Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Кажется, в моей машине вирус...
Частный клуб Алекса Экслера > Вокруг компьютера
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33
Dmitrik
14 апреля 2007, 22:37
Поскольку подобные треды возникают постоянно, то дабы не плодить сущности создан этот специальный антивирусный тред. Все подозрения на вирусы/трояны/руткиты и способы их лечения обсуждаем здесь.
Leon
15 апреля 2007, 00:34
Очень вовремя frown.gif. Похоже, на меня кто-то сильно "наехал". Враз, за сутки около 30 штук разной заразной дряни. Последнее, что увидел сейчас, это troyan rond. Что это за зверь? Вчера только извел какую-о дрянь, генерирующую(?) трояны. У меня стоит дрвеб, до вчерашнего дня проблем не было несколько лет. Так вот, что это такое, и что еще попользовать, в дополнение к стоящему антивируснику. От него я отказываться не хочу.
Leon
15 апреля 2007, 02:42
После отправленного поста запустил еще раз антивирусник. В предыдущий раз троян даунлоадер был 20144, а теперь уже другой. Это с разницей в 1 час. ну, и другая дрянь пояилась, которая при первом прогоне не вылезала. Доктор, я буду жить? (Только не спрашивайте, зачем?)
direqtor
15 апреля 2007, 10:48
Вообще, тут лучше проверка на вирусы в безопасном режиме с командной строкой.
Тогда у тебя есть гарантия, что гадость не запущена из автозагрузки или из системного сервиса, или из эксплорера.
Правда, не все антивирусы подобное позволяют. mad.gif
В ином случае цепляй винт к другому компу и лечи там.
ilya_ya
15 апреля 2007, 11:12
Заражение проще предотвратить, чем лечить заражённую систему. Для предотвращения заражения, кроме антивируса, необходим следующий комплекс мер:

1. Обязательная установка всех критических обновлений на Windows. Без них не защитит ни один антивирус, ибо новая зараза всегда появляется раньше, чем её начинают ловить антивирусы, а эвристики и поведенческие анализаторы можно обмануть. Другой вопрос, что MS иногда называет критическими обновления, которые таковыми обнюдь не являются, но тут надо разбираться с каждым конкретным обновлением.

К примеру, вот свежая уязвимость, заплатка для которой вышла на прошлой неделе. Данная дыра, к примеру, атаковалась при посещении сайта asus.com, взломанного также на прошлой неделе.

2. Обязательный фаерволл по тем же причинам. Правда, от атаки на уязвимости переполнения буфера браузера или почтовой программы он не спасёт, но от сетевых атак поможет да и вовремя выявить подозрительную сетевую активность тоже будет легче.
3. По возможности, не использовать Internet Explorer и Outlook Express, ибо их дыры атакуются чаще всего. Mozilla и Opera, конечно, тоже не неуязвимы, но их уязвимости атакуются намного реже. Обновления ставить и для этих браузеров.
4. Не работать в Интернете с правами администратора - создать себе учётную запись с ограниченными правами и работать в ней. Многие трояны, бэкдоры и прочая гадость ничего не могут натворить в системе, если запустились без прав админа. Эта рекомендация эффективна при условии, что система стоит на NTFS, а не на FAT32.

Ну и в случае возникновения проблем стОит обратиться в техподдержку используемого антивируса - даже если антивирус ничего не ловит, но есть подозрения, что в системе сидит зараза, которую антивирус ещё не знает.
ilya_ya
15 апреля 2007, 11:21

Leon написал: После отправленного поста запустил еще раз антивирусник. В предыдущий раз троян даунлоадер был 20144, а теперь уже другой. Это с разницей в 1 час. ну, и другая дрянь пояилась, которая при первом прогоне не вылезала. Доктор, я буду жить? (Только не спрашивайте, зачем?)

