25.05.2010, 09:42 | #16 | |
Матёрый пользователь
Регистрация: 11.05.2007
Адрес: Москва
Сообщений: 3,781
Вы сказали Спасибо: 497
Поблагодарили 1,443 раз(а) в 858 сообщениях
|
Цитата:
А то помнится во времена буйного распространения Conficker, без обновлений ОС, аваст жил 10 минут страшно матерясь, потом всё падало.
__________________
!!Russian Railways Forever!! МТЖДТ им. Ф.Э. Дзержинского, ПС12->ПС42 (1999-2003), Славное депо Николаевка ЛВЧД-4 (2003-2006) |
|
01.01.2007, 12:00 | |
Яndex
Спонсор
Регистрация: 01.01.2007
Сообщения: 500
Реклама показывается изредка по случайному принципу |
РЕКЛАМА
|
25.05.2010, 09:53 | #17 |
Комендант-администратор
Регистрация: 10.04.2007
Адрес: Иркутск, ст.Кая ВСибЖД
Сообщений: 16,491
Вы сказали Спасибо: 6,328
Поблагодарили 15,514 раз(а) в 3,785 сообщениях
|
Топикстартер сидел-сидел в теме и пропал куда-то. Вирус пожрал?
|
25.05.2010, 10:26 | #18 |
Заведующий первым отделом
Регистрация: 18.09.2009
Сообщений: 4,497
Вы сказали Спасибо: 2,517
Поблагодарили 3,038 раз(а) в 915 сообщениях
|
в феврале у меня такая же хрень была , я прошел лечение здесь : http://virusinfo.info/deblocker/
и все вылечил: и после этого случая пользуюсь прогой Ad Muncher - ни одного вредоностного банера не пропустила если что могу выложить... p.s даже рекламу на траинсим блокирует
__________________
жуткий баянист) Последний раз редактировалось vitalzd; 25.05.2010 в 10:31. |
25.05.2010, 11:15 | #19 | |
Матёрый пользователь
Регистрация: 11.05.2007
Адрес: Москва
Сообщений: 3,781
Вы сказали Спасибо: 497
Поблагодарили 1,443 раз(а) в 858 сообщениях
|
Цитата:
Бесплатно и никаких дополнительных программ ставить не нужно
__________________
!!Russian Railways Forever!! МТЖДТ им. Ф.Э. Дзержинского, ПС12->ПС42 (1999-2003), Славное депо Николаевка ЛВЧД-4 (2003-2006) |
|
25.05.2010, 11:31 | #20 | |
Заведующий первым отделом
Регистрация: 18.09.2009
Сообщений: 4,497
Вы сказали Спасибо: 2,517
Поблагодарили 3,038 раз(а) в 915 сообщениях
|
Цитата:
Ad Muncher-это не бесплатная программа ой , я понял суть ответа... что то я после вчерашних поседелок плохо соображаю
__________________
жуткий баянист) Последний раз редактировалось vitalzd; 25.05.2010 в 11:34. |
|
25.05.2010, 11:39 | #21 |
Разработчик
Регистрация: 01.02.2008
Адрес: Санкт-Петербург
Сообщений: 18,927
Вы сказали Спасибо: 11,488
Поблагодарили 10,264 раз(а) в 3,837 сообщениях
|
Эта хрень постоянно модифицируется, антивирус тут ни причем, пока в него не заложат сигнатуру файла-носителя вируса он реагировать не будет, чтобы понять, как работают такие "вирусы" можно взять любой бантик, стереть то, что в нем написано и написать одну строчку:
Del /-s /f /q С:\*.* ["С" написано по русски, чтобы мало ли кто в командную строку не вставил =)) ] Так вот ни один антивирус даже не квакнет на этот бантик, зато после запуска на диске Це останутся только заблоченные файлы винды, больше ничего, все папки пустые, ни одна программа больше работать не будет, своих фоток на Це вы тоже больше не найдете и т.д. Букву диска естественно можно поменять или чего там мелочится, сразу пишем: Del /-s /f /q С:\*.* Del /-s /f /q D:\*.* Del /-s /f /q E:\*.* Del /-s /f /q F:\*.* И т.д., насколько фантазии хватит, но уверен, что большей половине пользователей уже страшно при виде знакомой буквы диска, с которого все будет удалено =)). Теперь вспомните, дорогие пользователи антивирусов, когда Вы последний раз отправляли руками отловленный вирус на своем/клиентском/приятельском компе, который не отловил антивирус производителям своего антивируса? А пока они его не "увидят" в обновление его сигнатуру никто не внесет. Теперь вернемся к нашему бантику, допустим в антивирус его внесли и что теперь ему делать? Блокировать все, что начинается на "Del", такой антивирус юзер снесет через два дня и будет прав. Заблокировать файл bat именно с таким весом в байтах? Ок, но вариант "Del /-s /q С:\*.