29 replies to this topic

[old2]

Такая вот штука... Позавчера племяшке провели сеть, радости было недолго т.к. через несколько часов в браузере образовалась картина в полэкрана с полуголой тёткой, которая за свою ликвидацию просит отправить SMS-ку, проявляется на всех браузерах, даже в автономном режиме, антивир стоит NOD32, обновлённый, а вот антитрояна каж. нет!
Подскажите как поступить?

[коваль]

При попытке скачать программку из инета,ко мне рвался Троян,но НОД32 остановил загрузку,и удалил его,о чем было сообщение красным ,в нижнем правом углу экрана.

Может,несмотря на предупреждение НОДа,Вы все-таки установили что-то...?

Edited by коваль, 19 March 2010 - 11:37.

[Crowbar]

например тут http://www.drweb.com/unlocker/
можно попробовать сгенерировать ключ для разблокировки
и потом уже чистить комп

[Dob]

Сделайте востановление системы на последнюю контрольную точку всё уйдёт.

[дмитрий кам]

Сделайте востановление системы на последнюю контрольную точку всё уйдёт.

полностью согласен. я так и сделал.

[old2]

коваль, У меня на своём компе частенко появлялось такое, NOD справляется...А здесь впервые с таким столкнулся...В какую папку, интересно, они прописываются, чтобы их оттуда кышкнуть?

[old2]

Сделайте востановление системы на последнюю контрольную точку всё уйдёт.

В том вся и обида что винда была перезапущена, диск отформатирован бывшим хозяином, а ума создать контрольную точку хватило только после того как подхватили трояна...

[Dob]

В том вся и обида что винда была перезапущена, диск отформатирован бывшим хозяином, а ума создать контрольную точку хватило только после того как подхватили трояна...

И что нет ни одной системной ??? Быть такого не может.:zav:

[old2]

например тут http://www.drweb.com/unlocker/
можно попробовать сгенерировать ключ для разблокировки
и потом уже чистить комп

Вся беда что эта заставка почти во весь экран и прочитать и сгенерировать ничего невозможно...

Edited by old2, 19 March 2010 - 11:58.

[old2]

И что нет ни одной системной ??? Быть такого не может.:zav:

Факт! Последняя от вчера после "поимки" трояна...

[old2]

Если сейчас прогрузить антитрояна - поможет ли?

[коваль]

Посмотрите диск С,далее по папкам,В НОДе есть принудительное сканирование.

[Kraftwerk]

1. грузимся в саф-режиме (в идеале другим пользаком - Администратор, один раз будет возможность прогрузиться нормально)
2. грузим AVZ (слить можно здесь www.z-oleg.com) и запускаем чистку по полной втом числе настроек загрузки эксплорера и т.п. процессов

по идее и ручками можно этот тупой экзешничек удалить в реестре - сидит в "автозагрузочных" разделах (ищем по фразам "run" и "boot")


ЗЫ антивирусники (насколько сталкивался) ни один не выцеживает (NOD, NAV, Kasp...), ибо работает эта прожка очень даже обычно (не по-вирусному) :-)


после всего энтого ставим в систему нормальный файрволл и ослеживаем все гадские телодвижения :-)

Edited by Kraftwerk, 19 March 2010 - 12:10.

[old2]

Посмотрите диск С,далее по папкам,В НОДе есть принудительное сканирование.

Сейчас пойду к ней, попробую просканировать и установить антитроян, если будете в сети - отпишусь от Галя33 ,С ув. Old...

[old2]

Kraftwerk, Пож. попожробнее для чайника - как прогрузиться и.т.д. желательно пошагово плз!

[Герой XVI пятилетки]

Строчка для запроса в поисковичок д.б. такой: Порнобанер
http://virusinfo.info/deblocker/
http://support.kaspe...ruses/deblocker
http://www.drweb.com/unlocker/index/
http://www.esetnod32...upport/winlock/
http://www.google.co...телей через СМС
http://www.eavasi.ru/9800-sms/
Нод пропустил, потому что Нод это дело не воспринимает как вирус. Банер - это и не вирус.
Точки восстановления в виндовс - это очень интересный способ "спасения". Но он сработает лишь тогда, когда вы не крутите систему с административными правами. Впрочем, если вы не работаете постоянно под администратором, то и порнобанер подхватить бы не получилось. При назначенной постоянному пользователю административной роли, восстановление - это как стирка изгаженных трусов в сточной канаве. Если в канаве было не очень грязно, то отстирать получится.

