Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
LTata
28 апреля 2010, 12:55
Провайдер написал ответ:

В данном случае рекомендуем со своей стороны заблокировать порт 139 (135,445) фаерволом, т.к. во внешней сети он практически не используется и соответственно не нужен.
Программное обеспечение Компании являются наиболее приоритетным и блокирование адресов осуществляется только по результатам сканирования програмами Компании. С нашей стороны ежедневно осуществляется мониторинг сети и отслеживается вирусная/вредоносная активность от Абонентов и происходит блокирование ip адресов, нарушающих правила пользования сетью. В течение сегодняшнего дня также некоторые адреса будут блокированы.
Обращаем Ваше внимание на пункт "Правил предоставления и пользования Услугами передачи данных":
6.2.Абонент самостоятельно следит за обеспечением информационной безопасности, настройкой средств предотвращения несанкционированного доступа и антивирусной защиты на своем компьютере, подключенном к Услугам.

Отследить всю вирусную активность в сети невозможно, с нашей стороны предприняты необходмые меры.

Обращаем также Ваше внимание, что в случае если в компьютере находится вирус и он распространяется в сети, то атаки на Ваш ip адрес по 139 порту могут быть лишь ответом от компьютеров на которые с Вашего ip адреса был направлен вирус, и так по цепочке вирус будет распространятся дальше, определить в данном случае источник вирусной активности невозможно, т.к. он будет заведомо ложный. В любом случае блокирование ip адресов будет осуществляется только на основании выгрузки данных Компании, при массовой рассылке СПАМа и вирусов, чтобы мы в дальнешем могли предоставить информацию блокированным Абонентам на основании, которой услуги были ограничены, как в Вашем случае.

Как мне на это реагировать и что им ответить? smile.gif Они что, собираются заблокировать меня? tongue.gif
Serg Inc.
28 апреля 2010, 13:15

LTata написала: Как мне на это реагировать и что им ответить? smile.gif

Пассажи о программном обеспечении Компании я вообще не понял. Речь о домашнем компьютере?

В течение сегодняшнего дня также некоторые адреса будут блокированы.

Формулировка какая-то дурацкая: с одной стороны, если сегодня будут заблокированы какие-то адреса вне связи с твоим обращением, то зачем сообщать тебе об этом? Рапортуют, что не спят?
Если собираются блокировать адреса, с которых атакуют тебя, то по-русски так не говорят smile.gif.

Обращаем также Ваше внимание, что в случае если в компьютере находится вирус и он распространяется в сети, то атаки на Ваш ip адрес по 139 порту могут быть лишь ответом от компьютеров на которые с Вашего ip адреса был направлен вирус<...>

Как бы это сказать помягче... Бред, в общем smile.gif. Атаки на уязвимости операционной системы происходят независимо от зараженности атакуемой системы.

Если антивирус у тебя все время активен, антивирусные базы обновляются регулярно, то с большой степенью вероятности можно считать, что твоя машина чиста. Железной гарантии дать никто не может, конечно, но в целом так.

Они что, собираются заблокировать меня? tongue.gif

Написано у них, опять же, не по-русски; вообще же заблокировать тебя в этом случае было бы козырной шуткой smile.gif.

На мой взгляд, понимать их ответ стоит так: в соглашении написано, что абонент должен сам заботиться о своей безопасности, делать это вместо вас мы не собираемся, однако откровенные случаи рассылки спама и вирусов мы пресекаем, если о них узнаем. А вам советуем поставить файервол.

Я бы ответил им в том смысле, что файервол и так стоит - какие отчеты я вам, собственно переслала? - и попросил бы прокомментировать их последнюю фразу, из которой может сложиться впечатление, что у них есть претензии к тебе.

Если претензий к тебе у них нет, то дальшейшее общение с ними можно прекратить.

А для собственной защиты имеет смысл купить аппаратный файервол, который подключается к внешней сети, а домашние компьютеры уже к нему. Стоит это не так недорого - в пределах 2 тысяч есть очень приличные аппараты, которые устраивают и меня - а я не самый обычный пользователь.

