белая сакура > 16-01-2009 17:55:41 |
во время работы firefox вдруг выскакивает сообщение: вирус!! открывается отдельной вкладкой. во весь экран. типа найдено столько-то, такие-то и пр. когда предлагает удалить, автоматом запускается download master, а когда программа скачивается и запускается, антивирь выдает: загруженный файл обезврежен и удален. то есть троян под видом антивирусника. причем под avg 2009 - написано так. а вида такого, как брандмауэр windows. у пары друзей проскочило тоже. не успела сохранить скрином. у меня стоит avg, для меня - лучшее решение. да и подустала я тут с детьми, поэтому почему-то сунулась смотреть. А ВОТ ВАМ ПРОВЕРЯТЬ НЕ СОВЕТУЮ!! ))) Видно, мне везет. ))) |
igorsub > 16-01-2009 18:42:10 |
у меня стоит avg, для меня - лучшее решение.
Другими программами проверялись? |
белая сакура > 16-01-2009 19:02:02 |
igorsub пишету меня стоит avg, для меня - лучшее решение.
Другими программами проверялись?
А ТО!! вдоль и поперек. |
белая сакура > 16-01-2009 22:32:46 |
нет, такого нет, чтобы окна выскакивали. . а вот adsblock с подписками стоит. запрет на всплывающие окна тоже есть. |
igorsub > 16-01-2009 23:09:12 |
Все-таки мне кажется что-то там сидит. Открывается вкладкой, запускает менеджер закачек, маскируется под брандмауер с антивирусом... Может какое-то левое расширение стоит, нет? |
белая сакура > 16-01-2009 23:56:11 |
нет, все старые. проверенные опытом и временем. ))) так мой avg же не пропустил. |
Йцукен > 17-01-2009 14:04:40 |
белая сакура Если сообщение выскакивает при посещении одного и того же сайта - Ваш компьютер, скорее всего, ещё не заражён, но этот сайт посещать не стоит - там и для Вас что-нибудь найдётся; если на разных сайтах - троян у Вас. AVG - не знак качества, к сожалению. Судя по Вашему описанию, скорее всего, он удаляет то, что загружено троянцем, а не самого троянца. Сам пользуюсь бесплатным "Я.Онлайн с антивирусной защитой Касперского" |
белая сакура > 17-01-2009 15:07:16 |
чудес не бывает. Скачайте CureIT с сайта drweb.ru и проверьтесь. проверено давно, и не только им. Если сообщение выскакивает при посещении одного и того же сайта - Ваш компьютер, скорее всего, ещё не заражён, но этот сайт посещать не стоит - там и для Вас что-нибудь найдётся; если на разных сайтах - троян у Вас. AVG - не знак качества, к сожалению. Судя по Вашему описанию, скорее всего, он удаляет то, что загружено троянцем, а не самого троянца. Сам пользуюсь бесплатным "Я.Онлайн с антивирусной защитой Касперского" посещений сайтов не было как таковых. слушала аудио из контакта, готовила обед. открытые две вкладки. как всегда. а вот насчет avg - для меня гарантия на 99%, спорить не буду, но лицензионного касперского фффтопку!!! год пользовалась, головной боли с него... так что пардону прошу. а по моему описанию avg просто не пустил в загрузку exe-шник. и удалил его. а такая картина, объясняю, у двух моих друзей. у одного выскочил при запуске firefox, у другой - так же, как у меня. просто выскочил. сайты разные. |
igorsub > 17-01-2009 15:14:51 |
а такая картина, объясняю, у двух моих друзей. у одного выскочил при запуске firefox? у другой - так же, как у меня. просто выскочил. сайты разные.
Есть предположение, что вирус распространяется через флешки. |
Йцукен > 17-01-2009 16:10:31 |
белая сакура Если один раз - то скорее всего, всё в порядке. igorsub пишетЕсть предположение, что вирус распространяется через флешки.
