок. 10-12), были официальные адреса. Надеюсь, это конец, и в моем ноуте чисто. P.S.Несколько документов изменило кодировку и прочитать их уже нельзя, – еще в программе, в списке, до восстановления, на эти файлы были открыты дубликаты – в нормальном режиме такое случается, когда документ вовремя не сохранен, и при выключении системы остается как бы его тень. Мои – в свое время были, конечно, сохранены. В графе Ущерб - против и некоторых закрытых и не закрытых - стоял 0. Между тем, не получилось их восстановить. От этого недуга не бывает лекарства?:) (Я, может, и "эксперт" по сравнению с "чайником" - но ЧАЙНИК по сравнению со специалистами.) Звучит ободряюще :) Еще раз спасибо за программу и главное - за помощь. :) |
Цитирую себя (пост выше): От этого недуга не бывает лекарства?
Оказывается, бывает. Все "тени" документов сложила в одну папку, и настоящие документы открылись! Потерялось совсем ничего, процента 2. :) |
Цитата:
Цитата:
Не забывайте, что для успешного восстановления файлов необходимо ничего не записывать на том диске, откуда собираеися восстанавливать (и не включать программы, которые там работают, а если это системный диск - ограничиться минимальной активностью до восстановления), провести восттановление как можно скорее, и записать восстановленную информацию не на том диске. Ещё раз: надо обращать внимание на статус файлов (может, они не удаленные, а существующие) и на степень целости. Для документов есть смысл попытаться восстановить не вполне сохраненные - может удастся прочитать и спасти хотя бы часть. И главное - с этой программой тоже нужно быть очень осторожным и проделать всё неторопливо и много раз взвешивая, не навредит ли наше действие другим файлам и чему-либо вообще. Цитата:
Всё равно перепроверите поиском. Конкретно, нет ли на системном диске rsvp32_2 и этих "родственных" файлов, которые теоретически могут быть: 777.exe 999.exe yzdock.exe msnetax.dll ipv6mons.dll ipv6monk.dll redswoosh.exe cel90xbe.sys szr_dr.sys System.dll (с последним поосторожнее, если system "засветится" без расширения "dll". Имя system - у многих и многих легальных файлов, нам же "нужен" только System.dll) Размером 90 112 - официальные адреса - как-то Майкрософт и т. д.? Если нет - не удалить, но разобраться поглубже. Анализ с помощью AVZ проводите только по дважды перечисленным советам. До поры до времены - до более уверенного освоения программы и её Справки. И под конец: надеюсь, постоянный монитор интернета и файлов на диске у антивируса включены. |
Из "родственных" засветился только один, зато в двух экземплярах.
System.dll – имя целиком поиском не находилось,– задала поиск по dll – обнаружилось 2 таких файла. System.dll - Информация: Свойства: неизвестное приложение Размер: первый - 1,12 МБ (1 179 648 байт), второй - 1,16 МБ (1 224 704 байт). Cоздан: 4 авг 2006 изменен: июль открыт 6 апреля Версия продукта: 1.0.3705.6018, у второго - 1.1.4322.2032 Авторские права: Copyright (C) Microsoft Corporation 1998-2001. All rights reserved. Удалить? Информация одного из пяти одноименных файлов, имеющих размер 90 112 байта (88 КБ), столько же на диске: cscompui.dll – тип файла: Application Extension, Неизвестное приложение Описание:Visual C# .NET Compiler Error/Warning Messages Авторские права: Copyright (C) Microsoft Corporation. All rights reserved. Смутило описание. (надеюсь, постоянный монитор интернета и файлов на диске у антивируса включены) :)Включены. Настройки монитора NOD32 такие же как здесь: http://subscribe.ru/archive/comp.har.../13161131.html (почему-то не получилось грамотно вставить ссылку...) |
Цитата:
НОД - главное, чтобы его модулы были включены, то есть - проставлены галочки (в правыхм окнах для каждого компонента, которые появляются, если кликнуть по модулям в окне Центра контроля; ну и настройки там же). Цитата:
Впервые узнал, что AMON - резидентный модуль - проверяет файлы "после каждого перезапуска компьютера". :) Это постоянный резидент, проверяющий каждый файл, к которому система обращается тем или иным образом. Вот этот модуль и должен быть включен в первую очередь. Но в статье акцент сделан на обычном сканере, запускаемом пользователем. В то время, как главная задача антивируса - контроль процессов и активных файлов, включая сеть, чтобы не допустить прорыва. Потом может быть поздно. Цитата:
|
Здорово! Спасибо за "умные" настройки NOD!
Похоже, ноут спасен, засяду-ка я теперь за большой комп =)... (ну Трояны, держись у меня!) :) |
Троян лезит, как то:(
Уважаемые, как то и откуда то лезит троян:( Удаляю, дня через два опять он тут как тут:( Может подскажет кто ,что за зверь?
 |
Вы удаляете не "троян", а ключи реестра, созданные (якобы) трояном.