Действия следующие:

1. Обновить антивирус
2. Отключить восстановление системы - судя по скриншоту, бОльшая часть файлов лежит в System Volume Information, где их так просто не прибить - система восстановления не даст - и та же система восстановления может восстановить заразу на прежнем месте.
3. Перезагрузить систему в безопасном режиме (командная строка не обязательна) и оттуда запустит сканер антивируса. Заразу лечить, неизлечимые файлы - сносить или перемещать в карантин.
4. После этого повторно перегрузить опять же в безопасном режиме и просканировать повторно на предмет рецидивов.
5. Если повторное сканирование ничего не найдёт, то можно перегружаться в обычный режим и включать восстановление системы, если оно нужно.

Если что, обратиться в техподдержку...
Leon
15 апреля 2007, 12:24

ilya_ya написал:
Действия следующие:

Есть еще небольшой вопрос. Когда я загружаюсь с F8, то на этапе выбора способа загрузки получаю разные крючки вместо текста. Как это исправить, иначе безопасного режима не найти. А как-нибудь можно войти в system volume information и поубивать там все нафиг? мне этот откат уже не нужен smile.gif
direqtor
15 апреля 2007, 13:54

ilya_ya написал:
Действия следующие:
3. Перезагрузить систему в безопасном режиме (командная строка не обязательна) и оттуда запустит сканер антивируса. Заразу лечить, неизлечимые файлы - сносить или перемещать в карантин.

Желательна, часто попадались гады, которые заражают файл explorer.exe, либо подгружаются через реестр используя его.
direqtor
15 апреля 2007, 13:55

Leon написал:
Есть еще небольшой вопрос. Когда я загружаюсь с F8, то на этапе выбора способа загрузки получаю разные крючки вместо текста. Как это исправить, иначе безопасного режима не найти.

Вроде третья строчка... Точно не помню.

Leon написал:  А как-нибудь можно войти в system volume information и поубивать там все нафиг? мне этот откат уже не нужен smile.gif

Только если отключишь восстановление системы, тогда возможен доступ к папке system volume information.
Leon
15 апреля 2007, 19:47

direqtor написал:
Вроде третья строчка... Точно не помню.

Только если отключишь восстановление системы, тогда возможен доступ к папке system volume information.

Отключил. Доступ не дает. Правда, и не говорит, что там есть зараза. Но сегодня уже ннесколько раз в tempIE по ходу находила зараженные временнные файлы, хотя IE не пользуюсь вообще, только оперой. И еще проблема, что после этого заражения стал синий экран очень часто выпадать с кодом 0х0000050. Гадость, которая у меня была как раз вызывает неожиданные отказы . Но вирусов как бы уже нет, а экраны появляются.
ilya_ya
15 апреля 2007, 20:26

direqtor написал:
Желательна, часто попадались гады, которые заражают файл explorer.exe, либо подгружаются через реестр используя его.

Не знаю. Все встречавшиеся в моей практике гады, которые запускались таким образом (сам несколько таких зверей вычислил с помощью hijackthis и AVZ), Dr.Web легко выносил из безопасного режима.
ilya_ya
15 апреля 2007, 20:28

Leon написал:
Отключил. Доступ не дает. Правда, и не говорит, что там есть зараза.

При отключении восстановления система сама и выносит всё из system volume information.
Евгений Зарубин
16 апреля 2007, 08:21

Leon: Отключил. Доступ не дает

По умолчанию к System volume information имеет доступ только группа SYSTEM. Чтобы получить доступ, нужно изменить параметры безопасности для этой папки. Тогда можно будет там и вручную все подчистить.
Сувoрoвец Мoссaдa
16 апреля 2007, 08:49

Евгений Зарубин написал:
По умолчанию к System volume information имеет доступ только группа SYSTEM. Чтобы получить доступ, нужно изменить параметры безопасности для этой папки. Тогда можно будет там и вручную все подчистить.