Бывает и так. |
белая сакура > 17-01-2009 17:59:29 |
флешки не было как минимум месяц, а та, что была месяц назад, защищенная. я ученая. дряни всякой боюсь до дури. так что не здесь, в смысле не с флешки. реестр чистила. я даже ведь не свою проблему, а всем предупреждение, да и все. у меня на проверку работали 6 программ разных, spybot, dr.web, для разовой проверки и пр. так что действительно пока чисто. |
Erik > 18-01-2009 08:40:11 |
Это старый добрый Antivirus 2009. Так называемый crapware. На деле — троян, который делает вид, что он антивирус. "Онлайн-проверка", которая выскакивает, на самом деле туфта — оно даже на моем линуксе находит вирусы в файле dll в папке с:\Windows\system32, хотя у меня нет ни вирусов, ни dll-лок, ни диска C, ни, тем более, папки Windows. белая сакура, так ты что, запустила файл, который он тебе предлагал скачать? Если да — то у тебя серьезные проблемы. Эту гадость очень непросто убрать из компьютера, насколько я знаю. |
белая сакура > 18-01-2009 12:48:54 |
memini, Erik, читать надо внимательно. два раза написала, что avg НЕ ДАЛ ЗАПУСТИТЬ ФАЙЛ И УДАЛИЛ ЕГО. а дальше видно будет. |
igorsub > 18-01-2009 14:31:32 |
два раза написала, что avg НЕ ДАЛ ЗАПУСТИТЬ ФАЙЛ И УДАЛИЛ ЕГО.
Тут речь о том, что менеджер загрузок открывался, а значит в системе уже что-то сидит. |
Erik > 18-01-2009 14:37:57 |
белая сакура, на мой взгляд несколько сумбурно написано было, поэтому и уточнил. Вообще, про этот троян мне известно еще с августа, но спасибо, что предупредила |
=Agasfer= > 20-01-2009 19:10:42 |
Эпидемия? http://korrespondent.net/tech/technews/716175 Уже который день пишут. А лекарство где? |
Erik > 20-01-2009 20:06:26 |
Это совсем другой троян. Уязвимость в RPC, которую он использует, вроде бы уже поправили, но кто ж те обновления ставит-то? Другое дело — то, как троян распространяется через флешки: http://www.f-secure.com/weblog/archives/00001586.html. Лично я на такое вполне мог бы попасться, если меня посадить перед компьютером с вистой или семеркой, где не выключен автозапуск. Я бы скорее всего жмякнул по верхней записи. Что не умаляет вины Windows, в которой автозапуск до сих пор включен по умолчанию. F-secure, кажется, утверждает, что у них есть утилита, чтобы это вылечить. |
=Agasfer= > 20-01-2009 20:17:07 |
Erik То, что это другой троян, я знаю. Просто выбирал тему подходящую - наткнулся на эту. Последние пару дней эту новость со всех RSS получаю. Хотел поделиться - не все же новостями интересуются. А по поводу отключения автозапуска, это первое, что я делаю после установки или бэкапа. Научен горьким опытом. F-secure, кажется, утверждает, что у них есть утилита, чтобы это вылечить
Вчера читал об этом, но каких-либо фактов пока нет - только слухи (во всяком случае, так писали на нескольких сайтах). Вроде как остаются фрагменты. Очень надеюсь, что не придётся это проверять на себе. |
ViRUS > 21-01-2009 03:32:13 |
68agasfer Уже который день пишут. А лекарство где?
Лекарство уже давно есть - *nix системы! |
Пивохлюп > 21-01-2009 07:50:25 |
Лекарство уже давно есть - *nix системы!
Это не панацея осторожность, осторожность и еще раз осторожность |
igorsub > 21-01-2009 09:59:52 |
Уязвимость в RPC, которую он использует, вроде бы уже поправили, но кто ж те обновления ставит-то?
Йа. |
Erik > 21-01-2009 10:54:20 |
Пивохлюп пишетЛекарство уже давно есть - *nix системы!
Это не панацея осторожность, осторожность и еще раз осторожность
По-твоему использование *nix — это не осторожность? Более чем. Шалаш, окруженный противотанковыми рвами и патрулями, прикрытый со всех сторон расчетами ПВО, тоже можно считать защищенным. Но защищать бетонный бункер как-то проще |
белая сакура > 21-01-2009 15:14:26 |
ну поздравляйте! нарвалась я-таки. сижу-лечусь. временами работает, временами зависает. прописалась эта дрянь, видно, в загрузочную область диска. посоветовали убить диск через fuck you bill. буду пробовать. что прикольно, троян обошел ВСЁ: spybot, антивирус и firewall. его не видит НИ ОДНА программа. правда, скачиваю еще mailsecurity 10, но не уверена. вот так бы разработчики у нас всё делали: сразу и надежно. |
Йцукен > 21-01-2009 15:25:45 |
белая сакура Вряд ли в загрузочную область. Виндовс ведь загружается? В автозагрузке, наверное. Посмотрите автозагрузку с помощью AnVir Task Manager - он видит заметно больше других. И скриншот сюда. Процессы тоже посмотрите. Какой антивирус может помочь - писать не буду. Откажетесь. |
белая сакура > 21-01-2009 15:32:37 |
Радик245 пишетбелая сакура Вряд ли в загрузочную область. Виндовс ведь загружается? В автозагрузке, наверное. Посмотрите автозагрузку с помощью AnVir Task Manager - он видит заметно больше других. И скриншот сюда. Процессы тоже посмотрите. Какой антивирус может помочь - писать не буду. Откажетесь.