Плюс такого решения - все атаки будут рубиться еще до подхода к твоему компьютеру (или компьютерам, если их более одного). Не будучи IT-специалистом, можно иногда совершить ошибку в настройках файервола на машине, а на аппаратном все просто: входящие запрещены, исходящие разрешены, и больше туда лазить, как правило, не нужно.
Chief
28 апреля 2010, 13:39

LTata написала: Как мне на это реагировать?

Ни как, все в порядке. А порт я тебе отключу по возвращении из отпуска...smile.gif
Ну и вообще можешь не беспокоится, каспер отловит, так что просто не обращай вниманияsmile.gif

Serg Inc. написал: Единственное возможное "но": если система нелицензионная, после установки этих обновлений система может потребовать активации.

Лицензионная 7-каsmile.gif

Serg Inc. написал: запускаешь Internet Explorer, находишь там в меню пункт Windows Update. Дальше все понятно.

В 7-ке это, опять же, не так, но это и не нужно, стоит автоапдейтsmile.gif
Chief
28 апреля 2010, 13:42

Serg Inc. написал: Железной гарантии дать никто не может, конечно, но в целом так.

Как сказать... biggrin.gif 100% конечно не дам, но 95% (больше я ни даю вообще ни когда), что все нормально, я не так уж плохо компы настраиваю...wink.gif

Serg Inc. написал: Не будучи IT-специалистом, можно иногда совершить ошибку в настройках файервола на машине

Можно, но Таня без консультаций ни чего не трогает...smile.gif
Serg Inc.
28 апреля 2010, 16:36
Я так понимаю, не выпендриться Chief не мог smile.gif.

Chief написал: В 7-ке это, опять же, не так<...>

И так тоже.

<...> но это и не нужно, стоит автоапдейтsmile.gif

Замечательно.

Как сказать... biggrin.gif 100% конечно не дам, но 95% (больше я ни даю вообще ни когда), что все нормально<...>

И зачем ты написал то же самое, что написал я?

Можно, но Таня без консультаций ни чего не трогает...smile.gif

Это хорошо, но кто ж знал. Если человек идет задавать такие вопросы на форум, это с высокой степенью вероятности означает, что больше ему посоветоваться не с кем.
Chief
28 апреля 2010, 16:47

Serg Inc. написал:  Если человек идет задавать такие вопросы на форум, это с высокой степенью вероятности означает, что больше ему посоветоваться не с кем.

Она дозвониться не моглаsmile.gif
Serg Inc.
28 апреля 2010, 16:54


Chief написал: Она дозвониться не моглаsmile.gif

Теперь-то понятно smile.gif.
maskerader
28 апреля 2010, 19:02

Serg Inc. написал: Не будучи IT-специалистом, можно иногда совершить ошибку в настройках файервола на машине, а на аппаратном все просто: входящие запрещены, исходящие разрешены, и больше туда лазить, как правило, не нужно.

Запрещенным входящим очень порадуются игрушки, скайпы, торренты и тому подобная живность. smile.gif

Но если на софверном фаерволе неспециалист может выставить этим приложениям нужный уровень доступа, то с железным он что будет делать? Я как раз не спец, мне этот вопрос интересен. smile.gif

Опять же, в условиях Винды, где вирусы (а также трояны и кейлоггеры, ворующие пароли) могут попадать в комп независимо от наличия фаервола, всегда включенные исходящие тоже несколько сомнительная радость...
Anton
28 апреля 2010, 19:08

maskerader написал: Запрещенных входящим очень порадуются игрушки, скайпы, торренты и тому подобная живность.

Фигня. Игрушки и скайпы вполне вольготно живут к примеру за NAT'ом, где входящих нет в принципе. Из обычных пользовательских приложений входящие нужны только торрентам, да и то с оговорками.
maskerader
28 апреля 2010, 19:13

Anton написал: Игрушки и скайпы вполне вольготно живут к примеру за NAT'ом

Гарантируешь для всех игрушек и скайпов? smile.gif
Anton
28 апреля 2010, 19:21

maskerader написал: Гарантируешь для всех игрушек и скайпов?

Гарантирую для нормальных игрушек и скайпов. За криворуких разработчиков, не подозревающих, что у пользователя может не быть внешнего IP, я не отвечаю.
LTata
28 апреля 2010, 21:46

Serg Inc. написал: Пассажи о программном обеспечении Компании я вообще не понял. Речь о домашнем компьютере?