Если прога говорит, что эти ключи создал такой-то троян - который есть файл - то где этот файл и почему прога не видит его? :) Цитата:
Что говорит, к примеру, такой уважаемый автор, как Sophos? Цитата:
А значения эти, если и несовпадают с установкой по умолчанию, может изменять любая программа или сам пользователь. Может - и троян, но для отлова троянов и вирусов советую любую другую программу, устроенную не на принципе "чёрного листа", - не этот же. :) |
Верно, XoftSpy детектирует как троянов два параметра следующего ключа вашего реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerПараметр 'NoClose' удаляет кнопку "Turn Off Computer" (выключение) из меню "Start" ("Пуск"). Параметр 'NoChangeStartMenu' запрещает пользователю изменять меню "Start" ("Пуск") с помощью перетаскивания элементов. Именно эти настройки и не нравятся этому "антитрояну". Я бы на вашем месте действительно просто снесла бы XoftSpy (всё-таки когда-то эта программа была занесена в "черный список" из-за чрезмерных ложных срабатываний и вводящей в заблуждение, агрессивной саморекламы). |
Очень не хочется говорить ещё - много и во многих местах ругал эту программу - но должен повторить: другой "антишпионский" продукт этой компании сказал мне об одной библиотеке от МС, что её поставила одна программа для контроля детей родителями (тоже легально ведь), и в "доказательство" принёс аргумент, что функционирование этой программы (т. е. "подглядывать" за кем-то) описана на каком-то файловом сайте (к примеру, к таким общесодержательным сайтам можно отнести и soft.oszone). Однозначный вывод: авторы "антишпиона" просто рыщут по инету и собирают сведения о таких - легальных - программах, а потом заносят в "чёрный список" и все файлы, имеющие отношение к таким программам, автоматически становятся "объектами с высоким риском". И XoftSpy, проходящий весь диск за минуту-другую, конечно же, не сканирует файлы, а просто сверяет их названия и ключи реестра со своим "чёрным листом"
Это уже не просто ложные сообщения, а мошенничество. |
Спасибо, вам, всем:) А какой посоветуете Антишпион?
|
kop4enyi По мне лучше использовать Spybot - Search & Destroy. Ни чем не хуже и бесплатна.
|
Смотря, что понимать под этим - с монитором или как сканер, которым проверим иногда.
Если первое - AdAware - но только Pro. Если второе - AVZ, AVG Anti-Spyware Free, A-squared Free. |
Erekle Не понятно кому ты ответил, но достаточно иметь антивир, фаервол, а перечисленным выше - которым проверим иногда.
Маниакальная защита, наверно перебор :) |
yurfed, ответил коллеге. :confused: Конечно, антивирус - в первую очередь. Прошли времена классических вирусов. Теперь в базах антивирусов подавляющее (абсолютное?) большинство таких, на которых раньше специализировались антишпионы. Но и среди антивирусов есть различия - отдельные категории вредности одни ловят лучше, другие - хуже. Так же - кое с чем лучше справляется какой-нибудь антитроян-антишпион. К примеру - Пинч. Говорят, его модификаций - где-то 700. Часть из них специально "заточена" под Каспера, часть - под НОДа и т. д. Таких "специальных" предварительно избранные "жертвы" конечно не видят, а потом их поклонники спорят по разным форумам, какой антивир ловит Пинч. :) Но вот у меня одного такого не видел ни КАВ, ни НОД, ни (разумеется) штатный Симантек, но преспокойно увидел тот же AVG Anti-Spyware. Страницу с вредным кодом, по которой притащился тот, опознал только тот же AVG и один-единственный (малоизвестный) антивир на ВирусТотале. Так что ХОРОШИЙ антишпион, как и нормальный сканер в дополнение, будь то антивир или антишпион, никак не помешает. Вот, почему-то, эффект обнаружения тем же АВЗ у меня традиционно довольно низкий, но будет он на компе, пока будет комп. А АдАваре - почему же не воспользоваться его монитором реестра? Это ведь не "иногда"?
Что же до Спайбота... Хотя тот очень помог недавно коллеге, подтверждаю - не хороший он, середнячок. :) |
Цитата:
|
Да, читал, но... AdAware SE - просто как сканер, но как сканер, тот не годится. Есть же тесты... Разве что для копания в реестре.
А монитор мне надоел скоро и именно из-за крика на любое изменение, скоро умерл диск и потом я не возобновлял с программой. Но AD-Watch следует иногда пользоваться - например, при установке или наличии чего-то подозрительного. |
защита от спамотроянцев - что порекомендуете?
Господа - не нашел конкретного ответа, поэтому новый топик.
Ситуация: Выделенный айпишник. Вынь ХР, нод32 (лицензия). Вчера отрубили интернет, позвонил провайдеру - сказали, с моего адреса шлется спам. Прогнал все нодом и адварой, ничего не нашел. Пошарил по реестру - тоже ничего. Самое главное, что netstat не показал, что на 25 порту висит что-то (хотя, может, он периодически активизировался). Выход простой - убил систему (так как не знаю, был ли очередной бэкап поражен), отформатировался, переставился. Пока, вроде, чисто. Соответственно, задался вопросом - а какими тулзами можно защищаться? И вообще, как эта хрень могла сесть на машину - ведь сама себя она записать не могла просто из сети, нужно было что-то открыть/скопировать (сам не открывал, а вот где по сети ползает моя девушка, не в курсе). Фактор пользователя, или хреновой защиты? В общем, какими тулзами защищаться лучше? |
Цитата:
|
Хех, ну да, по идее, через 135 et.c. порты... чего-то я забыл.