windows только что переустановлена. (хвастаюсь: на sp3). но все равно в любой момент зависает. а вот насчет антивируса: вы еще и прикалываетесь. хачю канешна! еще блин веселятся. кстати, mailsecurity не запускается. ему видите ли места недостаточно на диске. так что явно не только автозапуск. |
Йцукен > 21-01-2009 16:02:25 |
белая сакура Просто намекаю: уже писал, повторять рекламу не буду. Хотя откуда я знаю, что поможет. А у AVG по тестам всего 70 "с хвостиком" процентов удалённых вирусов. ему видите ли места недостаточно на диске.
А сколько на самом деле свободно? Вообще, если я не ошибаюсь, MailSecurity проверяет почту, а если у Вас гадость уже на компьютере, то он ни при чём. Что, автозагрузку покажете, как я писал? |
Erik > 21-01-2009 16:09:36 |
белая сакура пишетну поздравляйте! нарвалась я-таки. сижу-лечусь. временами работает, временами зависает. прописалась эта дрянь, видно, в загрузочную область диска. посоветовали убить диск через fuck you bill. буду пробовать. что прикольно, троян обошел ВСЁ: spybot, антивирус и firewall. его не видит НИ ОДНА программа. правда, скачиваю еще mailsecurity 10, но не уверена. вот так бы разработчики у нас всё делали: сразу и надежно.
Что подтверждает ранее выдвинутый мною тезис о шалаше и бункере. Тут, видимо, нужно грузиться с какого-нибудь LiveCD и проверять систему оттуда. Вроде у доктора веба было что-то такое на базе линукса, или я что-то путаю? |
белая сакура > 21-01-2009 16:30:21 |
извините, даже не по именам, надеюсь, поймете, что кому. комп виснуть почти перестал, за эти два часа пока все ок. но боюсь не успеть. нет, автозагрузку не покажу, так как не пройти вообще на сайт. mailsecurity почему-то хвалят на f-secure относительно именно этого вируса. насчет рекламы антивирусника поняла. не пойдет. он мне столько г-на навалял, столько напропускал, что ни фа фто! о шалаше и бункере не пойдет, потому что этого точно не понимаю. unix пока не для меня. а вот грузиться с live cd, так и буду. как раз fuck you bill и предполагает изменение образа диска. попробую. |
krigstask > 21-01-2009 16:38:51 |
Erik пишетВроде у доктора веба было что-то такое на базе линукса, или я что-то путаю?
Более того, на базе Gentoo |
Йцукен > 21-01-2009 16:44:22 |
LiveCD бывают и с Виндовс. И Касперским. Он отлавливает 99% вирусов - по тестам. Впечатления от КАВ 5 не годятся для последних версий. И какая Вам разница -пропустит или нет, когда уже заражено? нет, автозагрузку не покажу, так как не пройти вообще на сайт.
Прямая ссылка на анвир таск менеджер: http://www.anvir.net/downloads/anvirrus.exe сколько у Вас предубеждений... Вы пробовали? |
Al_H > 21-01-2009 17:40:31 |
Уважаемая белая сакура, Вы уже пробовали RegRun NIVA? А программы-антируткиты? А AVG? (Извините, если Вы об этом уже писали) |
Йцукен > 21-01-2009 17:47:58 |
Уважаемый Al_H, AVG у неё стоит. |
белая сакура > 21-01-2009 23:31:03 |
Радик245, AnVir офигенная штука! спасибо ОГРОМНОЕ за ссылку. только странно, что пару часов вообще ничего не скачивалось, сервер был недоступен. возможно, моя дрянь и мешала. она вообще сначала никакие проги на проверку не пропускала. а вот насчет unix`a точно не судьба. мне с этим бы справиться, а потом учиться дальше. а кто поможет? как сохранить все установленные настройки? это я про anvir. то есть убрала из автозапуска что-то и как сохранить все таким, как стало? спасибо. AL_h, RegRun NIVA посмотрю, спасибо. krigstask, а не поясните? на базе gentoo это что? еще раз всем огромное спасибо за внимание и хорошие советы. пока что не завис ни разу за несколько часов. правда, меня и дома не было, так что активно комп не юзала. но закачки шли... |
Йцукен > 21-01-2009 23:51:36 |
белая сакура как сохранить все установленные настройки? это я про anvir.