Да. Я так поняла, что этой фразой они имели в виду моё письмо с отчётами моего Касперского. В смысле - что отчеты (или как это там правильно называется) их ПО имеют аффторитет, а не мои доморощенные наветы. О чём я и собираюсь спросить их в письме - нужны ли им рапорты с мест в будущем о подобных ситуациях или сидеть тихо и не отсвечивать. smile.gif Лично мне эти атаки мешали, когда они шли повисала Опера и всё, что было открыто на тот момент, плюс страшно из области "шо им всем от меня надо". tongue.gif Действительно, непонятно с чего это вдруг началось.

Я бы ответил им в том смысле, что файервол и так стоит - какие отчеты я вам, собственно переслала?

Я правильно понимаю, что файрвол и есть антивирус? coquet.gif
Тогда стоит, лицензионный, обновляется, активен - я запретила в нем всё, что могла. Потом, правда, разрешила что велели. smile.gif

  в пределах 2 тысяч есть очень приличные аппараты

Буду признательна за рекомендацию модели.smile.gif

попросил бы прокомментировать их последнюю фразу, из которой может сложиться впечатление, что у них есть претензии к тебе.

Законспектировала, попрошу.

Спасибо тебе огромное за помощь! hb.gif

LTata
28 апреля 2010, 21:51

Chief написал: А порт я тебе отключу по возвращении из отпуска...

Спасибо! :smile4.gif Хорошего отпуска, в смысле - возвращайся поскорее. tongue.gif

Serg Inc.
28 апреля 2010, 23:35

maskerader написал: Запрещенным входящим очень порадуются игрушки, скайпы, торренты и тому подобная живность. smile.gif

Это настраивается.

Но если на софверном фаерволе неспециалист может выставить этим приложениям нужный уровень доступа, то с железным он что будет делать? Я как раз не спец, мне этот вопрос интересен. smile.gif

Все то же самое будет делать. Железный - не значит, что у него вся логика сделана паяльником. Там внутри линукс, а для настройки - web-интерфейс с красивыми картинками и минимумом кнопок.

Опять же, в условиях Винды, где вирусы (а также трояны и кейлоггеры, ворующие пароли) могут попадать в комп независимо от наличия фаервола, всегда включенные исходящие тоже несколько сомнительная радость...

Да ради бога, запрещай. Встроенный в Windows 7 файервол позволяет блокировать и исходящие (как и аппаратный). Это удобно, но при наличии стоящего на входе аппаратного файервола мне проще жить (это при том, что я имею отношение к IT, домохозяйкой не являюсь, проблем с настройкой не испытываю).
Serg Inc.
28 апреля 2010, 23:59

LTata написала: О чём я и собираюсь спросить их в письме - нужны ли им рапорты с мест в будущем о подобных ситуациях или сидеть тихо и не отсвечивать. smile.gif

Судя по их ответу, писать им в будущем бессмысленно.

Лично мне эти атаки мешали, когда они шли повисала Опера и всё, что было открыто на тот момент, плюс страшно из области "шо им всем от меня надо". tongue.gif Действительно, непонятно с чего это вдруг началось.

Потому мне и нравится аппаратное решение на входе, что в этом случае до твоего компьютера атаки вообще не будут доходить. Сейчас на анализ входящего трафика тратятся компьютерные ресурсы (тем же Каспером), а в случае аппаратного файервола этого не будет.

Но это тебе подробно Chief объяснит, если будет желание вникнуть.

Я правильно понимаю, что файрвол и есть антивирус?

Это программы разного назначения, но их теперь модно объединять в одном продукте. Пример подобного объединения - установленный у тебя KIS.

Буду признательна за рекомендацию модели.smile.gif

У меня ASUS RT-N16, что заметно дороже упомянутых мной 2 тысяч, но я не очень хороший пример - в пределах подобной суммы я не очень гонюсь за лучшим соотношением цена/качество и готов переплатить за заведомо подходящий мне прибор.