На самом деле, получается, что я поднимаю вопрос о связках программ для защиты - оно уже было. Тогда переформулирую - что засунуть в связку с Nod32 2.7 в качестве файрвола? Аутпост уж очень не люблю... Вообще, порекомендуйте хорошую связку с нодом - почитал аналогичные посты, но так ничего полезного и не вынес. Многие ратуют за аутпост, однако, есть к нему личная неприязнь. В качестве сканера кого засунуть? |
windsurfer Файрвол - Comodo Firewall (бесплатный) или Lavasoft Personal Firewall (платный). Всё ИМХО Оба (по очереди) стояли в связке с NOD 32.Конфликтов не наблюдалось.
|
Антивирус и ПСЭ - это тока часть защиты, если система уязвима, то они могут реагировать уже на последствия вторжения, а не предотвращать его. Так что об обновлениях ОС, браузеров, почтовых и IM клиентах и ассоциированных приложений (WMP, PDR-reader, winamp, офисное ПО) забывать тоже не следует (конечно и без них вероятность заражегния сильно уменьшается, однако останавливаться тока на этом не стоит).
Ты не объяснил почему не любишь Аутпост, что ждешь от ПСЭ, поэтому аргументированно что-то подсказать - довольно сложно. Из бесплатных и максимально функциональных Comodo - щас самый лучший ИМХО. С меньшим функционалом есть еще различные малоресурсоемкие пакетные фильтры (см. тему необходим лёгкий сетевой экран). |
Кажеться батенька у вас был руткит со способностью слать спам письм или обеспечивал такую возможность другим вирям. Вам нужен контроль за реестром. Проактивка вам в помощь. Хороший эвристик у нода и у каспера. Но у нода нет поведенческого блокиратора, который анализирует активность, поведение, уже запущенных процессов, в т.ч и скрытых. А так же контролит почтовые проги по 3 протоколам и грит, мол, от вашего имени шлёться письмо такой то прогой. Что делать. У меня такое раз в месяц а то и чаще бывает. Пока мои други и подруги на письма со спамом от меня пока не жаловались. + ко всему касп неплохо проверяет web-трафан. Даже недаёт загрузиться в комп заразе. А дальше если что действует рекативная сигнатурная защита, а если она непропалила гадство, то в ход как раз идёт проактивная защита, т.е блокиратор по поведению или эвристическ анализатор, который анализирует ещё незапущеные приложения.
|
Переодически вылавливается троян TR/Agent.VW.5
Guard антивирусной программы AntiVir PersonalEdition Classic 7.0 в поцессе работы системы XP SP2 переодически вылавливает (на дню по 2-3 раза) троян TR/Agent.VW.5 и указывает его местоположение, например, I:\SystemVolumeInformation\_restore{7E832728-D228-4B1E-AC25-C15A95FD70F1}\RP44\A0036450.exe.
A0036450.exe удаляю. Через некоторое время сообщение повторяется, но с новым именем, например, I:\SystemVolumeInformation\_restore{7E832728-D228-4B1E-AC25-C15A95FD70F1}\RP44\A0038989.exe. Удаляю A0038989.exe и через некоторое время появляется сообщение о наличии этого же трояна. Проверил различными соедствами весь компьютер, но местоположение TR/Agent.VW.5 не обнаруживается. Поискал об этом трояне в Интернете и на сайте производителя http://www.avira.com/de/threats/sect....36.00.85.html, но толком ничего не нашел. Есть лишь упоминание о трояне, но отсутсвует его описание. Как выжить троян TR/Agent.VW.5 и что от него можно ожидать? |
Выключи восстановление системы на всех дисках. Перегрузись и включи обратно. Лучше оставить восстановление системы только на системном диске.
|
Цитата:
|
По-видимому, проблема разрешилась ...
Троян перестал напоминать о своем присутствии. |
Тут все просто. Антивирус может читать в точках восстановления. Запись в этих папках запрещена системой. Поэтому постоянный детект заразы. При отключении Восстановления системы папки удаляет сама система. А вместе с ними и заразу.
В принципе этот троян был заархивирован системой, только и всего. Он никак не проявлял себя. Но до тех пор, пока ты не решишь откатиться. И то не факт, что он возродится. Может это его какая-нибудь часть. |
Для полной гарантии проверьтесь из-под чистой системы
|
Как вариант вместо установки чистой системы (охота была :)) в антивирусе Касперского есть возможность создания
загрузочного диска на основе BartPE с интегрированным Касперским. Для этого нужен BartPE builder, сам Касперский (у меня 6-я версия) и последние базы оного. Делаешь образ и пишешь на CD-RW. Удобно брать с собой для проверки. Через пару недель делаешь новый образ с новыми базами и пишешь на этот же СD-RW. |
Severny
Я и имел ввиду диск спасения или соответствующий софт (флешка) от Dr Web Severny Только лучше не через пару недель, а каждый раз перед проверкой делать |
Троян отправляющий в фоне письма. Как выличить????
Здравствуте уважаемые форумчане!