Всё уже сохранилось. а не поясните? на базе gentoo это что?
Это то самое, что не про Вас. А вообще не думайте, что Линукс так уж от Виндовс отличается. Пробовал я лайв-сиди, то есть систему на компакт-диске. Для обычного пользователя, да ещё всего лишь для проверки антивирусом - всё равно. Другое дело, что стоит ли скачивать целый LiveCD для того, чтобы один раз попользоваться - Вам решать. Пора и мне сделать полную проверку... |
белая сакура > 21-01-2009 23:58:13 |
Радик245, спасибо. ))) если бы еще все надолго. кстати в автозагрузке ничего криминального. |
Йцукен > 22-01-2009 01:11:29 |
в автозагрузке ничего криминального.
так ведь троян трояном не подписывается. |
белая сакура > 22-01-2009 09:39:24 |
вот это все, что есть. но при том, что объем диска С 6,4 Гб, места не хватает. что-то ведь занимает память! а вот этого не найти.
22-01-2009 09:41:33 http://radikal.ru/F/s54.radikal.ru/i146/0901/ca/413dc26e130c.jpg.html |
Йцукен > 22-01-2009 13:43:57 |
белая сакура Это сервисы, то есть службы, а важнее, что в автозагрузке (первая вкладка). С отключением служб поосторожнее! Не всё потом нормально включается! И картинки не уменьшайте, а то читать очень трудно. На всякий случай: лучший формат для скриншотов - PNG. Вы имеете в виду - свободного места на диске 6,4 Гб? |
MySh > 22-01-2009 19:25:02 |
Радик245 пишетВряд ли в загрузочную область. Виндовс ведь загружается?
Вовсе не факт. Вирусы уже давно научились прописывать себя в загрузочную область и перехватывать управление ещё даже до загрузки операционной системы — вот как это выглядит. В таком случае и переустановка системы не поможет — только полное лечение с хорошего загрузочного диска или полный формат. |
Йцукен > 22-01-2009 20:25:45 |
MySh Да, всё возможно, но почему белая сакура решила, что у неё именно это - не знаю. Полный формат всегда можно успеть сделать. В случае с Валерой и Макаровым (тема в поддержке) нытья много, а ни скриншотов с автозагрузкой и процессами, ни адресов сайтов, на которых всё происходит, тоже не добьёшься. Приватность, понимаете ли... |
белая сакура > 25-01-2009 20:01:40 |
MySh Да, всё возможно, но почему белая сакура решила, что у неё именно это - не знаю. Полный формат всегда можно успеть сделать. В случае с Валерой и Макаровым (тема в поддержке) нытья много, а ни скриншотов с автозагрузкой и процессами, ни адресов сайтов, на которых всё происходит, тоже не добьёшься. Приватность, понимаете ли...
белая сакура так решила, потому что прописан этот гад был именно в загрузочную область диска. и не более, ни менее. прошло одно: форматировала, потом через акронис восстановила mbr, потом поверх этого установила xp sp3. многовато будет... но геморроя было еще больше. я повелась даже на каспера. он выдал мне типа есть четыре проблемы и СВАЛИЛСЯ. помог только avz. ух он мне понавыдавал. но зато вроде все работает. да! и reg run неплохо поработал. только запускала раз 6, все сидело одно и то же. а потом добила avz-шником и переустановкой через акронис. кстати, другу и подруге так же восстановила. кстати, о птичках, не помню, как разрешить автоматичекое перенаправление на другую страницу? |
MySh > 25-01-2009 23:42:17 |
белая сакура Пришлось всё-таки форматировать? Сочувствую. Самое неприятное, что от повторения инцидента никто полностью не застрахован... Вовремя делайте резервные копии всех данных. белая сакура пишетя повелась даже на каспера. он выдал мне типа есть четыре проблемы и СВАЛИЛСЯ. помог только avz. ух он мне понавыдавал. но зато вроде все работает. да! и reg run неплохо поработал. только запускала раз 6, все сидело одно и то же.
Это было до формата или после? белая сакура пишеткак разрешить автоматичекое перенаправление на другую страницу?
