Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34
mrFatCat
5 сентября 2010, 01:17

ilya_ya написал: как можно что-то запустить через куки?

Психологически: подменяют открываемые страницы фейковыми, например фейковую страницу "одноклассников" по слухам подсовывали. На глаз не отличишь, только при вводе логина и пароля вместо сабмита отрабатывалось нажатие согласия выполнения сценария или что-то в этом роде...
ilya_ya
5 сентября 2010, 08:15

mrFatCat написал:
Психологически: подменяют открываемые страницы фейковыми, например фейковую страницу "одноклассников" по слухам подсовывали.

Это делают не через куки, а через изменённый файл hosts и через изменённые настройки роутинга, для чего вредоносный код уже должен побывать в системе. Через куки подменить страницу невозможно. Куки представляют опасность только для приватности, позволяя собрать статистику, какие сайты посещает человек (tracking cookie), ну и ещё, если в куках сохранены пароли, то через дырявый браузер эти пароли можно украсть. Возможности запуска исполняемого кода в куках технически не предусмотрено.
mrFatCat
5 сентября 2010, 16:16

ilya_ya написал: Через куки подменить страницу невозможно.

ОК, конкретный случай, был года 3 назад.
Гугл в то время хранил настройки поиска в куках. сам видел машину, в которой куки были подменены таким образом, что при любых присковых фразах в топ всегда попадал один и тот же сайт. А вот попадание на этот сайт уже выводило фейковое окно http-авторизации с уже якобы заполненными логином и паролем, оставалось только "ОК" нажать. Я не нажимал и не проверял что за дрянь начнет мне грузиться.
Било по глазам только одно: брусок у окна запроса был в стиле ХР, а машина была под W2k. Под ХРюшей я бы и не заметил, что фейк.

Я к тому, что куки - это только текстовые файлы. Но расслабляться излишне не стоит.
ilya_ya
5 сентября 2010, 20:10

mrFatCat написал:
ОК, конкретный случай, был года 3 назад.
Гугл в то время хранил настройки поиска в куках. сам видел машину, в которой куки были подменены таким образом, что при любых присковых фразах в топ всегда попадал один и тот же сайт.

Ни разу такого не встречал, а вот троянов, подменяющих результаты поиска на гугле и яндексе, видел множество.
Blues Fairy
25 сентября 2010, 18:41
Не знаю, было уже или нет; тред не читала.

Завелся вирус, рассылает с хотмэйла по всему адрес-буку сообщение со спамовым линком. Антивирус его не распознает (у меня Avira, обновляю ежедневно).

Кто-нить сталкивался, что это может быть? Чем его прищемить?

Заранее спасибо!
duc
25 сентября 2010, 21:51

Blues Fairy написала: Не знаю, было уже или нет; тред не читала. 

Завелся вирус, рассылает с хотмэйла по всему адрес-буку сообщение со спамовым линком.  Антивирус его не распознает (у меня Avira, обновляю ежедневно). 

Кто-нить сталкивался, что это может быть?  Чем его прищемить?

Заранее спасибо!

Скачай бесплатную лечилку от Данилова, Касперского или McAffee и проверь ими.
Blues Fairy
26 сентября 2010, 01:31

duc написал: Скачай бесплатную лечилку от Данилова, Касперского или McAffee и проверь ими.

Прочесала всеми тремями, ничего не нашлось. Может ли быть, что вирус в самом хотмэйле, на их серверах?
Slonjra
26 сентября 2010, 02:25

Blues Fairy написала:  Может ли быть, что вирус в самом хотмэйле, на их серверах?

Нет, это что-то на твоем компе..