На моем компе завелся подлый червь, который отправляет почту в фоновом режиме. Обнаружил я его так: Последние время, заметил что иногда у меня очень сильно притормаживает инет, то еть падает скорость открытия страниц и закачки. А также когда я ничего не использую, все равно тратится трафик. У меня стоит NOD32 с последними обновлениями. При полной проверки системы, он ничего не обнаружил! Вчера поставил Norton Internet Security 2007. В нем есть и фаервол и антивирус и всякая прочая фигня... И когда я в очередной раз зашел в инет, рядом с чисами начали появлятся много конвертиков. Их проверял Norton (Norton e-mail Scanner). Значит с моего компа отправляются e-mailЫ! Сделал полную проверку Нортоном (без обновленной базы, триальная версия) - результат тот же что и с Нодом. Фаерволы нортона и винды молчат как рыбы! Кстате, установил Adware Lavasoft - ничего не нашел!!! Помогите найти этот проклятый вирус!!! З.Ы. Успользую Bat для работы с почтой!!! |
http://www.trendsecure.com/portal/en...ackThis_v2.exe
Скачай утилиту, сделай лог и выкладывай сюда. Возможно, можно будет справиться только с ее помощью. Если не поможет, то призовем тяжелую артиллерию в виде AVZ. Спам-боты с использованием технологии rootkit не для того пишут, чтобы обычные антивирусы их детектили. |
Вот лог который сделала програма. Запускал в тот момент когда Norton начал проверять письма!
Код:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)Я так понимаю, это мониторинг моей оперативной памяти. Наверное лучше было б если я все выгрузил с трея. Если надо, я сделаю. Вообще я готов на все лишь бы покончить с этим вирусом!!! |
Нежелательно использовать два антивируса в системе. Удали что-нибудь. Нортон удалить предпочтительнее.
1.Скачай этот сканер и проверь системный диск в безопасном режиме. ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe 2. Скачай антивирус http://z-oleg.com/avz4.zip Распакуй в отдельную папку, зайди "Файл -- обновить базы" и обнови базы. 3. Закрой все антивирусы, лишние программы, игры и т.п. Запусти только Internet Explorer, если он не запущен. 4. Запусти AVZ."Файл"=>"Стандартные скрипты" и поставь галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажми "Выполнить отмеченные скрипты". Будет выполнено лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. Его надо прикрепить здесь. |
:yahoo: УРА! :yahoo:
Скачал проверку от DrWeb, запустил в безопасном режиме и проверил системный диск! Вуаля!!! Нашелся ГАД! Сидел червячок в system32. Точного названия не помню, что то вроде W...S...bot.exe. Теперь все ОКи-доки!!! Спасибо тебе огромнешее, Severny!!! З.Ы. По-ходу, DrWeb лучше чем NOD! Наверное буду переходить на его использование! |
Немогу выбить трояна
Поймал трояна, он http hijackает iExplorer...
Немогу выбить эту заразу! Оутпоста этот трой гасит при системном скане...Аvast его не видит, и Nod32 тоже. Делал System Restore, не помогает. я в о..уе чем его дальше рубить? |
Процесс Иксплорером видно его в процессах? смотрим дальше с какого он места запущем, киляем процесс, удаляем его, чистим запись в реестре автостарта...
|
|
...или можно попробовать из safe mode касперским ещё.
у меня обычно выцепляет подобное. |
|
Сейчас в логе трудно разобраться, ничего подозрительного не видно, но он не полный. По какой-то причине Hijack не смог сделать полный лог.
Поэтому: Скачай AVZ http://z-oleg.com/avz4.zip Распакуй и обнови базы. Перейди меню Файл--Восстановление системы. Выполни пункты 2, 3, 6, 7, 9, 12, 13 и 16. Сделай Файл--Исследование системы, запакуй и присылай. Сделай новый лог Hijack. Только выкладывай по возможности на zalil.ru |
таки выбил заразу..
твоей прогой не удалось работать, но касперски ее заломал deleted: virus Packed.Win32.PolyCrypt.b File: c:\windows\system32\kdpkk.exe//PE_Patch.Poly//PE_Patch.Poly (если это была она...) зараза ппц Спасибо за помощь! |
Троян который не дает запустить HiJackThis_v2
При попытке запустить HiJackThis_v2 что-то убивает процес вместе с эксплорером.
Еще интересней что то-же происходит не только при запуске, но даже если навести курсор на HiJackThis_v2.exe, а если написать в (скажем) IE (гугл) HiJackThis то IE закроется вместе с эксплорером. То же происходит в безопасном режиме... Пытался лечить NOD'ом и Др.веб'ом ( cureIt в том числе) ( и в безопасном режиме тоже ) + всякие анти спайвейр, стингеры, антитрояны итд. Стоит Ad-Aware (free), не помню, правда, какая версия но не 2007. Все это нашло несколько троянов/вирусов и вроде как вылечило... Но собственно неизвестный сабж остался. Правда я не делал онлайн проверку, так что, если можно, посоветуйте где ее лучше сделать (тему по этому поводу читал, но ресурсов слишком много. Что-то из собственного опыта подскажите) Если кто-то сталкивался, подскажите что это может быть и как/чем его лечить. З.Ы. Если на комп скопировать по сети офисный документ, то открыть его нельзя так как меняется расширение и форматировка (типа xls -> xlsx ). Может эта инфа поможет. З.З.Ы. Стоит winAgent, но в процесах ничего подозрительного не видно. Это все в сети из 8 компов в офисе которую нужно настроить ( туда никто не лазил более полугода : = ), как она еще работает незнаю). Повсюду стоит Win XP SP2 и установленый мною нод32 ( ранъше стоял AVG которого я еще не встречал ). Имеется апаратный роутер LinkSys wrt54g v.5.1 и два свича на два кабинета (не помню какие именно ). |
Цитата:
Попробуй воспользоваться AVZ и его стандартным скриптом сброса перехватов. Ну и конечно остается оптимальный вариант - проверка компа антивирусом со свежими базами со стороннего насителя, например с LiveCD... |
Nihal
Если получится, то выполни в AVZ Файл -- Исследование системы. Запакуй отчет и выкладывай сюда. Попробуем разобраться. |
Ок. Завтра пойду туда снова.
|
Вложений: 1
Вот собственно логи 1-ый до прикрепляю карантин.