Чем нравится этот: мощный процессор, котороый хорошо тянет множество торрент-соединений при канале 30Mbit/30Mbit (причем подключение к провайдеру требует VPN-соединения (не суть, что это, главное, что требует дополнительных процессорных ресурсов от файервола) ), наличие Wi-Fi точки доступа. Все это более-менее надежно работает и хорошо сделано.

Это устройство подойдет, если подключение к провайдеру по Ethernet; для других типов подключения есть другие аппараты. Здесь обсуждать это не стоит, лучше пойти в Железо, там быстро подберут нужный.

Спасибо тебе огромное за помощь! hb.gif

Не за что smile.gif.
maskerader
29 апреля 2010, 18:41

Anton написал: За криворуких разработчиков, не подозревающих, что у пользователя может не быть внешнего IP, я не отвечаю.

Тем не менее, "скайпы и игрушки" обычно выбирают по привлекательности фич, а не по пряморукости разработчиков... Впрочем, и ладно с ними.

А отсутствие внешнего IP означает закрытость входящих?
Anton
29 апреля 2010, 18:48

maskerader написал: А отсутствие внешнего IP означает закрытость входящих?

В общем случае да. Снаружи просто невозможно адресовать машину с серым IP.
Можно делать всякие туннели и портфорвардинги, но это уже не домохозяйский уровень.
Anton
29 апреля 2010, 18:51

maskerader написал: Тем не менее, "скайпы и игрушки" обычно выбирают по привлекательности фич, а не по пряморукости разработчиков.

Если для того, чтобы поиграть, нужно становиться IT-профессионалом, то это малопривлекательная фича для среднего юзера.
Gynny
9 мая 2010, 03:56
У меня маленький частный вопросец.
Сегодня во время профилактической "ловли блох" Dr. Web нашел в разных разделах системного диска полдюжины эксешных файлов с разными названиями, которые он определил как Trojan MulDrop1.1789.
Никто не знает - что за зверь, на что влияет и где/как его можно подцепить?
На сайте/форуме Dr. Web информацию не нашла, на погуглить ничего внятного тоже.
ilya_ya
9 мая 2010, 08:10

Gynny написала:
Никто не знает - что за зверь, на что влияет и где/как его можно подцепить?

Насколько я знаю, Muldrop - это сокращение от multidropper, то есть троян, предназначенный для установки в систему других троянов.
Как назывались файлы и где именно они были найдены? По расположению и именам часто можно определить, как эти файлы попали в систему.
Gynny
9 мая 2010, 12:47

ilya_ya написал:  Muldrop - это сокращение от multidropper, то есть троян, предназначенный для установки в систему других троянов

Ясно. Помимо них еще был еще зараженный pdf-документ, служащий по комментам антивируса контейнером для троянов, и один троян другого вида - Trojan Packed.20144.
Всего 8 вирусных объектов. Вероятно, других троянов насажать еще не успели.

ilya_ya написал: Как назывались файлы и где именно они были найдены?

Названия - незапоминаемая абрадакабра из цифр и букв. Лежали в разных местах диска С - в папках системых файлах и файлов Виндовс. А вот pdf конкретно в папке Opera, наверное, через "дыру" в этом браузере его и подцепила. mad.gif

Лунный Волк
9 мая 2010, 17:08

Gynny написала:
А вот pdf конкретно в папке Opera, наверное, через "дыру" в этом браузере его и подцепила.  mad.gif

Я сильно сомневаюсь, что у тебя плагин чтения pdf на Опере установлен... так то она их не читает.
Gynny
9 мая 2010, 19:35

Лунный Волк написал: у тебя плагин чтения pdf на Опере установлен...

В Огнелисе есть, на Опере нет, я в ней виджетами не балуюсь.
Но этот контейнер в Оперной папке в прогамм-файлах был (я ж хоть и полный чайник, но путь к файлам прочитать в состоянии). А в рассылках антивирусника (за март, кажется, точно не помню) про такую самостоятельно сохраняющуюся заразу писали.
ilya_ya
10 мая 2010, 00:20

Gynny написала:
один троян другого вида - Trojan.Packed.20144.

Это, если мне не изменяет склероз, один из упаковщиков для троянских программ и под ним может прятаться что угодно.