эту тему пора уже переписать и прибить наверх.. ))

Качаем Malw - http://www.malwarebytes.org/

Устанавливаем. ставим его апдейты.
Перегружаемся - заходим в SAFE Mode
оттуда запускаем Full Scan - все что найдет - удаляем..
Gynny
20 октября 2010, 23:35
Может, у меня паранойя, но... Грешу на вирус в системе.
В общем, ситуация такая. С середины мая не загружались пара сайтов, я позвонила и написала в техподдержку провайдера, там мне ответили, что у них проблем с этими сайтами нет, а раз трассировка дает отсутствие соединения уже на первом прыжке, разбирайтесь сами со своим компьютером. Ну, я попробовала откатить систему, но не получилось - в смысле как бы ничего в ней не менялось. Потом - честно говорю - это дело пустила на самотек, не до того было.
И вот на днях пришло время регистрировать годовую подписку на антивирус (я так на докторе Вебе и "сижу"), и ничего не вышло, пытаюсь сама в веб-интерфейсе зайти на сайт drweb.com - не грузится. Погуглила по теме и нашла, что проблема может быть с такой заразой, как Kido.
Из признаков - не грузятся сайты доктора и AVZ (сайт Касперского пока загружается), с сайта Майкрософт не скачиваются заплатки на ОС (сам сайт открывается, по страницам перехожу нормально, дохожу до страницы подтверждения загрузки, жму на кнопку загрузки и - через некоторое время браузер выдает "Время ожидания соединения истекло"). Периодически при серфинге в Интернете подвисают браузеры.
При этом сканирование системного диска ничего не дает, монитор антивирусный не отключается никогда, но все это время молчал как партизан. Обновляется антивирус, как и раньше (пришлось купить компьютерный журнал и временный ключ пока поставить).
Что это может быть? И как с этим бороться?
(только без сложных терминов, пожалуйста, а то я ничего не пойму)
Gynny
20 октября 2010, 23:51
Хм... у меня теперь и сайт exler.ru не грузится. Он-то чем вирусу (если это все-таки вирус) помешал?
maskerader
21 октября 2010, 03:20
Dr. Web LiveCD: http://www.freedrweb.com/livecd/?lng=ru

На другом компе скачать и записать диск, на твоем компе - загрузиться с него и просканировать весь комп.

Как вариант - погуглить и скачать эту штуку с какого-нибудь другого сайта, авось получится.
Slonjra
21 октября 2010, 06:41
Это именно то, почему я предлагал создать новуя тему..и в первом посте написать что надо сделать, перед тем как задавать вопрос в этой теме ( так же как и на всех форумах по антивирам).. и тогда будут советы..или вообще прибить эту тему и больше не отвечать на подобные вопросы..
Ибо например, подробное описание на тему что надо делать и как, есть на предыдущей странице.....
Но ведь все равно никто не будет это читать...
Gynny
23 октября 2010, 14:07

Slonjra написал: все равно никто не будет это читать...

Не факт. Я ветку читала и на компьютерные форумы ходила (куда могла попасть, тот же virusinfo не открывается). Но читать - не значит: 1) найти в советах именно свою проблему, 2) понять, что написано, если совет дают специалисты.

maskerader написал: На другом компе скачать и записать диск, на твоем компе - загрузиться с него и просканировать весь комп.

Другой комп - это только на работе (на всю контору - один с пишущим дисководом, так что очередь), но не факт, что не прилепится какая-то зараза, хоть антивирь там и включена. Но попробовать можно.

Попробовала прочесать все тем же Доктором под админом в безопасном режиме - нашел 5 одинаковых файлов Trojan.Packed.20771 (до этого их не видел). Просканировала последней версией KidoKill - тот ничего не нашел.
А проблемы все те же. frown.gif
Slonjra
23 октября 2010, 16:17