После проверки с помощью авз попытался проверить др. вебом. Веб зависает в процесе проверки. Пытался удалять проблемные папки и файлы но терпения не хватило... Убил на эту "проверку" где-то часа 3. Веб нашел что-то, нашел и удалил. Потом я снес др.веб и поставил нод, обновил... Проверка нодом два раза сама закрылась процентах эдак на 30... ( ничего найдено не было ) Потом слетели все спецификации файлов, контекстные менюшки, настройки вида папок ( может еще что-то, не успел посмотреть ). Спецификации восстановил из под безопасного режима... А вот настройки папок не удается востановить, тоесть удается но только на пару сек. Потом "кто-то" их меняет обратно ( например запрет на показ скритых папок ). Изменение значений руками в регедите ничего не дает, так же как и запуск .рег файлов которые меняют эти значения. Посмотрите логи и подскажите что делать. Буду благодарен за инфу, которая научит анализировать лог авз самостоятельно. З.Ы. хайджек так и не запускается ( переименование не помогло ). З.З.Ы. Занят создание LiveCD, так как не знаю получится ли почистить этот комп из под него самого. |
Nihal, если редактор реестра не блокируется, попробуй повыключать всё лишнее с автозагрузки. Правда, много нужного там не будет, но всё же...
|
Отключи все антивирусы.
Открой AVZ -- Файл -- Выполнить скрипт. Вставь скрипт и нажми "запустить". HTML код:
beginПосле попытайся выполнить лог hijackthis. Если получился, то выкладывай. Скачай ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe , запиши на болванку и выполни проверку в безопасном режиме с болванки. |
Люди скажите мне пожалуйста если у меня запущены процессы Iexplore.exe u Isass.exe - то я обязательно буду инфицирован или ето не означает что если ети процессы есть у меня то я инфицирован!?Заранее спасибо!
|
Если Iexplore.exe есть в процессах, а IE не запущен, то ты скорее всего заражен.
Isass.exe не правильно написал -- lsass.exe. Без него система не работает. Лежит в папке system32. |
У меня он запущен даже когда браузер выключен!но не оутпост,ни нод32 его не видят!!!использовал авз!!!!всеравно он у меня в процессах!не подскажите что мне делать??
|
Скачай ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe , запиши на болванку и запусти в безопасном режиме.
Просканируй системный диск. В AVZ зайди Файл-Исследование системы. Сделай логи, запакуй и выкладывай здесь. Скачай http://www.trendsecure.com/portal/en...ackThis_v2.exe сделай лог и показывай здесь. |
Создал LiveCD, проверил из под него куреитом. Нашло 3 вируса, которые были успешно удалены. (проверил по файлам).
Дальше выполнил скрипт АВЗ. Не знаю сделал ли он что-то, перезагрузка прошла очень быстро. После ребута выполнил пункт12. И ничего не помогло : ) Потом в безопасном режиме с помощью авз нашел список активных служб и драйверов. Службы стандартные, ничего лишнего нету. В дровах нашел что-то совсем мне незнакомое, что добросовестно и удалил : ) Винда упала. Вот поставил по новой ( диск не форматировал, просто удалил старую папку ). Загрузилось нормально. Поставил КИС7..125. Щас проверяю комп. Повключал все возможные анализы, прозащиту, эвристику, всё на максимуме. Если что-то найдет, то выложу сюда что именно. Симптомы: Никак не удавалось запустить HIJackThis. RKUnhooper не мог просканировать диск. ( да и ничего подозрительного не находил). Невозможно работать с СДромом из под любого юзера. (ошибки чтения, хотя диски вполне рабочие). Нельзя убить процес диспетчером. Не показываются иконки в трее, хотя приложения загружались. Проверку нодом что-то убивало. Ну и косметические мелочи, типа настроек системи ( скрытые файлы/папки, менюшки, выд файлов/папок итд.). А да еще, приложения запускались только некоторое время. Потом слетала спецификация ехе bat файлов. Интересно что-же все таки это было ? = ) |
Kis нашел какой-то Trojan.Win32.Autoit... и BHO который нот_вирус.