Gynny
Лежали в разных местах диска С

А точнее? Можно в логе сканера посмотреть.
Gynny
10 мая 2010, 15:59

ilya_ya написал: А точнее? Можно в логе сканера посмотреть.

Хм...
Пришлось покопаться в 5-ти мегабайтовом текстовом файле - та еще радость! biggrin.gif
Вот 7 штук при полном сканировании диска С (до этого еще пара была "убита" при быстрой проверке).

C:\Documents and Settings\Gynny\Application Data\Opera\Opera\profile\cache4\opr1R88L.pdf - удален
C:\Documents and Settings\Gynny\Local Settings\Temporary Internet Files\Content.IE5\9OUK9AAH\2ehVszybrZBJYpS[1].exe - удален
C:\System Volume Information\_restore{34F1AB2C-0ACB-4127-A3CD-C4375208213E}\RP1\A0000168.exe - удален
C:\System Volume Information\_restore{34F1AB2C-0ACB-4127-A3CD-C4375208213E}\RP1\A0000169.exe - удален
C:\System Volume Information\_restore{34F1AB2C-0ACB-4127-A3CD-C4375208213E}\RP1\A0000170.exe - удален
C:\WINDOWS\system32\Jr8ed1i.exe - удален
C:\WINDOWS\system32\kqq07jK.exe - удален

ilya_ya
10 мая 2010, 23:04

Gynny написала:
Пришлось покопаться в 5-ти мегабайтовом текстовом файле - та еще радость!

Ctrl+F по слову Trojan - и копание займёт не большеп пары минут. wink.gif


C:\Documents and Settings\Gynny\Application Data\Opera\Opera\profile\cache4\opr1R88L.pdf - удален

Кэш оперы - вероятно, атака на адобовский плагин.


C:\Documents and Settings\Gynny\Local Settings\Temporary Internet Files\Content.IE5\9OUK9AAH\2ehVszybrZBJYpS[1].exe - удален

Кэш IE - видимо, с какого-то сайта, который опрометчиво посетили с помощью IE с незакрытой дырой.


C:\System Volume Information\_restore{34F1AB2C-0ACB-4127-A3CD-C4375208213E}\RP1\A0000168.exe - удален
C:\System Volume Information\_restore{34F1AB2C-0ACB-4127-A3CD-C4375208213E}\RP1\A0000169.exe - удален
C:\System Volume Information\_restore{34F1AB2C-0ACB-4127-A3CD-C4375208213E}\RP1\A0000170.exe - удален

Это архивы системы восстановления Windows. Данная система туповата и считает системными все файлы в соответствующих каталогах. Соответственно, если в системном каталоге появляется файл трояна, система восстановления ташшит его в свой архив.


C:\WINDOWS\system32\Jr8ed1i.exe - удален
C:\WINDOWS\system32\kqq07jK.exe - удален

Собственно, самое опасное место. А в логах резидентного монитора срабатываний на эти файлы нет?
Gynny
10 мая 2010, 23:13

ilya_ya написал: посетили с помощью IE

IE не пользуюсь совсем, Опера+Огнелис.

ilya_ya написал: атака на адобовский плагин

В Опере акробатский плагин-виджет не стоит.

ilya_ya написал: в логах резидентного монитора срабатываний на эти файлы нет

Логи не смотрела, но сам монитор между двумя профилактическими сканированиями молчал как партизан - никаких предупреждающих окошек.
ilya_ya
11 мая 2010, 22:40

Gynny написала:
IE не пользуюсь совсем, Опера+Огнелис.

Какая-то софтина явно пыталась задействовать IE, иначе бы файл в этом кэше не оказался.

Gynny
В Опере акробатский плагин-виджет не стоит.

Могла быть комплексная атака. А может, опера сама закэшировала этот файл по ссылке на случай, если ты туда пойдёшь.

Gynny
Логи не смотрела, но сам монитор между двумя профилактическими сканированиями  молчал как партизан - никаких предупреждающих окошек.