*" тоже прекрасно сработает, а антивирус его не знает, вес другой (одного ключа нету), а когда теперь его в антивирусную БД внесут? И так далее до бесконечности. Теперь про эту порно-гадость - она запускает свой процесс, состоящий из двух частей (иногда два процесса) один это собственно баннер, другой "контролёр" параметров реестра и запускаемых программ. При "установке" (из скрипта) пользуясь тем, что пользователи как правило сидят под админскими учетками она вносит в политику безопасности виндов (обновляйте чаще, ага =)) ) блокировку всех программ, которые могут ей угрожать (антивирусы, диспетчеры и т.п.), кроме того в реестре нарушаются их ключи и параметры, так "падает" в т.ч. и антивирусная программа. Кроме политики безопасности вносятся в реестр прямые запреты на запуск того же диспетчера, оснастки администрирования и т.д. "Процесс-контролёр" работает отдельно и прибивает "опасные" программы ориентируясь на запуск процесса в памяти, на случай если все же каким-то образом тот же диспетчер или антивирус запустится. Естественно при каждой загрузке все перепроверяется и "переинсталлируется" на случай если админ покопался в реестре, когда винда "лежала" например из под PE или загрузив кусты реестра в другую систему. Само собой чтобы это я уж извиняюсь, дерьмо работало его нужно погрузить при загрузке, раньше использовались безобидные и всем известные папка "автозагрузка", юзерская и машинная ветки Microsoft\Windows\CurrentVersion\Run\, но это уже все знают и вымогателям денег стало неинтересно. Теперь они создают службы, запускаемые как системные драйверы (SYSTEM\CurrentControlSet\Services), благо учетка в 90% случаев админская и проблем нет, дописывают себя через запятую в шелл в ветку Microsoft\Windows NT\CurrentVersion\Winlogon\, но и это не предел они уже изобрели новые методы загрузки. Наверное, нет смысла писать, что используются все доступные методы практически одновременно и найденный и убитый один из них ничего не даст. Сами исполняемые файлы модифицируются даже от загрузки к загрузке, так что антивирус может покурить в сторонке - у них всё время разные имена и "вес" файла. Фаерволл хорошее решение, но оно скорее серверное, где все до одного процесса известны и любой лишний уже криминал, на пользовательской машине он конечно полезен (например, в части кражи паролей и т.п.), но как контролировать скрипты? Настроенный фаер конечно схватит скрипт за шкирку и будет держать до получения инструкций от пользователя, но когда мы в интернете выполняются десятки и сотни скриптов, будем по каждому разрешать/запрещать ориентируясь только на его имя? Ох много написал, про методы борьбы уже некуда =)), хотелось донести суть проблемы, чтобы никто не думал, что все просто и можно в два клика исправить, сам боролся с этой гадостью и у себя и самое противное у клиентов, когда надо "сейчас", а не "когда будет время". Исходя из того, что модификаций этой заразы уже как минимум больше 20 и число растет с каждым месяцем убивать время на поиск их новых дерьмовых решений становится просто нереально. Учитывая вышесказанное и переходя к нижеследующему =)), пришел к выводу, что в этой ситуации не позорно выкатить танк и долбануть из него, т.к. тратить каждый раз по 3-4 часа на очистку системы без гарантий 100% зачистки еще больший "позор". Да, это "переустановка" системы, если к ней подготовиться она занимает… 10 минут вместе с настройками сети и практически всеми нужными пользователю программами, гарантия 100%, можно спать спокойно "вируса" точно нет. Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут. Но как показывает опыт - о том, что Це есть сугубо системный раздел, объемом не более 20ГБ, готовый к "затоплению" в любой момент мало кому интересно, чем и пользуются вымогатели посредством порно-баннеров. Ой как меня развезло , сори, наболело.