Gynny написала: : 1) найти в советах именно свою проблему,

При подозрении на вирусы - проблема у всех одна - найти эту заразу.
Поэтому на сегодня алгоритм вполне стандартный.
качам CureIt и Malmware .. ставим malw и делаем ему апдейт базы.
Перегружаемся в безопасный режим.. если умеем обращаться с реестром - лезем туда и смотрим что понаписано в автозапусках, если не умеем - не трогаем , пусть сканеры сами ищут.
далее - удаляем все IE temp files причем не через сам IE а ехлорер'ом.
Чистим корзину
Запускаем CureIT ..по умолчани он пойдет делать quick scan.. тормознуть его и заказать - full scan.
как закончит - перегружаемся снова в безопасный и запускаем Malw тоже на full scan. В зависимости от того сколько всего на диске - это может занять и полдня..но в 90% случаев будет вычищена вся зараза.... Оставщиеся 10% это если вам попались звери такого класса, что автоматическими сканерами не справится и надо звать спецов на помощь, лезть искать ручками

upd ну и конечно сразу после этого, если восстановился доступ к сайтам , ставим все апдейты с Microsoft и Adobe flash
Gynny
23 октября 2010, 16:42

Slonjra написал: если умеем обращаться с реестром

Не рискну, особенно на проблемном компе.

Slonjra написал: Запускаем CureIT

Обязательно с загрузочного диска, как советует maskerader (подозреваю, что да), или как исполняемый файл с флешки тоже можно?

Slonjra написал: Malmware

Это что? Гугол выдает только Malwarebytes' Anti-Malware 1.46. Оно?

Спасибо.
Slonjra
23 октября 2010, 16:52

Gynny написала: Обязательно с загрузочного диска, как советует maskerader

и с загрузочного хорошо и с флешки неплохо, и просто из safe mode лишь бы не в стандартном режиме, в нем ни один сканер на зараженной машине основного зверя не поймает.

Gynny написала: Malwarebytes' Anti-Malware

угу оно, пару страниц назад я где--то тут линки на них давал
ilya_ya
23 октября 2010, 18:08

Gynny написала: Хм... у меня теперь и сайт exler.ru не грузится. Он-то чем вирусу (если это все-таки вирус) помешал?

У тебя же лицензия на Dr.Web, так что марш в техподдержку! smile.gif
Gynny
24 октября 2010, 15:07

ilya_ya написал: тебя же лицензия

Лицензия закончилась, новую зарегистрировать не могу, пока поставила на 1,5 месяца ключ от "Компьютербилда".

ilya_ya написал: марш в техподдержку

Я же ни на drweb.com, где личный кабинет, ни на freedrweb.com зайти не могу. Сначала туда попасть надо, а потом уже долечиваться. Буду завтра на работе упомянутые выше файлы качать (с "левых" сайтов что-то не хочется) и пытаться лечить.
maskerader
24 октября 2010, 17:50

Gynny написала: но не факт, что не прилепится какая-то зараза

Когда ты записываешь образ диска, ничего не может прилепиться.
ilya_ya
24 октября 2010, 20:19

Gynny написала:
Я же ни на drweb.com, где личный кабинет, ни на freedrweb.com зайти не могу.

ftp://83.222.3.90/pub/launch.exe - это cureit.
ftp://83.222.3.90/pub/drweb/tools/plstfix.exe - это тулза, сбрасывающая настройки винды, изменённые вирусами, на стандартные.

Алгоритм такой:

1. Скачать эти два файлика.
2. Отключить компьютер от инета, обесточив модем или выдернув из машины кабель.
3. Проверить машину cureit'ом и полечить, если что-то найдётся.
4. Если при первой проверке что-то нашлось, перезагрузить компьютер и ещё раз проверить cureit'ом.
5. Если cureit ничего не находит, запустить plstfix и затем перезагрузить машину.
6. Если не стоит какой-либо отдельный фаерволл, настроить его на блокирование всех входящих подключений. Если отдельного фаерволла нет проверить, включён ли виндовый брандмауэр (включить, если выключен) и включить в нём режим "Не разрешать исключения".
7. Восстановить связь и проверить, стали ли доступны заблокированные сайты.
Gynny
24 октября 2010, 20:35

ilya_ya написал: Алгоритм такой:

