Новый троян? Помогите решить проблемку
#1
Posted 19 March 2010 - 11:24
Подскажите как поступить?
#2
Posted 19 March 2010 - 11:32
Может,несмотря на предупреждение НОДа,Вы все-таки установили что-то...?
Edited by коваль, 19 March 2010 - 11:37.
#3
Posted 19 March 2010 - 11:33
можно попробовать сгенерировать ключ для разблокировки
и потом уже чистить комп
#4
Posted 19 March 2010 - 11:39
#5
Posted 19 March 2010 - 11:43
Сделайте востановление системы на последнюю контрольную точку всё уйдёт.
полностью согласен. я так и сделал.
#6
Posted 19 March 2010 - 11:43
#7
Posted 19 March 2010 - 11:47
Сделайте востановление системы на последнюю контрольную точку всё уйдёт.
В том вся и обида что винда была перезапущена, диск отформатирован бывшим хозяином, а ума создать контрольную точку хватило только после того как подхватили трояна...
#8
Posted 19 March 2010 - 11:54
В том вся и обида что винда была перезапущена, диск отформатирован бывшим хозяином, а ума создать контрольную точку хватило только после того как подхватили трояна...
И что нет ни одной системной ??? Быть такого не может.:zav:
#9
Posted 19 March 2010 - 11:56
например тут http://www.drweb.com/unlocker/
можно попробовать сгенерировать ключ для разблокировки
и потом уже чистить комп
Вся беда что эта заставка почти во весь экран и прочитать и сгенерировать ничего невозможно...
Edited by old2, 19 March 2010 - 11:58.
#10
Posted 19 March 2010 - 11:57
И что нет ни одной системной ??? Быть такого не может.:zav:
Факт! Последняя от вчера после "поимки" трояна...
#11
Posted 19 March 2010 - 12:00
#12
Posted 19 March 2010 - 12:03
#13
Posted 19 March 2010 - 12:05
2. грузим AVZ (слить можно здесь www.z-oleg.com) и запускаем чистку по полной втом числе настроек загрузки эксплорера и т.п. процессов
по идее и ручками можно этот тупой экзешничек удалить в реестре - сидит в "автозагрузочных" разделах (ищем по фразам "run" и "boot")
ЗЫ антивирусники (насколько сталкивался) ни один не выцеживает (NOD, NAV, Kasp...), ибо работает эта прожка очень даже обычно (не по-вирусному) :-)
после всего энтого ставим в систему нормальный файрволл и ослеживаем все гадские телодвижения :-)
Edited by Kraftwerk, 19 March 2010 - 12:10.
On OuR aGe OiL wiLL sUfFiCe
#14
Posted 19 March 2010 - 12:08
Посмотрите диск С,далее по папкам,В НОДе есть принудительное сканирование.
Сейчас пойду к ней, попробую просканировать и установить антитроян, если будете в сети - отпишусь от Галя33 ,С ув. Old...
#15
Posted 19 March 2010 - 12:11
#16
Posted 19 March 2010 - 12:17
http://virusinfo.info/deblocker/
http://support.kaspe...ruses/deblocker
http://www.drweb.com/unlocker/index/
http://www.esetnod32...upport/winlock/
http://www.google.co...телей через СМС
http://www.eavasi.ru/9800-sms/
Нод пропустил, потому что Нод это дело не воспринимает как вирус. Банер - это и не вирус.
Точки восстановления в виндовс - это очень интересный способ "спасения". Но он сработает лишь тогда, когда вы не крутите систему с административными правами. Впрочем, если вы не работаете постоянно под администратором, то и порнобанер подхватить бы не получилось. При назначенной постоянному пользователю административной роли, восстановление - это как стирка изгаженных трусов в сточной канаве. Если в канаве было не очень грязно, то отстирать получится.
#17
Posted 19 March 2010 - 12:23
Прикольный комментарий-)
#18
Posted 19 March 2010 - 12:23
#19
Posted 19 March 2010 - 12:50
#20
Posted 19 March 2010 - 13:05
KIS в саф режиме выцеживает. Проверено неоднократно на разных системах.ЗЫ антивирусники (насколько сталкивался) ни один не выцеживает (NOD, NAV, Kasp...)
#21
Posted 19 March 2010 - 13:44
PS авз конечно спас...как всегда, НО... оказалось, что в данном конкретном случае ограниченные права не помогают ( увы и ах...мой совет ВСЕМ: ПРОВЕРЬТЕ НА СТОЙКОСТЬ ПАРОЛЬ ЛОКАЛЬНОГО АДМИНА...хотяб здесь: http://www.passwordmeter.com/... пока не поздно
PPS да, винда лицензия vlk со всеми апдейтами, сеть за стенкой, интернет исключительно (за исключением бухов, у кот. все кстати нормуль) через прокси
Edited by vovavipe, 19 March 2010 - 13:48.
Владимир
#22
Posted 19 March 2010 - 13:48
в-общем так: эта хрень кладет болт на права (все пользователи в организации работают с правами обычного пользователя....вчера и седня члены на 10 компах нарисовались). НО...путем нехитрой проверки выяснил, что на этих компах был достаточно простой пароль, который по всей видимости и был взломан (сейчас проверяю все политики... по ним пароли локальных админов должны меняться 1 раз в полгода)
PS авз конечно спас...как всегда, НО... оказалось, что в данном конкретном случае ограниченные права не помогают ( увы и ах...мой совет ВСЕМ: ПРОВЕРЬТЕ НА СТОЙКОСТЬ ПАРОЛЬ ЛОКАЛЬНОГО АДМИНА...хотяб здесь: http://www.passwordmeter.com/... пока не поздно
PPS да, винда лицензия vlk со всеми апдейтами, сеть за стенкой, интернет исключительно (за исключением бухов, у кот. все кстати нормуль) через прокси
так енто ж не вирус если про все "стенки" и т.п. защиты
для гадского такому типу прог достаточно голимого права юзака (главное чтобы он вовремя тупо нажмал кнопочку подтверждения), она ж не лезет выше "кернела"
но пользак второй в системе нужен уже хотя бы для возможности один раз грузануться нормально.