При сканировании он и не должен срабатывать. Он должен был срабатывать до...
maskerader
15 мая 2010, 21:33
Мама в командировке с ноутом. Говорит, вирус завелся. Сейчас там антивирус не стоит. Подскажите, что ей поставить бесплатное, простое в установке и более-менее надежное, чтобы провериться?
Телеграфист
19 мая 2010, 23:29

ilya_ya написал: route -f

О! Спасибо огромное. pray.gif Две недели уже мучаюсь с зараженным компом, вроде уже все удалил, но сайты не открывались. Причем происходящее напоминало старинную байку, про доставку электромыла в пределах 500 миль. Все сайты в зоне 217.х.х.х открываются, а 87,х.х.х, например, нет. В саппорте Касперского, кроме как проверить hosts ничего посоветовать не смогли mad.gif Думал уже переустанавливать систему, но сперва решил почитать ФЕР, и на второй странице нашел ответ. smile4.gif
Aldarion
22 мая 2010, 20:55
У меня вдруг появился вирус "Security Essentials 2010". Я зашел в Safe Mode, скачал обновления для Spybot S&D, запустил сканирование, он нашел вирус и починил. Но когда затем я перезагрузился, началось что-то странное: WinXP застрял на экране выбора пользователя. Я выбираю пользователя, он "Загружает личные параметры", показывает мне на секунду десктоп (без иконок) и... снова вылетает на "Приветствие".
Safe Mode делает то же самое.

Что делать?
ilya_ya
22 мая 2010, 22:32

Aldarion написал: Я выбираю пользователя, он "Загружает личные параметры", показывает мне на секунду десктоп (без иконок) и... снова вылетает на "Приветствие".
Safe Mode делает то же самое.

Вероятней всего, S&D не восстановил или криво восстановил ветку реестра Winlogon и связанные с ней ветки. Для начала нужно проверить, удаётся ли загрузить систему в безопасный режим с поддержкой командной строки. Если удалось, то из командной строки нужно запустить regedit, в нём открыть ветку HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и проверить, что параметр Shell имеет значение explorer.exe. Если этот параметр имеет какое-то другое значение или кроме explorer.exe в нём записано ещё что-то, то стереть всё, и вписать explorer.exe.
В этой же ветке нужно посмотреть параметр Userinit - у него должно быть значение
C:\Windows\system32\userinit.exe,
именно так, с запятой в конце (естественно, если система установлена не в C:\Windows, то путь к userinit должен быть другой).

Затем проверить, есть ли ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winlogon.exe

Если какие-то из веток есть, то посмотреть, есть ли в них параметр Debugger, ссылающицся на имя заразы. Если есть, то удалить этот параметр.

После всего этого закрыть редкатор реестра и попробовать перезагрузить комп в обычном режиме.

Если в безопасном режиме с поддержкой командной строки загрузиться тоже не удастся, то нужно либо подключать винчестер с испорченной системой вторым к другой машине, либо грузиться с компакт-диска с WindowsPE, запускать редактор реестра оттуда, подгружать с диска нужный куст (файл \Windows\System32\config\SOFTWARE), править его, как я описал выше (только вместо HKEY_LOCAL_MACHINE\SOFTWARE будет уже HKEY_LOCAL_MACHINE\имя_под_которым_подгрузили_куст), затем выгрузить куст и попытаться загрузиться с винчестера. Если машина в корпоративной сети и есть средства удалённого администрирования, то можно попробовать подправить испорченный реестр через сеть.

ЗЫ Вот в таких случаях и проявляется преимущество коммерческих антивирусов - в случае с Dr.Web или KAV можно было бы позвонить или написать в техподдержку и там бы помогли.
Aldarion
22 мая 2010, 23:53
Решил. Скачал загрузочный диск PC Regedit, оттуда вышел в реестр и исправил HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, параметр Userinit.
Работает.

uksusx
11 июня 2010, 16:44
Странно, после того как схватил кидо, при работающей 4 Eset Smart Security, пролечил комп, как касперскими утилитами + манами так и самим ESS - на сайты антивирей по прежнему не заходит...
Slonjra
11 июня 2010, 17:50

uksusx написал: как касперскими утилитами + манами так и самим ESS

Этого комплекта мало для Кидо.
Прогони еще malbware ну или ручками
ilya_ya
11 июня 2010, 21:57

uksusx написал: пролечил комп... - на сайты антивирей по прежнему не заходит...