[коваль]

Герой XVI пятилетки,
Прикольный комментарий-)

[old2]

Пошёл лечить, о результатах отпишусь, спасибо за помощь, с ув. Old...

[sawa-alex]

да и если все получится, создайте 2го пользователя с ограниченными правами, а администратора запарольте и оставьте в покое ) т.к. для обычных посиделок за ПК права админа практически никогда не нужны )

[sever1]

ЗЫ антивирусники (насколько сталкивался) ни один не выцеживает (NOD, NAV, Kasp...)

KIS в саф режиме выцеживает. Проверено неоднократно на разных системах.

[vovavipe]

в-общем так: эта хрень кладет болт на права (все пользователи в организации работают с правами обычного пользователя....вчера и седня члены на 10 компах нарисовались). НО...путем нехитрой проверки выяснил, что на этих компах был достаточно простой пароль локального администратора, который по всей видимости и был взломан (сейчас проверяю все политики... по ним пароли локальных админов должны меняться 1 раз в полгода)
PS авз конечно спас...как всегда, НО... оказалось, что в данном конкретном случае ограниченные права не помогают ( увы и ах...мой совет ВСЕМ: ПРОВЕРЬТЕ НА СТОЙКОСТЬ ПАРОЛЬ ЛОКАЛЬНОГО АДМИНА...хотяб здесь: http://www.passwordmeter.com/... пока не поздно
PPS да, винда лицензия vlk со всеми апдейтами, сеть за стенкой, интернет исключительно (за исключением бухов, у кот. все кстати нормуль) через прокси

Edited by vovavipe, 19 March 2010 - 13:48.

[Kraftwerk]

в-общем так: эта хрень кладет болт на права (все пользователи в организации работают с правами обычного пользователя....вчера и седня члены на 10 компах нарисовались). НО...путем нехитрой проверки выяснил, что на этих компах был достаточно простой пароль, который по всей видимости и был взломан (сейчас проверяю все политики... по ним пароли локальных админов должны меняться 1 раз в полгода)
PS авз конечно спас...как всегда, НО... оказалось, что в данном конкретном случае ограниченные права не помогают ( увы и ах...мой совет ВСЕМ: ПРОВЕРЬТЕ НА СТОЙКОСТЬ ПАРОЛЬ ЛОКАЛЬНОГО АДМИНА...хотяб здесь: http://www.passwordmeter.com/... пока не поздно
PPS да, винда лицензия vlk со всеми апдейтами, сеть за стенкой, интернет исключительно (за исключением бухов, у кот. все кстати нормуль) через прокси

так енто ж не вирус если про все "стенки" и т.п. защиты

для гадского такому типу прог достаточно голимого права юзака (главное чтобы он вовремя тупо нажмал кнопочку подтверждения), она ж не лезет выше "кернела"

но пользак второй в системе нужен уже хотя бы для возможности один раз грузануться нормально.

решение ИМХО: либо установка супер режимов в том же КИСе или т.п. (комп конечно начнет явно тормозить если не шибко сильный), либо установка файрвола и грамотное отслеживание его сообщений, без тупокого нажатия "Да" на все его предупреждения

В идеале, как и писал уже тут на форуме в подобной же теме - работа в интернете и в других потенциально "опасных" случаях вообще из-под отдельной системы-загрузки с возможностью восстановления этой "болванки" из бэкапа за 5 минут... мне, например для интернета очень прикольны на тех же асусах материнках фишка быстрой загрузки вообще только браузера для серфига из биоса (ну и еще там есть несколько приложений вшитых, типа скайпа торрента и т.п.) :-)

Edited by Kraftwerk, 19 March 2010 - 13:54.