Я так думаю, надо проверить, не стоит ли соответствующая галка в настройках: «Дополнительно» > «Общие» > «Расширенные возможности». |
ViRUS > 26-01-2009 11:15:19 |
белая сакура Читаю и аж страшно становится! Учите матчасть и меньше слушайте очень умных советчиков. Во первых написать бут вирус способный пережить переход в защищённый режим не так-то просто (если вобще реально), во вторых вирусы как класс за последние лет 5 (может и больше) практически вымерли, в третьих лечить бут-вирус форматированием диска - это пять! fdisk /mbr - не судьба сделать? ЗЫ: и правильно, что *nix не пробуете - страшно представить последствия... |
Йцукен > 26-01-2009 11:27:02 |
белая сакура Что ж, многие пользователи считают, что лучший антивирус - это формат диска. Сделать и не волноваться. Таким образом они делают то, чего не смогли создатели вируса. А другие пользователи считают, что лучший антивирус - своя голова. Только подумать немного надо, что делать. |
белая сакура > 26-01-2009 13:07:41 |
Mysh, огромное спасибо. со всей этой фигней такую простую вещь, как галочку в настройках, забыть! все с каспером и прочим было после первого форматирования и установки xp. а насчет резервных копий - они у меня были. acronis disk director и acronis true image home стоят. просто решила не париться, а раз диск xp sp3 был, заодно на него перешла. а вот переустановка с сохраненных бэкапов, кстати, не помогла! комп вис постоянно. кстати, наша питерская офслужба отказалась что-либо делать и ВЕРНУЛА ДЕНЬГИ. как раз только что приезжали. так как их переустановка тоже ничегошеньки не дала. не претендуя на гениальность, все-таки скажу, что просидели мы с друзьями почти неделю дни и ночи, и сделали... и заодно "продали" свой метод лечения за возвращенные 5000 и стол от ребят из офслужбы. ViRUS, меньше читайте и меньше страшно будет. во-первых, бутвирус - это по новой поехало, (это после диалога с офслужбой, но на моем компе еще и чуть не полетел винт), во-вторых, читайте сначала всю тему, а потом пишите. я русским языком писала про восстановление mbr посредством acronisa. а если вы советуете матчасть учить, то и я вам кое-что расскажу: fdisk через acronis стирает ТОЛЬКО оглавление. не слышали? а насчет того, кого мне слушать и прочего, скажу, что несколько советов меня спасли. просто реально спасли. отдельное спасибо Al_h и кому-то еще: простите, не могу снова шерстить всю тему - я про regrun и avz. а вот насчет форматирования: если эта дрянь мне ВСЕ известные антивирусники вырубала, я как, новый xp буду поверх порченого ставить или же через форматирование перед установкой? |
Йцукен > 26-01-2009 15:05:35 |
белая сакура Рад за Вас, что Вам деньги вернули! Ох уж эти офслужбы... в лучшем случае сумеют сделать то, что сделали Вы, в худшем - умеют делать умный вид и говорить, что всё так и должно быть, они поработали! |
Al_H > 26-01-2009 16:21:57 |
белая сакура Очень рад, что Вам пригодился RegRun. Тогда Вам в копилку маленький совет по работе с ним. У него есть в наборе программка со списками автозагрузки, анализатор автозагрузки и монитор автозагрузки. Но - был у меня такой случай, простенький вирус записывался в автозапуск, менял названия dll и грузился в память, причем все самое важное он делал при остановке рабочей станции, то есть после выгрузки из памяти всех антивирусов. Антивирус его не замечал вообще, а RegRun (монитор) заметил странные библиотеки, грузящиеся из System32\ - но не смог их удалить. Пришлось руками. Посему - спрашивайте его иногда, все ли в порядке, но не рассчитывайте на 100%. во вторых вирусы как класс за последние лет 5 (может и больше) практически вымерли
Вы когда-нибудь лечили руткит, который приполз к Вам из Интернета? Вам не наплевать, что он называется руткит, а не вирус? |
Йцукен > 26-01-2009 19:01:27 |
ViRUS во вторых вирусы как класс за последние лет 5 (может и больше) практически вымерли
Остался один - на форуме. Даже в названии темы о троянце говорится. Но от того, что Вашу систему выведет из строя не_вирус, Вам полегчает? На форуме лаборатории Касперского обобщённо любую гадость называют "зловред". Но "вирус" - понятнее, привычнее. |
MySh > 26-01-2009 19:19:54 |
ViRUS пишетВо первых написать бут вирус способный пережить переход в защищённый режим не так-то просто
Не знаю, может ли вирус нормально работать в безопасном режиме Windows, но то, что он вполне способен выжить, это точно. ViRUS пишетво вторых вирусы как класс за последние лет 5 (может и больше) практически вымерли
Может и так, только заразы меньше не становится. ViRUS пишетлечить бут-вирус форматированием диска - это пять
Так это, наверное, простой вирус, из тех, что, вероятно, лет 5 назад вымерли как класс. Но нынешние (называйте их как хотите) — они хорошо прятаться умеют... Кстати, я слышал о видах, которые и в BIOS залезть могут, но сам не сталкивался, да и никто из знакомых тоже в диком виде не встречал. А кто-нибудь уже имел с этим дело? ViRUS пишети правильно, что *nix не пробуете - страшно представить последствия...