На сайт microsoft.com заходит?
Если тоже не заходит, значит, зараза после лечения опять пролезла и надо снова лечить машину. Я уже давал рекомендации по правильной ликвидации данной пакости вот тут.
Если же сайт microsoft.com доступен, вероятней всего, либо в системе ещё какая-то зараза сидит, либо какая-то зараза (но не kido) сидела раньше и изменила настройки роутинга в системе таким образом, чтобы сайты антивирусов стали недоступны. Настройки роутинга можно сбросить командой

route -f

из командной строки и последующей перезагрузкой системы.
Vitalka
12 июня 2010, 02:30

Slonjra написал: Этого комплекта мало для Кидо.
Прогони еще malbware ну или ручками

Для полной ликвидации kido выполните вот это: http://forum.kaspersky.com/index.php?showtopic=101154 .

Хотя, ИМХО, оно избыточно. По моему опыту достаточно физически отключить комп от сетки (от всех сеток, включая блютусы и прочие вайфаи), прогнать свежескачанный kidokiller от Касперского, установить необходимые заплатки.

А чистка темпов и точек восстановления - в обычном порядке. Можно не делать - со временем само сдохнет. smile.gif
uksusx
13 июня 2010, 18:25
2all, спасибо! Пролечил, поставил заплатки, всё помогло! Единственное, я прошляпил, это оф. ссылку на мануал по лечению и предотвращению заражения: http://support.kaspersky.ru/faq/?qid=208636215 Ещё раз спасибо за анти-кидо мануал!
Limaga
13 июня 2010, 19:55
У меня с зимы стала учащаться проблема. Не знаю, к чему отнести, к вирусной или технической.
Атлон 64 4200, 2 Гб оперативки. Стал периодически глючить DVD-привод Pioner.
Некоторые диски запускал. При установке других экран захлопывался и комп шел на перезагрузку. Т.к. я на DVD-приводе уже поставил крест, решил разобрать и осмотреть контакты.
Теперь он вообще не видит диски.

Я думал, что нашел причину. Но все оказалось сложнее.
На днях решил в виртуальный CD-DVD-привод установить образы дисков, и возникла та-же проблема. Один образ запустился. При установке другого комп пошел на перезагрузку. Поэкспериментировал несколько раз. Глюк подтверждается.
С зимы я два раза переустанавливал систему Win7.
Если не обращаться к DVD-приводу, система работает устойчиво.
Антивирус Avast.

Кто скажет, к какой теме относится данный глюк.
Slonjra
14 июня 2010, 00:23

Limaga написал: С зимы я два раза переустанавливал систему Win7.

Я за 10 лет с момента появления XP..ни РАЗУ не переуставливал винду..Она спокойно пережила 3-4 переезда на новое железо, апграйд до Висты и счас до W7.
Что такое могло случится с W7, что заставило тебя ее 2 раза переустанавливать...вот именно там и надо искать..
Slonjra
14 июня 2010, 00:24

Limaga написал: Антивирус Avast.

Маловато будет.. проверься дополнительными утилитками от DrWeb..или Malbware
Estia
15 июня 2010, 17:37
Своими сомнительными силами избавилась от "рекламного информера", требующего отправить смс и блокирующего: диспетчер задач, возможность восстановления системы, редактор реестра, веб-браузер(Firefox) и все сторонние утилиты, способные его грохнуть. Работал, гад, при этом и в Безопасном режиме. И Live CD Dr.web его не брал, хоть и со свежими базами, после многочасового сканирования сообщил, что вирусов нет. Десятки кодов разблокировки от разных сервисов-деблокеров не подошли, на горячей линии А1 Агрегатор выразили свое сожаление и приказали ждать звонка.
В конечном счете спас ERD Commander - помог легко сделать back-up.

На данный момент успела провести полное сканирование с помощью NOD32 и только что установленным MalwareByte's Anti-Malware. Вроде бы говорят, что все чисто - вредоносных программ не обнаружено.
Тем не менее, появились сомнения на счет эффективности используемого антивируса. Впрочем, не лишено смысла предположение о том, что любой антивирус мог пропустить эту гадость, которая, вероятнее всего, была установлена с моего мнимого согласия.