Спасибо.
Качается. Сегодня попробую сделать, если успею.
Okeanolog
24 октября 2010, 22:59

Gynny написала: на freedrweb.com зайти не могу

Во-первых проверить c:\WINDOWS\system32\drivers\etc\hosts на наличие паразитных записей.
Во-вторых, делаем следуещее:
Запускаем командную строку. Пуск – Выполнить (или сочетание клавиш Win+R), в появившемся окне набираем CMD и жмем Выполнить
Появляется черное окно с командной строкой. Внутри пишем route –f (с пробелом). Нажимаем ENTER и перезагружаем компьютер. Проверяем доступность антивирусных сайтов http://esetnod32.ru/ и http://www.kaspersky.ru/.
Третье. Проверяем куст реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes и удаляем все, что там есть.

Это для WinXP.
ilya_ya
24 октября 2010, 23:28

Okeanolog написал:

...удаляем все, что там есть.


Тулза plstfix, ссылку на которую я дал, делает все три этих пункта плюс снимает административные запреты на запуск редактора реестра и таскменеджера и сносит другие блокировки, которые прописываются зверьём или "хакирами" в реестр системы.
Если в системе сидит троян, то он всё удалённое может восстановить.
Gynny
25 октября 2010, 01:13

ilya_ya написал: Алгоритм...

Получилось! smile.gif
Даже не верится.
Мильон спасибов.
Сканер ничего и не нашел (проверяла в безопасном режиме в режиме усиленной защиты сканера), файерволл у меня так и был настроен - с галкой в нужном месте, а вот заплатка на реестр помогла.
Теперь и сайт Доктора, и z-oleg.com, и всякая нужная ерундистика открывается.
Надо, наверное, еще на учетные записи пароли поменять, но это вечером, отключаюсь.

ilya_ya написал: Если в системе сидит троян, то он всё удалённое может восстановить.

Вот где он сидит - это вопрос. frown.gif
Okeanolog
25 октября 2010, 11:10

ilya_ya написал: Тулза plstfix

Ее еще скачать надо. А если доступ к др.вебовским айпишникам закрыт, то увы...
ilya_ya
25 октября 2010, 22:26

Okeanolog написал:
Ее еще скачать надо. А если доступ к др.вебовским айпишникам закрыт, то увы...

Сколько встречал зверья - никто все дрвебовские IP-шник не закрывал - блокировали исключительно по домену, причём иногда блокировка была совершенно смешная - drweb.com и freedrweb.com не открывались, но при этом установленный в этой же системе Dr.Web с зашитых в него адресов обновления типа msk3.drweb.com, us.drweb.com и т.п. нормально обновлялся. smile.gif
ilya_ya
25 октября 2010, 22:29

Gynny написала:
Получилось!  smile.gif

Вот где он сидит - это вопрос. frown.gif

Если блокировка снова не восстановилась, значит, уже нигде не сидит (по крайней мере тот, который настройки системы поменял). Но тсукнуться в поддержку (хотя бы с триальным ключом) не помешает.
Gynny
26 октября 2010, 01:18

ilya_ya написал: установленный в этой же системе Dr.Web с зашитых в него адресов обновления... нормально обновлялся

Угу, у меня тоже обновлялся при блокировке сайтов.

ilya_ya написал: Если блокировка снова не восстановилась, значит, уже нигде не сидит

Пока все открывается. Прошуровала сканером все подключаемые диски и потом снова всю систему - ничего, кроме одной рекламной адвари на редко втыкаемой флешке, не нашлось.
Slonjra
29 октября 2010, 06:50

Gynny написала: Пока все открывается.