А что такого страшного, интересно, может быть? Ну, данные могут потеряться из-за неправильной разметки дисков — так на этот случай достаточно предусмотреть резервное копирование всей хоть сколько-нибудь важной информации на другие накопители. А ещё что? Радик245 пишетмногие пользователи считают, что лучший антивирус - это формат диска. Сделать и не волноваться
При наличии резервной копии и трудновыводимости заразы — как ни странно, да. Помните, да: «мадам, если б это была лошадь,...»? Радик245 пишетлучший антивирус - своя голова
... и вовремя сделанный backup. белая сакура Рад за вас, и добавлю, что если вы ничего не потеряли, кроме времени, то это вы ещё удачно отделались — бывает и хуже... |
ViRUS > 28-01-2009 08:52:39 |
белая сакура Не знаю что такое "fdisk через acronis", знаю что досовый fdisk.exe (программа такая) c ключом mbr замещает основной загрузочный сектор на "стандартный". MySh Не знаю, может ли вирус нормально работать в безопасном режиме Windows, но то, что он вполне способен выжить, это точно.
"Безопасный" режим виндовс и защищённый режим процессора - абсолютно разные вещи. Так это, наверное, простой вирус, из тех, что, вероятно, лет 5 назад вымерли как класс. Но нынешние (называйте их как хотите) — они хорошо прятаться умеют...
Нынешними поделиями как раз можно только чайника со свистком напугать, большей частью сейчас пишут всевозможные автораннеры разной степени сложности, но при правильном подходе они не доставляют никаких проблем. А вот за вирусы действительно обидно! Раньше вирмейкеры писали действительно шедевры! Вспомните хотя бы OneHalf, WIN95.CIH - вот это были вещи! Такие пользователи имея рутовые права догадаются и /dev удалить... Радик245 "зловред" который оседает в загрузочном секторе всё ж ближе к вирусам. Al_H Вы когда-нибудь лечили руткит, который приполз к Вам из Интернета? Вам не наплевать, что он называется руткит, а не вирус?
Rootkit (руткит, от англ. root kit, то есть «набор root'а») — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
т.е. как оно может приползти из интернета, если меня целенаправленно не взламывают? теоретически можно нарваться тем же браузером на эксплоит, но вероятность мала, да и падение браузера на ровном месте меня насторожит, да и систему я свою знаю и по поведению увижу, что не так. белая сакура, в общем присылайте образец "зловреда" и поговорим уже по сути. ЗЫ: начинайте учиться пока не поздно и на будущее пользуйтесь для лечения livecd, и не придумывайте "сверхновыхмегаумныхметодовсформатированиемдискаииспользованиемпрограммкоторыминеумеетепользоваться". |
Al_H > 28-01-2009 23:49:26 |
А кто-нибудь уже имел с этим дело?
Нынешними поделиями как раз можно только чайника со свистком напугать,
Мне показывали руткита, которого не брал никто. Человек, правда, испуган не был, но и что делать, тоже не знал. Винду переставлять ему не хотелось. Это у него такой клиент со встроенным вирусом - что ни месяц, новое заражение. на взломанной им компьютерной системе сразу после получения прав суперпользователя.
А что, Вы не можете представить себе Винду, где трояну удалось получить права суперпользователя? |
Azathoth > 29-01-2009 04:09:29 |
Al_H пишетМне показывали руткита, которого не брал никто.
Современные тенденции показывают что в состоянии чайника со свистком приходится быть всем Win пользователям. Я за этот год встретил два таких "вируса" , которых никто не брал. А один из них (sainty кажется) проходил сквозь антивирус, заражал машину и благополучно отправлял антивирус в Ирий (замечено на NOD32 и Касперском) Но это не проблема качества антивируса. Это проблема того самого упомянутого выше шалаша...
А что касается бут-вирусов... Я это чудо не встречал со времен Win98. Приведенная выше ссылка на "Обзор вирусных программ. Современные тенденции" выглядит либо шуткой, либо целенаправленным запугиванием. Хотя достаточно посмотреть на подпись - "Выполнил студент 414 группы Топорков Сергей " - и тут же все становится понятно |
MySh > 29-01-2009 17:56:34 |
ViRUS пишетВспомните хотя бы OneHalf, WIN95.CIH - вот это были вещи!
OneHalf я, к счастью, не помню. А вот WIN95.CIH — помню. Встретил бы автора — убил бы, наверное, гада. ViRUS пишетТакие пользователи имея рутовые права догадаются и /dev удалить...
