|
Всем доброго времени суток !
Не так давно Касперский 3.5 начал находить сабжевый троян. Вот инфа по нему с viruslist.com: Цитата:
Знаю, что подобные темы уже были, и я их читал. С реестром и настройками IE тоже шаманил, но результатов это никаких не дало. Может Вы что-нибудь посоветуете ? Какие заплатки надо поставить ? Система такая: WinXp Pro SP1 Rus IE 6.0.2800 Opera 7.22 |
взял с symantec. запусти полный скан системы, проверь чтоб антивирус преверял все файлы - найденные удаляй. более подробно сдесь
|
Vich
Я все это проделал с помощью Касперского. Причем базы обновляю через день. Там проблема ИМХО в том, что IE "дырявый". А вот какую заплатку поставить - вот это вопрос. |
|
Vadikan
По поводу удаления - это понятно. А вот по поводу заплатки :idontnow: |
Chieftain
Заплатки - вряд ли... Вроде у Ad Aware есть фича - сидит в трее и предупреждает об установке всякого подозрительного софта. Хорошая превентивная мера. |
Vadikan
Когда у меня AVPMonitor находит этот троян, ни Ad Ware ни trojan remover его не видят:splat: (базы все обновлены). Приходится удалять его вместе с объектом. Троян появляется в IE. В Opera 7.22 все без проблем. Вот что нашел. http://support.microsoft.com/default...;EN-US;q313675 Только проблема в том, что я не знаю, что именно качать и где это найти на русском.:( Vadikan, у Вас, вроде, с английским все нормально, может подскажите, ЧТО мне нужно. Я скачал "Q313675" , но при установке выдается сообщение "для этого обновления требуется Internet Explorer 6.0". Сейчас у меня: Версия IE:.xpsp2.030422-1633 Выпуски обновления IE:; SP1; Q824145 Подскажите, пожалуйста, плохому ученику, который английский язык в школе плохо учил. |
Chieftain
Статья, на которую ты даешь ссылку, описывает уязвимость IE, которая, в принципе, может быть причиной проблемы. Речь там о том, что можно создать страницу, при попадании на которую, самостоятельо запускается исполняемый файл. Другое дело, что эта заплатка уже входит в состав SP1 для IE 6.0, потому ты и установить ее не можешь. Здесь можно найти все апдейты для IE, но если ты регулярно используешь Windows Update, и загружаешь критические обновления, то скорее всего ничего тебе не надо. Судя по твоему апдейту Q824145 - так и есть, Ноябрь 2003, и ничего свежее на сайте M$ нет. Теперь конкретно по сабжу. Лаборатория Касперского все сводит к тому, что надо заплатку ставить от M$. На том же viruslist.com, в описании сабжа есть ссылка на статью М$, в которой описана уязвимость виртуальной машины (VM) и говорится о дырках связанных с ActiveX. Там рекомендуется установить последнюю версию VM. Однако, уязвимость почему-то относится к IE версий 5.5 и ниже. Тем не менее, M$ более не поставляет VM из-за лицензионных проблем с SUN, и соответственно загрузить можно только VM от SUN. В то же время, M$ продолжает выпускать обновления для своей VM для пользователей Windows Update. Отсюда варианты: поставить новую VM или лучше всего запретить исполнение ActiveX. Сделать это можно в настройках фаервола (Outpost, ZoneAlarm и т.д.) или в настройках IE (вкладка Безопасность->Дополнительно). И там и там можно либо полностью запретить, либо спрашивать разрешения у пользователя на исполнение. Не знаю уж насколько запрет активексов в IE предотвращает данную проблему :-) |
Chieftain
Вот наткнулся на подробное описание того, как сменить M$ VM на SUN VM http://www.windows-help.net/WindowsXP/howto-21.html |
Vadikan
Огромное спасибо за разъяснения и внимание. :up: Буду разбираться (и учить Инглиш) :) |
Эхххх..... Фокус не удался:(
Поставил с нуля VM от Sun, запретил ActiveX в IE, и все равно ЭТО вылезает непонятно откуда:o |
Chieftain
Информация с вирусного листа McAffee, но это просто первое, что подвернулось под руку. Я переведу ключевые моменты. js.seeker - обнаружен 10/26/200 Описание Троян меняет стартовую и поисковую страницы бразуера. Windows Scripting Host должен быть установлен в системе для запуска трояна. Вариантов трояна существует много, и ваш случай может отличаться от описанного здесь. Вы можете получить троян под именем "runme.hta". Откртытие файла приводит к нескольким измениям в реестре: HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL HKCU\Software\Netscape\Netscape Navigator\Main\Home Page Исходные значения реестра сохранены в файлы "HOMEREG111.REG", "BACKUP1.REG", and "BACKUP2.REG" в директории Windows. Пользователи могут также встретить другую версию вируса, кот. Определяется как Reg/Seeker. Единственная разница в том, что Reg/Seeker живет в reg. файле, а не в Java скрипте. Симптомы Измененные стартровая и поисковая страница браузера Наличие файлов "runme.hta", "removeit.hta" или "homereg111.reg" Метод заражения За редкими исключениями новые ключи реестра записываются в файл homereg111.reg". Существующие ключи сохраняются в файлы "backup1.reg", and "backup2.reg". Файл homereg111.reg затем импортируется в реестр. И в конце "removeit.hta" запускается в попыте стереть файл "C:\WINDOWS\START MENU\PROGRAMS\STARTUP\runme.hta" Инструкции по удалению. (тут рекомендуется использовать McAffee для обнаружения и удаления) + -Удалите обнаруженные файлы -Восстановите стартовую и поисковую страницы -Установите заплатку для M$ VM Надеюсь, понятно, какие файлы искать, удалять и какие ключи реестра восстанавливать. Раз он у тебя снова появляется, значит ты его просто не до конца удалил. Если ничего не поможет... (сейчас меня закидают помидорами любители AVP ;-) попробуй другой антивирус - может он удачнее справится с проблемой. |
Vadikan
А WinXP стерпит, если одновременно будет два антивируса стоять ? |
Chieftain
Не знаю, не пробовал. Не думаю, что Касперский потерпит кого-то рядом с собой. Попробуй сначала вручную поудалять все и восстановить бэкапы реестра, созданные при установке этой заразы. |
Всем !
Ахтунг !!! Этот троян обитает на халявном mp3 сайте ...www.rmp.ru *Там не только я его хватал. Будьте осторожны ! Vadikan Если не трудно, проверьте этот сайт, пожалуйста :shuffle:. У Вас, скорее всего, файер какой-нибудь стоит, вот и посмотрим:) |
Chieftain
Цитата:
|
Форумное мыло временно не работает. Можешь свое в аську скинуть мне.
|
| Время: 11:22. |
Время: 11:22.
© OSzone.net 2001-