Хотелось бы узнать, какая дальнейшая политика была бы наиболее приемлемой?
Можно ли оставить в компанию к НОДу этот MalwareBytes с включенной защитой в режиме реального времени?
Как вариант рассматриваю переход на McAfee. Правда пока не располагаю информацией о его ресурсоемкости и прихотливости в сравнении с привычным NOD32. А также об удобстве использования и понятности для среднестатистического пользователя.
Slonjra
15 июня 2010, 17:48

Estia: Хотелось бы узнать, какая дальнейшая политика была бы наиболее приемлемой?

Поставить ВСЕ апдейты с Микрософта и не кликать на "ОК" где попало в интернете. Это 2 основных пути которыми пролазит подобное современное зверье.
От типа включенного антивира мало что зависит, они ловят по другому принципу.
ilya_ya
15 июня 2010, 18:22

Slonjra написал:
Поставить ВСЕ апдейты с Микрософта  и не кликать на "ОК"  где попало в интернете. Это 2 основных пути которыми пролазит подобное современное зверье.

Есть ещё третий путь - это дырявый адобовский флешплеер. И этот путь сейчас более популярен, чем два других, т.к. не зависит от браузера. Поэтому к двум приведённым выше рекомендациям добавлю ещё две:

- использовать браузеры, в которых можно автоматически блокировать флэшролики, разрешая только нужные (я использую FireFox с плагинами Flashblock и NoScript).
- не работать в системе постоянно из администраторской учётной записи. Все админские учётки закрыть сложным паролем, а в инет ходить (и вообще работать) из ограниченной учётной записи. В таких условиях подобный локер, даже если он запустится, сможет заблокировать только пользовательскую учётку,, пот которой он влез, а систему и сесть в системный каталог и в админскую учётку ему сама система не даст и тогда заразу можно будет выковырять из системы, залогинившись админом - не будут нужны танцы с LiveCD и т.п.

Slonjra От типа включенного антивира мало что зависит, они ловят по другому принципу.

Это да. Но у нормальных коммерческих антивирусов есть вменяемая техподдержка, к которой можно обратиться за помощью в случае проблем.

К тому же у Dr.Web послендней версии и у каких-то вариантов Касперского есть возможность средствами антивируса защитить от изменений ветки реестра, куда эта зараза чаще всего пытается прописаться, так что даже новой заразе такого типа антивирус не позволит переписать реестр под свой запуск.
ilya_ya
15 июня 2010, 18:30

Estia написала:
Как вариант рассматриваю переход на McAfee. Правда пока не располагаю информацией о его ресурсоемкости и прихотливости в сравнении с привычным NOD32. А также об удобстве использования и понятности для среднестатистического пользователя.

Какой антивирус, не имеет значения, но лучше выбирать антивирус, основной офис которого находится поближе к тебе географически, чтобы проще было с поддержкой общаться. И не ставить пиратские копии коммерческих антивирусов. Ворованый антивирус - как штопаный презерватив - может "порваться" в любой момент с непредсказуемыми последствиями.
Chief
16 июня 2010, 12:26

ilya_ya написал: Есть ещё третий путь - это дырявый адобовский флешплеер.

Переставлять пораsmile.gif
Estia
16 июня 2010, 19:33
Всем спасибо за Ликбез. smile4.gif
Не все так и сложно, оказывается.
Нефеш
20 июня 2010, 00:12
Так что, чтобы этот порно банер убрать надо систему переставлять или так, лучше переставлять? Сын сегодня словил.
Chief
20 июня 2010, 01:19

Нефеш написала: Так что, чтобы этот порно банер убрать надо систему переставлять или так, лучше переставлять?

Не надо и не лучше - лечиться... По крайней мере из тех пяти-шести десятков случаев, что мне приносили или приглашали - вылечилось все... Если не уверена, что сама (или сын) справишься - ну пригласи кого-либо из знакомых, кто действительно разбирается...
Alex Exler
20 июня 2010, 12:10

ilya_ya написал: Какой антивирус, не имеет значения,

Невероятно спорное утверждение. Ну, точнее, совершенно неверное.
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»