И что будет? ViRUS пишет"зловред" который оседает в загрузочном секторе всё ж ближе к вирусам.
А если он много где оседает? ViRUS пишетт.е. как оно может приползти из интернета, если меня целенаправленно не взламывают?
Запросто. Например, по почте или через ICQ. Приходит игрушка, самозапускающийся flash-ролик, самораспаковывющийся архив, экранная заставка Windows (многие ли пользователи знают, что иные такие «заставки» способны натворить немало бед?) — и привет. Azathoth пишетПриведенная выше ссылка на "Обзор вирусных программ. Современные тенденции" выглядит либо шуткой, либо целенаправленным запугиванием.
К сожалению, не шутка. Просто всё новое — это хорошо забытое старое. |
Azathoth > 29-01-2009 18:17:45 |
MySh пишетК сожалению, не шутка. Просто всё новое — это хорошо забытое старое.
Вся проблема в том, что написать бут-вирус (или вирус, помещающий часть своего кода в бут-сектор) достаточно сложно именно из-за перехода ОС в защищенный режим при загрузке. Т.е. это реально, но сопряжено с многочисленными трудностями. Скажем так, вредоносному коду приходится модифицировать "на лету" те части ОС, которые ее стартуют в защищенном режиме, при том, что ему приходится отслеживать то, что читается с винта и "узнавать" нужные ему части. Однако он ограничен в ресурсах и никто не гарантирует что сигнатуры нужных файлов останутся прежними после очередного обновления системы. В общем тонкостей там масса. За подробными описаниями пожалуйте к ViRUS'у. Он разложит все по полочкам и с примерами, которые запускать не советую И это при том что бут-вирус очень легко удаляется простыми средствами без всяких антивирусов. Овчинка выделки в общем не стоит. Но есть путь куда как проще. Современные вирусы загружаются как драйвера, т.о. они стартуют перед антивирусом и блокируют его или делают себя невидимым. Там вообще масса возможностей и куда как более опасных нежели мифологический бут-вирус. |
MySh > 31-01-2009 00:08:20 |
Azathoth Гм. Не обладая квалификацией и не имея образования системного программиста (а также не имея на руках никаких доказательств существования этих организмов по причине уничтожения оных), не готов сейчас спорить по существу. Возможно, мне или белой сакуре показалось, что вирус (или как его там) был в загрузочном секторе, а на самом деле он был где-то ещё. Сейчас уже не проверишь. Но если оно попадётся мне ещё раз, непременно постараюсь сохранить экземплярчик. Предварительно заразив ещё кого-нибудь, чтобы убедиться, что это действительно «оно». Azathoth пишетОвчинка выделки в общем не стоит.
Не всегда. Нельзя ведь исключить, что этот функционал добавлен, чтобы пустить не столь искушённых (как вы) пользователей программистов по ложному следу. |
Al_H > 31-01-2009 04:07:08 |
(замечено на NOD32 и Касперском)
Потому что это Нод и Касперский. Но это не проблема качества антивируса.
Возможно. Но и его тоже. Меня вот удивляет, почему вирус, легко удаляемый руками с минимальной помощью RegRun, легко обходит антивирусы? |
lump > 31-01-2009 09:05:14 |
Потому что это Нод и Касперский.
на заводских настройках они оба сито. на более продуманных [например заставляешь контролировать все порты], Downadup ваш страшный и ужасный даже не пробился через мой зоопарк состоящий в основном из каспера, веба и нода. что интересно, походу об этом приколе не знают на форуме каспера, несколько дней назад там забрёл, куча воя о kido, какой то бред как его выводить, и ничего по поводу того, что чтобы не заразиться хватает поменять одну галочку в "сеть" и отрубить авторан хотя бы с флэшек. |
Azathoth > 31-01-2009 15:21:33 |
Al_H пишетПотому что это Нод и Касперский.
Откровенно говоря, я еще не встречал ни одного нормального антивируса. Ни один не дает гарантий, естественно даже с учетом регулярных обновлений. |
Erik > 31-01-2009 19:36:38 |
Разруха не в антивирусах, а в головах |
Al_H > 31-01-2009 23:56:03 |
Откровенно говоря, я еще не встречал ни одного нормального антивируса. Ни один не дает гарантий, естественно даже с учетом регулярных обновлений.
Azathoth, ты прав, абсолютно согласен. Даже AVG промахивается. Но не так часто. |
Rosenfeld > 01-02-2009 11:09:15 |
Даже AVG промахивается. Но не так часто.