СДром сдох. Не определяется в биосе. Какой-то вирус мог его спалить? Просто до загрузки винды ром работал нормально. Тоесть с него ставилась система и с него стартовал LiveCD. А вот под виндой уже начинались ошибки. Теперь вообще не определяется ( хотя возможно проблема в чем-то другом так как шлейфы/маму я еще не проверял ). |
|
Троян, заразился win32.trojan PWS.Ld Pinch
Подхватил вот такую заразу тоже,называется win32.trojan PWS.Ld Pinch,ворует пароли. Удаляю его с Ad_ Aware, после нового старта он снова тут. Каспер его не видит... Сделал откат с Акронисом,думал уйдет,да не тут то было... Что же делать с ним? Формат не желательно...
|
Kuschmir, C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\ie.cmd
C:\WINDOWS\system32\msnws.exe c:\windows\svchost.exe (размер 23396 байт) - LdPinch собственной персоной Может и отличаться размером. Удаляй их. Прицепи сюда лог HijackThis AVZ тебе в руки Назначение программы и решаемые ей задачи Обязательно почитай документацию по AVZ. Ещё очень полезно прочитать ЭТО |
Цитата:
|
Kuschmir, Скачай HijackThis
сделай лог и выкладывай здесь. Скачай AVZ , распакуй, обнови и перейди в меню Файл-Исследование системы. Полученный лог запакуй и выкладывай здесь. Также скачай Sfix Он распакуется в корень диска C. В безопасном режиме (обязательно) перейди в папку C:/SDFix и запутси RunThis.bat. После перезагрузки программа продолжит лечение и создаст лог. Его тоже желательно показать. З.Ы. Зараза серьезная, поэтому не особо надейся на антивирусы. После лечения нужно будет поменять пароли. Они уже известны злоумышленнику. |
Скачал программы,сделал логи, но не знаю как их тут выложить...Или надо куда то залить? Sfix скачал,распаковал в С, но ка сделать это:
Цитата:
|
Ну здрасьте...
Во время загрузки нажимай клавишу F8. На немецком не знаю как выглядит пункт. На английском Safe Mode. |
Цитата:
|
Да нет ,конечно С диск,просто меню немного другое. В русском Виндовс по умолчанию программы идут : C/ Programm Files или Documents and Settings и т.д. ,а у меня этого нет,идет так C/ Programme и Dokumente und Einstellungen и т.д.Поэтому и не найду...Ладно попробую разобраться...
|
Kuschmir, справа окна редактирования есть кнопка "Прикрепить файл" (обрати внимание на расширение файла, иначе не прицепишь). Или в конце концов скопируй лог через буфер и вставь сюда как текст, если по другому не получается.
 |
Вложений: 2
Вот тут файлы ...
|
Вложений: 1
Хорошо,сейчас попробую,а вот файл...
|
В логе ничего опасного не видно.
Перейди меню Файл -- Выполнить скрипт. Скопируй код и нажми "запустить". Код:
beginИ еще. Можешь указать путь, где Ad-aware находит трой? Если в папках восстановления системы, то достаточно отключить восстановление системы на всех дисках. Перегрузиться. Включить восстановление системы на системном диске. |
Вложений: 2
Вот тут я сделал откат с Акронисом,поставил на проверку Ad-Aware,он конечно нашел троян.И вот я ничего не делая снова сделал логи. Тут точно есть вирус ! Сейчас попробую найти,где находит Ad-Aware троян,выложу попозже...
|
Вложений: 1
Сделал фото в Ad-Aware,где лежит вирус...
|
У тебя есть камера Logitech?
Ну я тебе в скрипте повыше задал удаление этих папок, которые у тебя на фото. BC_DeleteFile('C:\Dokumente und Einstellungen\Nikolaj Seibel\Anwendungsdaten\Mra\Update\games.dll'); BC_DeleteFile('C:\Dokumente und Einstellungen\Nikolaj Seibel\Anwendungsdaten\Mra\Update\menu.dll'); Куки тебе вреда никакого не принесут. |
В смысле вебкамера? Нет, но завтра могу поставить,а что ?Есть,в смысле будет Labtec...
|
Цитата:
Можешь его выложить запакованным на zalil.ru, а ссылку мне в личку бросить. |
Severny, файл залил,ссылку отправил в личку
А что показали, кстати ,последние логи? Папки удалил с AVZ,она сделала нов. старт,снова проверил с Ad-Aware- троян снова тут... |
Kuschmir, выложи этот файлик с паролем, нам любопытным (например - пароль архива -имя файла без расширения). Тоже интересно.
|
тут вот лежит он... http://slil.ru/25011681
|
Вложений: 1
а тут повторный лог,после удаления папок
|
Ладно, выполни так. Хуже не будет. Ты SDFix запускал? Лог показать можешь?
http://forum.oszone.net/post-664017-11.html Код:
begin |
Цитата:
On-line проверка файлов на вирусы сразу несколькими антивирусами |
Severny,
Цитата:
SDFix запускал тоже,только не знаю куда прога лог положила...Вирус всеравно тут,блин... Сейчас еще раз запущу SDFix... |
Вложений: 1
С SDFix проверил,протокол выложил... Сейчас проверяю снова с Ad-Aware и зараза все равно тут...удалил,откл. востановление системы... Но это же не выход ,троян то жив... Не миновать формат С,блин...
|
Kuschmir, Чтобы нам больше не гоняться за призраками, даю тебе ссылку на эту проблему
http://virusinfo.info/showthread.php?p=131637 Скажу сразу, ребята на форуме знают, что делают. В хелперы просто так не попасть. Так что можешь выкинуть этот Ad_ Aware и спать спокойно. Скажу тебе по секрету прога туфта. Источник проверенный. Уж лучше поставь Spybot Search and Destroy. Так что не надо format. Чисто у тебя. Кстати, обнови базы этого "ловца нечести". Скорее всего он ничего больше не найдет. |
Спасибо за беспокойство. Попробую теперь Spybot Search and Destroy. Удалю Ad-Aware,а то уже этот троян мне...