[Герой XVI пятилетки]

Kraftwerk, так и переходи целиком в *nix-ы. Что же так страдать: бутиться то в одну ось, то в другую? Асустеки слизали идею с Big Blue. Голубой гигант, наверное, подсмотрел у sun-ов - реализацию базовой системы ввода вывода, основанной на eeprom. В результате любой пользователь может приобщиться к новшеству, которому уже лет двадцать.
Для того, чтобы порнобанер работал, необходимо установить надстройку (или плагин - кому как) для обозревателя. Если пользователь не наделён разрешениями, позволяющими эту процедуру провернуть, то вся процедура обламывается. Забавен рассказ о том, что некий исполняемый модуль, суть работы которого заключается в инсталляции надстройки, занимается ещё и подбором пароля. Меньше надо научно-фантастического кинематографа из-за океана смотреть. Всё проще. Роли расписаны скверно, администратор защищён фигово - вот человеки (пользователи рабочих станций) и пользуются. Зачем? А затем, что под администратором можно и геймсик себе прилепить, и организовать и-нет помимо корпоративной схемы, и вообще так удобнее неведомую флешку друга использовать на рабочем комп-е.

Edited by Герой XVI пятилетки, 19 March 2010 - 14:33.

[Ieroglif]

old2, собственно, никто не сказал главного...
Не пользуйтесь Internet Explorer'ом! Поставьте Firefox или Google Chrome, ну, или Оперу( у нее свои заморочки, поэтому ставлю ее в конец списка).
Опасность заражения уменьшиться на порядки.

[vovavipe]

old2, собственно, никто не сказал главного...
Не пользуйтесь Internet Explorer'ом! Поставьте Firefox или Google Chrome, ну, или Оперу( у нее свои заморочки, поэтому ставлю ее в конец списка).
Опасность заражения уменьшиться на порядки.

политика предприятия такова, что у всех пользователей (за искл. бухов) стоит мозилла....но в-целом да...в разы уменьшается вероятность при других браузерах...это по личному опыту скажу

PS да...еще, самое главное забыл...политики по откл. автозапуска почему то не применялись на этих (зараженных) компах.... avz все прибил...сейчас проверил, - все пучком, все применяется...никаких отклонений...продолжаю исследование одного из подопытных

[Madlen]

Не пользуйтесь Internet Explorer'ом! Поставьте Firefox или Google Chrome, ну, или Оперу( у нее свои заморочки, поэтому ставлю ее в конец списка).

С баша:
"Исследование показало, что 90% посетителей сайта www.mozilla.org используют браузер Internet Explorer."

[gawab]

С баша:
"Исследование показало, что 90% посетителей сайта www.mozilla.org используют браузер Internet Explorer."

А причина-то понятна - при установке окошек любой версии кроме как с осликом по Инету не пошаришь, вот все и идут сразу же а Оперу или Мозиллу, чтобы скачать правильный браузер и забыть на будущее об этом сайте, ибо проблем с Оперой, Мозиллой и Хромой всегда на несколько порядков меньше, чем с ослом... Вот и получается странная статистика... - с оперы или мурзилки на их сайтах обычно делать нечего :р

[alex]

Может не в тему но...
У себя в ИЕ в зонах безопасности - интернет - снял галочки ссо всех пунктов где хоть что-то напоминает о запуске скриптов.
Сценарии - активные сценарии - ОТКЛЮЧИТЬ во всех позициях.

Элементы ActiveX и модули подключения - ОТКЛЮЧИТЬ во всех позициях.

Установка элемнтов рабочего стола - ОТКЛЮЧИТЬ.

Пока у меня тишина.
Если нужно нормально посмотреть сайт - смотрю его в Мозилле или прописываю его в ИЕ в надежные узлы - где все включено.

Также на всякий случай стоит аудит всех событий (отказ и успех)

Edited by alex, 19 March 2010 - 21:57.

[Stregok]

Ахахах.)
Лже антивирус...
Качайте на здоровье-http://www.freedrweb.com/download+cureit/
Бесплатная утлита от Dr.Web.

[DAN]

http://www.passwordmeter.com/

палите палите свои паролики )) народ собирает библиотеку для брутфорса )