Не забудь про апдейты. Все от MS что Windows Update предложит и Adobe Flash Player. (Через его дырку довольно много мусора пытается прорваться в последнее время.)
Okeanolog
29 октября 2010, 14:44

ilya_ya написал: Сколько встречал зверья - никто все дрвебовские IP-шник не закрывал - блокировали исключительно по домену

Жаль, я не сохранил список блокированных айпишников, которые я удалил давеча у одной форумчанки. Штук 50 и только одни циферки.
Gynny
29 октября 2010, 16:53

Slonjra написал: Через его дырку довольно много мусора пытается прорваться в последнее время.

Вчера последнюю верию поставила, так она что-то в Оперу не интегрировалась - только в Огнелиса.
Ann:-)
30 октября 2010, 14:32
Народ, помогите. Я сильно накосячила - захотела скачать бесплатный Korean media player и доверилась гуглу. В общем по этой ссылке скачала экзешник, который при установке потребовал оплатить код установки через СМС. (Совсем оборзели - требовать платы за фривар!) Установку я прервала, экзешник вычистила. Но теперь у меня в автозагрузке стоит какая то гадость, которя приз загрузке винды становится в трей, и у меня в нижнем правом углу экрана начинаютр прлясать стриптижерши. Я понимаю, что очень смешно, но что делать? Там какой то ход на сайт ero.ru. Даже Касперский Кристал не смог вычистить эту гадость. Что делать? Помогите! wall.gif
Slonjra
30 октября 2010, 16:40
Читать то, что написано здесь на 2х предыдущих страницах. Алгоритм зачиски и програмки те же что и в случае Gynny
Ann:-)
30 октября 2010, 21:30

Slonjra написал: Читать то, что написано здесь на 2х предыдущих страницах. Алгоритм зачиски и програмки те же что и в случае Gynny

И нифига не помогло. В своей "хрюше" на десктопе я через окошко "выполнить" запускаю msconfig и смотрю хотя бы что загружается при старте компа, а в проклятой семерке я даже не понимаю как это сделать! Ну разжуйте еще раз!
Slonjra
30 октября 2010, 21:37

Ann:-) написала: запускаю msconfig

Не надо тебе это. Если с Regedit неуверенно себя чуствуешь, не трогай.

Вот

http://forum.exler.ru/index.php?act=ST&t=1...post&p=22542555

и вот

http://forum.exler.ru/index.php?act=ST&t=1...post&p=22550468

Попробуй эти методы




Slonjra
30 октября 2010, 21:40

Ann:-) написала: а десктопе я через окошко "выполнить" запускаю msconfig и смотрю хотя бы что загружается при старте компа, а в проклятой семерке я даже не
понимаю как это сделать

Кста, в W7 msconfig никуда не делся .. Start -> и в нижнем окне, там где "search program and files" - пишем Msconfig и видим его сверху
Ann:-)
30 октября 2010, 21:44


Спасибо, щас попробую.

Slonjra написал: Кста, в W7 msconfig никуда не делся .. Start -> и в нижнем окне, там где "search program and files" - пишем Msconfig и видим его сверху

Так это ж еще догадаться надо - что туда можно это вписать! Перемудрили они с дизайном.
Ann:-)
30 октября 2010, 21:59
Елки... Это надо вписать в Поиск, поиск найдет прогу и ты ее уже запускаешь... Мелкомягкие в своем репертуаре.
Vitalka
31 октября 2010, 12:53

Ann:-) написала: Елки... Это надо вписать в Поиск, поиск найдет прогу и ты ее уже запускаешь...

Вообще-то виндовые комбинации клавиш в W7 никто не отменял. Win+R прекрасно работает. wink.gif
Ann:-)
31 октября 2010, 14:45
Докладываю: нифига не помогло. Девушки не выскакивают, но иконка погасшая в трее все равно сидит!!!!
Прошерстила в реестре HKEY LOCAL MACHINE вроде все названия знакомые... Где ж она зараза сидеть то может?
ilya_ya
31 октября 2010, 21:20

Ann:-) написала: Прошерстила в реестре HKEY LOCAL MACHINE вроде все названия знакомые... Где ж она зараза сидеть то может?