__________________
Присылайте ваши сценарии в копилку msts. Опыт - это нечто, что приобретается сразу после того, как это было нужно. 100% не предпринятых попыток обречены на провал. Последний раз редактировалось Zabor; 25.05.2010 в 11:43. |
25.05.2010, 11:57 | #22 | |
Заведующий первым отделом
Регистрация: 18.09.2009
Сообщений: 4,497
Вы сказали Спасибо: 2,517
Поблагодарили 3,038 раз(а) в 915 сообщениях
|
Цитата:
спасибо за статью
__________________
жуткий баянист) |
|
25.05.2010, 12:12 | #23 |
Разработчик
Регистрация: 01.02.2008
Адрес: Санкт-Петербург
Сообщений: 18,927
Вы сказали Спасибо: 11,488
Поблагодарили 10,264 раз(а) в 3,837 сообщениях
|
Давай на твоем примере =)), у тебя флопик на машине есть?
__________________
Присылайте ваши сценарии в копилку msts. Опыт - это нечто, что приобретается сразу после того, как это было нужно. 100% не предпринятых попыток обречены на провал. |
25.05.2010, 12:13 | #24 |
Танкист
|
Не смешно!
Ох, убрал я всё-таки эту порнуху. Спасибо всем за участие, Im-Ho-Tep'у отдельная благодарность, взял код с того сайта, на который вы дали ссылку. Сейчас же установлю файрвол. P.S. Конец учебного года, линейка, поэтому долго и отсутствовал.
__________________
My PhotoStream :) Последний раз редактировалось Скороходов Илья; 25.05.2010 в 12:17. |
25.05.2010, 12:17 | #25 | |
Заведующий первым отделом
Регистрация: 18.09.2009
Сообщений: 4,497
Вы сказали Спасибо: 2,517
Поблагодарили 3,038 раз(а) в 915 сообщениях
|
Цитата:
я например подхватил этот банер с UCOZовского ресурса , где выкладывают перекраски для мстс .......
__________________
жуткий баянист) Последний раз редактировалось vitalzd; 25.05.2010 в 12:22. |
|
25.05.2010, 12:20 | #26 | |
Танкист
|
Цитата:
Случайно не на ml-train.ucoz.ru подхватили?
__________________
My PhotoStream :) |
|
25.05.2010, 12:20 | #27 |
Разработчик
Регистрация: 01.02.2008
Адрес: Санкт-Петербург
Сообщений: 18,927
Вы сказали Спасибо: 11,488
Поблагодарили 10,264 раз(а) в 3,837 сообщениях
|
Илья, ты всерьез думаешь, что "честные и ответственные" вымогатели убрали все свои файлы и фичи с твоего компьютера потому, что ты им "честно заплатил", введя код?
__________________
Присылайте ваши сценарии в копилку msts. Опыт - это нечто, что приобретается сразу после того, как это было нужно. 100% не предпринятых попыток обречены на провал. |
25.05.2010, 12:23 | #28 |
Танкист
|
А что я ещё могу сделать помимо полного сканирования компьютера на вирусы?
__________________
My PhotoStream :) |
25.05.2010, 12:25 | #29 | ||
Заведующий первым отделом
Регистрация: 18.09.2009
Сообщений: 4,497
Вы сказали Спасибо: 2,517
Поблагодарили 3,038 раз(а) в 915 сообщениях
|
Цитата:
насчет проги щас в личку напишу.... Цитата:
антивирус не поможет.......
__________________
жуткий баянист) Последний раз редактировалось vitalzd; 25.05.2010 в 12:29. |
||
25.05.2010, 12:28 | #30 | |
Разработчик
Регистрация: 01.02.2008
Адрес: Санкт-Петербург
Сообщений: 18,927
Вы сказали Спасибо: 11,488
Поблагодарили 10,264 раз(а) в 3,837 сообщениях
|
Цитата:
ucoz.ru… как много в этом слове… гора сайтов, создаваемых простыми пользователями, кроме того, они еще и не хозяева там и на защищенность своих сайтов сильно не повлияют, просто клондайк для "бизнеса" вымогателей =)). Виталий, так флоп то есть? О, оказывается все уже расписано тут, а меня прет, ну уж сильно они мне нагадили, конечно по ссылке гора рекламы "Касперского", но с другой стороны это лишнее подтверждение - "танк" как был, так и остается лучшим и универсальным оружием, убивающим любую гадость , к тому же бесплатным в отличие от "крутых" и "лучших" антивирусов.
__________________
Присылайте ваши сценарии в копилку msts. Опыт - это нечто, что приобретается сразу после того, как это было нужно. 100% не предпринятых попыток обречены на провал. Последний раз редактировалось Zabor; 25.05.2010 в 12:45. |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Что это? |