решение ИМХО: либо установка супер режимов в том же КИСе или т.п. (комп конечно начнет явно тормозить если не шибко сильный), либо установка файрвола и грамотное отслеживание его сообщений, без тупокого нажатия "Да" на все его предупреждения
В идеале, как и писал уже тут на форуме в подобной же теме - работа в интернете и в других потенциально "опасных" случаях вообще из-под отдельной системы-загрузки с возможностью восстановления этой "болванки" из бэкапа за 5 минут... мне, например для интернета очень прикольны на тех же асусах материнках фишка быстрой загрузки вообще только браузера для серфига из биоса (ну и еще там есть несколько приложений вшитых, типа скайпа торрента и т.п.) :-)
Edited by Kraftwerk, 19 March 2010 - 13:54.
On OuR aGe OiL wiLL sUfFiCe
#23
Posted 19 March 2010 - 14:13
Для того, чтобы порнобанер работал, необходимо установить надстройку (или плагин - кому как) для обозревателя. Если пользователь не наделён разрешениями, позволяющими эту процедуру провернуть, то вся процедура обламывается. Забавен рассказ о том, что некий исполняемый модуль, суть работы которого заключается в инсталляции надстройки, занимается ещё и подбором пароля. Меньше надо научно-фантастического кинематографа из-за океана смотреть. Всё проще. Роли расписаны скверно, администратор защищён фигово - вот человеки (пользователи рабочих станций) и пользуются. Зачем? А затем, что под администратором можно и геймсик себе прилепить, и организовать и-нет помимо корпоративной схемы, и вообще так удобнее неведомую флешку друга использовать на рабочем комп-е.
Edited by Герой XVI пятилетки, 19 March 2010 - 14:33.
#24
Posted 19 March 2010 - 16:32
Не пользуйтесь Internet Explorer'ом! Поставьте Firefox или Google Chrome, ну, или Оперу( у нее свои заморочки, поэтому ставлю ее в конец списка).
Опасность заражения уменьшиться на порядки.
— Пьер Рамбаль-Коше(с)Игрушка
Все, написанное мной, является оценочным суждением.
#25
Posted 19 March 2010 - 16:41
old2, собственно, никто не сказал главного...
Не пользуйтесь Internet Explorer'ом! Поставьте Firefox или Google Chrome, ну, или Оперу( у нее свои заморочки, поэтому ставлю ее в конец списка).
Опасность заражения уменьшиться на порядки.
политика предприятия такова, что у всех пользователей (за искл. бухов) стоит мозилла....но в-целом да...в разы уменьшается вероятность при других браузерах...это по личному опыту скажу
PS да...еще, самое главное забыл...политики по откл. автозапуска почему то не применялись на этих (зараженных) компах.... avz все прибил...сейчас проверил, - все пучком, все применяется...никаких отклонений...продолжаю исследование одного из подопытных
Владимир
#26
Posted 19 March 2010 - 17:07
Не пользуйтесь Internet Explorer'ом! Поставьте Firefox или Google Chrome, ну, или Оперу( у нее свои заморочки, поэтому ставлю ее в конец списка).
С баша:
"Исследование показало, что 90% посетителей сайта www.mozilla.org используют браузер Internet Explorer."
#27
Posted 19 March 2010 - 18:45
А причина-то понятна - при установке окошек любой версии кроме как с осликом по Инету не пошаришь, вот все и идут сразу же а Оперу или Мозиллу, чтобы скачать правильный браузер и забыть на будущее об этом сайте, ибо проблем с Оперой, Мозиллой и Хромой всегда на несколько порядков меньше, чем с ослом... Вот и получается странная статистика... - с оперы или мурзилки на их сайтах обычно делать нечего :рС баша:
"Исследование показало, что 90% посетителей сайта www.mozilla.org используют браузер Internet Explorer."
#28
Posted 19 March 2010 - 21:54
У себя в ИЕ в зонах безопасности - интернет - снял галочки ссо всех пунктов где хоть что-то напоминает о запуске скриптов.
Сценарии - активные сценарии - ОТКЛЮЧИТЬ во всех позициях.
Элементы ActiveX и модули подключения - ОТКЛЮЧИТЬ во всех позициях.
Установка элемнтов рабочего стола - ОТКЛЮЧИТЬ.
Пока у меня тишина.
Если нужно нормально посмотреть сайт - смотрю его в Мозилле или прописываю его в ИЕ в надежные узлы - где все включено.
Также на всякий случай стоит аудит всех событий (отказ и успех)
Edited by alex, 19 March 2010 - 21:57.
#29
Posted 12 May 2010 - 20:38
Лже антивирус...
Качайте на здоровье-http://www.freedrweb.com/download+cureit/
Бесплатная утлита от Dr.Web.
#30
Posted 14 May 2010 - 16:13
http://www.passwordmeter.com/
палите палите свои паролики )) народ собирает библиотеку для брутфорса )
1 user(s) are reading this topic
0 members, 1 guests, 0 anonymous users