|
Kuschmir, Просто мне подсказали, что этот баг Ad-Aware пофиксил, и теперь, если обновить базы программы, то он уже этого троя не найдет. Попробуй. Интересно же. :)
|
Несуществующие трояны или качество антивирусов
Такой вопрос. Почему многие антивирусы видят троянов там где их нет? К примеру создал файл .exe "Bat To Exe Converter", проверил на virustotal, файл пустой, без команд, а там якобы куча троянов. И с "Quick Batch File Compiler" такая же история. Есть мнения по поводу?
 |
Понимая риторичность вопроса, всё ещё надеюсь прочитать конструктивные мнения по данному вопросу. Неужели не найдётся специалиста по безопасности, который сможет доступно растолковать проблему. У меня сложилось мнение, что ответы на такие вопросы - своеобразное табу. Или я не прав? Может стоит создать раздел на форуме "Как защитить компьютер и неопытного пользователя от антивирусов?" :)
|
Rostlv, не в ту тему обратились, тут оказывется практическая помощь в лечении от зловредов, вам скорее всего в раздел Защита компьютерных систем
По теме - можно предположить, что сигнатура файла, созданная с помощью "Bat To Exe Converter" сходится с сигнатурой зловредов |
А можете ли вы, Pili, перенести эту тему сами? Я просто не нашёл более подходящего места на форуме.
|
Rostlv, все зависит от функциональности Вашего exe. Антивирусы действительно могли усмотреть сигнатуру в Вашем файле. Ведь сигнатура - это образец не всего вируса, а его уникальной части. Но сигнатуры тоже пишут люди, которые не застрахованы от ошибок. Очевидно данная сигнатура не настолько уникальна. Еще могла сработать проактивная защита, которая в Вашей программе видит подозрительные действия (самокопирование, запись в автозагрузку и т.п.). В общем посмотрите Ваш код на предмет действий, которые могут восприниматься подозрительно.
|
VladDV! Парадокс в том, что файл создан умышленно пустым, там нет никаких команд. Но ещё смешнее, когда в файл заношу любой код, вирусов становится как бы меньше. Ещё интересный факт - из дня в день количество вирусов меняется, то в большую, то в меньшую сторону. И вовсе сбивает с толку классификация вирусов - совсем не однозначная.
|
Мда, тут уже от компайлера все зависит. EXE уже сам по себе не может быть пустым. Может компайлер что-то и генерит лишнее. Кстати, Bat To Exe Converter тоже вполне может быть заражен, и в ваши exe-шки приклеивать еще свою часть. Вариантов масса, вплоть до некачественной проверки на указанном сайте. Rostlv, а Вы не пробовали проверить локальным антивирем:
1. Вашу систему (на предмет наличия в ней заразы, которая может цепляться к EXEшникам) 2. Непосредственно сам EXEник. |
Конечно проверял. Разные антивирусы определяют мой exe по разному, но точно так как на virustotal. Мне кажется, что некоторые антивирусы просто занесли создателей exe (программы - конвертаторы) файлов в чёрный список, поскольку таким способом проще всего бороться с разными зловредами. Но каково авторам данных программ, причём очень удобным и зачастую необходимым?
|
Цитата:
Мне как-то пришлось писать одну клиент-серверную программу для мониторинга серверов. Я тоже туда на первый взгляд ничего такого не вставлял. Тем не менее антивири определили ее как троян. А все дело в действиях, которые она выполняла - слушала порт, по запросу сканила систему на предмет ошибок и отправляла отчет по сети. Почти так же работают трояны - слушают порт, реагируют на удаленные команды, пересылают инфу и т.д. |
Но ведь не все антивирусы определяют exe как вирус. Лидеры, те что пользуются заслуженным уважением, ничего подозрительного не находят в файлах. Да и что-то не верится, что-бы программы, создававшиеся просто для конвертации файлов, применяли и дополнительные команды. Я несколько месяцев слежу за этой проблемой и заметил, что чем свежее базы антивирусов, тем больше они находят зловредов, хотя отдельным версиям конвертаторов уже больше года. И ещё, если установить антивирус скажем 3-х месячной давности, не обновлять базы, проверить созданный exe, то вирусов там не будет. Достаточно обновить и они появятся.
|
Rostlv, если Вы хотите узнать точную причину, почему именно в вашем случае exe-шник определяется как троян, Вам нужно найти человека, который бы смог распотрошить ваш exe-шник в чем-нибудь, типа SoftIce, и посмотреть, что же там действительного есть такого злонамеренного. Я к сожалению еще так не умею :)
|
На 13 мая 2008 г антишпион Spyware Doctor определяет calc.exe из WinXP как троян-данлоадер. А Вы про Batch Compiler... :)
|
Цитата:
А еще Касперский когда-то пытался назвать explorer.exe Трояном Hukk... Цитата:
|
Котяра! В принципе согласен, но если напишет не хакер и в файле будут миролюбивые команды? Представте себе поведение обычного пользователя в таком случае, всё в карантин или на удаление. Не все же могут отличить вирус от ложной тревоги. А как быть в случае когда антивирусы реагируют на Windows-файлы как на троянов о чём вы упомянули?