Если честно, не замечал. Но с предыдущими выступлениями полностю согласен, поэтому для гарантии использовать надо в первую очередь ГОЛОВУ, а потом еще и связку из двух-трех АВ-средств. Например AVG, AD-AWARE, CLAMWIN. Ну и надежный фаэрволл - ONLINE ARMOUR или COMODO INTERNET SUIT |
=Agasfer= > 25-03-2009 22:41:50 |
Да-а! Прогресс и тут не стоит на месте. |
ViRUS > 26-03-2009 03:56:27 |
68agasfer Если бы прогресс! Всё написанное "жёлтое", как мой памперс! Я не отрицаю, что поместить вредоносный код в BIOS невозможно, но невозможно сделать код сложным, универсальным, ОС независимым, да и не так страшен BIOS как кажется - современные ОС практически не используют функций им предоставляемым, предпочитая работать с оборудованием самостоятельно т.к. большинство функций BIOS 16-разрядного реального режима. ЗЫ: Про "устойчивость" к перепрошивке вобще молчу! Смех один! ЗЗЫ: Хабр попсеет и сеет панику. Так я и думал! Автор топика не удосужлся даже мельком прочитать описание презентации и развёл панику. Собственно материал. Вкратце: 1. BIOS машины инфицируют загрузчиком 2. Специальный код запускаемый из операционной системы обращается к инфицированному сервису из BIOS и передает ему код который надо выполнить с правами ядра. (С)Fanruten
|
allexxandr > 20-08-2009 20:00:38 |
Всем писавшим советую....не фиг загружать что бы там нибыло выскакивающее в браузерах....сами же этот вирусняк себе и загружаете..... вирус...вирус...))) это в ответ на первое сообщение, если от установленного на комп антивируса уведомление поступит, тогда и реагируйте....а всёостальное это - вы тысячный посетитель, вы выиграли миллион...и тп... |
ПротопопулуS > 20-08-2009 20:02:55 |
Капитан Очевидность решил заняться некропостингом? |
allexxandr > 20-08-2009 20:12:32 |
белая сакура пишетво время работы firefox вдруг выскакивает сообщение: вирус!! открывается отдельной вкладкой. во весь экран. типа найдено столько-то, такие-то и пр. когда предлагает удалить, автоматом запускается download master, а когда программа скачивается и запускается, антивирь выдает: загруженный файл обезврежен и удален. то есть троян под видом антивирусника. причем под avg 2009 - написано так. а вида такого, как брандмауэр windows. у пары друзей проскочило тоже. не успела сохранить скрином. у меня стоит avg, для меня - лучшее решение. да и подустала я тут с детьми, поэтому почему-то сунулась смотреть. А ВОТ ВАМ ПРОВЕРЯТЬ НЕ СОВЕТУЮ!! ))) Видно, мне везет. )))
Я просто цитирую.....зачем тогда его загружать то???? |
MySh > 20-08-2009 23:35:46 |
allexxandr Вы правы на 110% процентов! Пожалуйста, расскажите об этом пользователям «ВКонтакте»!.. |
allexxandr > 22-08-2009 06:38:20 |
Да без толку им говорить, они тупые...винда слетает, данные теряют и всё равно на одном и том же спотыкаются.... |
MySh > 20-02-2011 23:02:15 |
Интересно, а что скажут уважаемые профессионалы по поводу этой статьи о Smitnyl.A? Тоже «фейк»? |
Erik > 21-02-2011 00:50:52 |
MySh, с грубом не работает, файловые системы, отличные от NTFS не признаёт... Скукота... |
ViRUS > 23-02-2011 09:11:16 |
MySh, по-вашему что-то описанное в статье не совпадает с этим: Azathoth пишетВся проблема в том, что написать бут-вирус (или вирус, помещающий часть своего кода в бут-сектор) достаточно сложно именно из-за перехода ОС в защищенный режим при загрузке. Т.е. это реально, но сопряжено с многочисленными трудностями. Скажем так, вредоносному коду приходится модифицировать "на лету" те части ОС, которые ее стартуют в защищенном режиме, при том, что ему приходится отслеживать то, что читается с винта и "узнавать" нужные ему части. Однако он ограничен в ресурсах и никто не гарантирует что сигнатуры нужных файлов останутся прежними после очередного обновления системы.
Ну и как правильно заметил Erik - скукота. ЗЫ: В следующий раз поднимайте панику только на стоящих вещах и которых ещё не обсуждали. |
Rosenfeld > 23-02-2011 12:49:52 |
"ы-ы-ы (Розенфельд зевает)... Скукотища!" А вот в винде люди живут несравненно более насыщенной и яркой жизнью! |