В winlogon. И смотреть надо не только в LOCAL MACHINE, но и в CURRENT USER.
А ещё может прописаться, как дебаггер к explorer.exe или userinit.exe.
новиков юрий
7 ноября 2010, 13:01
Как избавится от вирусов появляющихся в папке C:/ System Volume Infor?
Последние три не дели подряд при проверке Nod 32 обнаружены вирусу в папке "С":/ System Voule Infor( к примеру вот такие RP 233/ A0015233.exe script.nsi-NSIS. Arch SMS .B троян). При заданном действии могу только скопировать их в карантин(и не более), из которого в последствии их удаляю, но уже при следующей проверке они появляются в этой же папке но в другом месте. Пробовал использовать утилиту Dr. Web Сurelt , то всё происходит так же, находит вирусы, не удаляет, а перемещает их в карантин, от куда их сразу же и удаляю, но при следующих проверках они появляются в этой же папке но в других местах. Как быть, кто что подскажет?
ilya_ya
7 ноября 2010, 13:16

новиков юрий написал: Как избавится от вирусов появляющихся в папке C:/ System Volume Infor?

В первую очередь - поставить все заплатки на систему и адобовский софт и правильно настроить встроенный брандмауэр Windows или идущий в комплекте с антивирусом фаерволл. Если не поможет, обратиться в техподдержку антивируса.
Ann:-)
7 ноября 2010, 15:50

ilya_ya написал: В winlogon. И смотреть надо не только в LOCAL MACHINE, но и в CURRENT USER.
А ещё может прописаться, как дебаггер к explorer.exe или userinit.exe.

Вроде ничего подозрительного нету... Или оно маскируется под что-то. mad.gif Я убьюсь ап стену.
Chief
7 ноября 2010, 16:31

Ann:-) написала: Вроде ничего подозрительного нету...

Лучше кинь сюда содержимое веток, мы посмотрим есть там подозрительное или нет...
Chief
7 ноября 2010, 16:32

ilya_ya написал: и адобовский софт

Кстати, они недавно опятьвыпустили обновление с очередной заплаткой.
Ann:-)
7 ноября 2010, 16:35

Chief написал: Лучше кинь сюда содержимое веток, мы посмотрим есть там подозрительное или нет...

Как это сделать? Дай пошаговую инструкцию, плиз.
Chief
7 ноября 2010, 16:41

Ann:-) написала: Как это сделать? Дай пошаговую инструкцию, плиз.

Правая клавиша на нужной ветке рееестра (не на всей ветке, а на последней папке в дереве, ессноsmile.gif) - экспортировать. Потом все эти файлы прикрепляешь к сообщению и все - они текстовые, мы прочитаем...smile.gif
Ann:-)
7 ноября 2010, 17:07

Chief написал: Правая клавиша на нужной ветке рееестра (не на всей ветке, а на последней папке в дереве, ессно) - экспортировать.

Прости за чайниковость. Они с расширением reg должны получиться? Там просто больше ста килобайт вышло. Можно загрузить на файлообменник или кому на мыло скинуть?
Chief
7 ноября 2010, 17:14

Ann:-) написала: Они с расширением reg должны получиться

Ну можно и переименовать, но по умолчанию да...

Ann:-) написала: Там просто больше ста килобайт вышло.

Ты всю ветку экспортировала? Ну тогда запакуй.

Ann:-) написала: Можно загрузить на файлообменник или кому на мыло скинуть?

Можно и на файлообменник, но лучше запаковать и прикрепить, скачаем. А в почту не стоит, еще не известно кто когда в сеть выйдет, я вот прямо сейчас на работу съездить должен, ilya_ya может тоже свалил - я же не знаю, Vitalka их модераторов ушел, значит вполне возможно, что времени просто нет и тп... Прикрепишь в тему - кто первый придет, тот и посмотрит...
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»