Вот сегодня скачал с сайта Trojan Killer, оказывается у меня на виртуалке есть нехорошие файлы (с чем сложно не согласиться, в особенности с 1 и с 3) :) Конечно они как бы разрешённые, но всё же...  |
Цитата:
|
Так тема то собственно не только про батники, а немного шире. :)
|
Цитата:
Windows Genuine Advantage Validation Tool (зеленая галочка) - модуль от Microsoft, скачивается при обновлении Windows, выводит уведомления, что Windows пиратский (если он пиратский). Обсуждение вопросов удаления этого модуля не допускается пунктом 3.18 правил. - почти безопасно Windows Media Player (зеленая галочка) - понятно, что это. Безопасно. WUWebControl Class (зеленая галочка) - Windows Update. Безопасно. XML Parser (зеленая галочка) - вспомогательная программа (вроде от MS). Безопасно. CTFMON.EXE (вопросик) - вопросов с этим у меня нет. Это языковая панель :) Безопасно. VMUserServices (вопросик) - не знаю. Вроде что-то для виртуалки. Так что ни один из объектов не представляет угрозы. |
Да я понимаю назначение данных файлов. Я о другом, если программа предназначена для отлова троянов и в своём окне размещает Windows Genuine Advantage Validation Tool, то появляются странные мысли... :)
VMUserServices - дополнительная служба-функция Virtual PC, для ускорения работы, перемещения файлов между реальной и виртуальной машинами. |
Цитата:
Цитата:
|
Думаю будет интересно. Наковырял я вот ТАКУЮ ШТУКУ...
Какаето говорят новая и очень опасная компьютерная программа-вирус, появилась яко бы с конца минувшей недели. Кто нибудь сам отлавливал этого ЗВЕРЯ??? Подскажите и поделитесь... |
Троян в системе ICQ
Внимание, появился троянский вирус в аське. От какого-либо человека который в вашем контакт-листе (даже от друзей) приходит сообщение подобного рода:
"Привет! Как дела? Слушай, я тебя умоляю, помоги мне! Я учавствую в конкурсе "СейшСтрит 2008". Помоги выиграть Apple Iphone. В пятницу опубликуют результаты, а я на 2м месте. Теперь вся надежда на смсголосование. Поддержи, пожалуйста. отправь смс с текстом 16+7653324 на короткий номер 7099. Стоимость смс 0.7 доллара с учётом ндс. Пожалуйста. Отблагадарю потом чем смогу. Заранее спасибо!" Есть также разные варианты сообщения, но во всех просят одно: перечислить деньги или отправить смс сообщение. Прошу форумчан не отвечать на такие сообщеня, это просто выкачивалка денег!!!! |
Купился, чтоль?
Понятно же, что разводилово :nono: |
Чесно говоря, то да. Поэтому предупреждаю остальных.
|
Цитата:
|
|
Цитата:
|
Котяра, ага, "70 центов". А теперь спроси у F@N-F@N, сколько реально со счета ушло ;)
|
Сняли действительно 70 центов.
Я с Украины, поэтому со счета снялось 4 гривни (это 19 рублей). Цитата:
|
Эта смс делает лидером участника под номером 7653324, я нашёл виновника! это хак-блог http://blogs.mail.ru/mail/1a/
неудивительно, что он уже был в лидерах)) |
Как определить, это троян или безобидный патч?
При сканировании ESET или Avira или другим антивирусом данный файл ( DU_Meter_4.0_Build 3009 RUS\Crack.exe)
оперделяется как Win32/Agent.OBN троянская программа. При сканировании KIS 2009 данный файл проходит проверку. Т.е. принятие решения о данной программе приходится принимать не антивирусу а мне!!! Интересно можно ли как-нибудь определить этот файл как троян или безобидный крэк!!? Т. к. я не программист, то определить наверно возможно только по поведению данной программы ( стучится она в сеть или нет). А если эта программа работает с сетью? :o Или есть другие способы??? Хотя у меня есть подозрение что хорошо замаскированный троян определить всёравно невозможно :( |
Цитата:
|
Win32/Agent.OBN - ознакомлен. - Троян(пользуюсь ESET). KIS 2009 - в топку
|
проверяйте на www.virustotal.com
|
Переименуй кейген в setup.exe, например, и проверь НОДом.
|
Переименовал, всёравно пишет троян и в карантин сносит. :cry:
Crack.exe переименовал на Setupp.exe Проверил на www.virustotal.com Мне понравился результат : Файл Setupp.exe получен 2008.11.16 14:18:00 (CET) Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО Результат: 17/36 (47.23%) Т.е. из 36 антивирусов 17 антивирусов сообщает что файл заражён :o |
Я думаю что вся эта проверка большая лажа.
Определить заражен файл или нет наверно подсилу программеру после декомпиляции программы. (не уверен что предпоследнее слово правильно написал) :unsure: |
Отправь на проверку в антивирусную лабораторию. Через день будешь знать, что и как.
|
покажите скриншот с virustotala. если там нету эвристических детектов тогда поздравляю=) вы словили троянчика=))
|
| Время: 10:40. |
Время: 10:40.
© OSzone.net 2001-