А как получить доступ к System volume information? Я в соседней теме про перезагрузки писал:

Скачал, просканировал, нашел кучу всякой дряни, причем несколько штук в папке System Volume Information. Про них написано Probably BACKDOOR.Trojan... Всех их переместил в карантин.

После этого перегрузки прекратились, но комп стал гораздо медленнее и не входит в интернет. Подозреваю, что это из-за того, что переместил в карантин какие-то dll-ки (просто ничего другого не делал). Хочу вернуть их на место. Как это сделать?
ЗЫ. И почему-то не могу включить firewall.
Leon
16 апреля 2007, 10:57
Дважды через выключение в безопасном режиме с ком.строкой прогнал. Первый раз нашлось немного, во второй раз, вроде, все чисто. Посмотрим на поведение.
Евгений Зарубин
16 апреля 2007, 18:04

Сувoрoвец Мoссaдa: А как получить доступ к System volume information

Правой кнопкой на папку - Свойства - Безопасность.
На этой вкладке надо нажать "Добавить" и выбрать того пользователя/группу пользователей, которым будет открыт доступ. Ну и в разрешениях поставить "Полный доступ"

Да, кстати. Опять же по умолчанию в Windows XP вкладка "Безопасность" скрыта. Чтобы сделать ее доступной, нужно запустить "Мой компьютер", выбрать там в меню "Сервис - Свойства папки - Вид" и снять галочку с пункта "Использовать простой общий доступ (рекомендуется)".
ilya_ya
16 апреля 2007, 18:22

Сувoрoвец Мoссaдa написал:
После этого перегрузки прекратились, но комп стал гораздо медленнее и не входит в интернет. Подозреваю, что это из-за того, что переместил в карантин какие-то dll-ки (просто ничего другого не делал). Хочу вернуть их на место. Как это сделать?

Сначала покажи кусочки лога сканирования, в которых записано, какие файлы были перемещены. Чтобы вернуть на место файлы из карантина, нужно их просто переместить в те места, откуда они были взяты. под теми именами, с которыми они там были. Для этого в карантине есть текстовый файлик по имени, если мне склероз не изменяет, descript.ion, в котором описано, откуда файлики в карантине взялись и как они назывались по месту исходного пребывания.

Сувoрoвец Мoссaдa
ЗЫ. И почему-то не могу включить firewall.

Мне встречались случаи, когда какая-то зараза выносила виндовый фаерволл без остатка, так что запустить его без переустановки системы не удавалось. Я в таких случаях ставил Outpost и не заморачивался. Какая зараза так пакостит, тоже не выяснял, т.к. на всех компах со снесённым фаерволлом был целый зоопарк всякой гадости.
Leon
16 апреля 2007, 21:11

ilya_ya написал:
Мне встречались случаи, когда какая-то зараза выносила виндовый фаерволл без остатка, так что запустить его без переустановки системы не удавалось. Я в таких случаях ставил Outpost и не заморачивался. Какая зараза так пакостит, тоже не выяснял, т.к. на всех компах со снесённым фаерволлом был целый зоопарк всякой гадости.

Вчера, кстати, проверял фаерволл, и было похоже, что он был выключен, т.е. двойной клик на соотв. папке привел к вопросу, что-то там разрешить, уже не помню. Из чего заключил, что он был выключен, хотя я этого не делал гарантированно.
Aquila
16 апреля 2007, 21:19
Время от времени (после hibernate?) до перезагрузки перестает работать смена пользотвателя (Win+L или через "пуск"). Вирус?
Сувoрoвец Мoссaдa
16 апреля 2007, 23:39

ilya_ya написал:
Сначала покажи кусочки лога сканирования, в которых записано, какие файлы были перемещены. Чтобы вернуть на место файлы из карантина, нужно их просто переместить в те места, откуда они были взяты. под теми именами, с которыми они там были.

Вот кусок лога:
-----------------------------------------------------------------
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0046617.dll - incurable - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0046632.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0047648.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0047664.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048685.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048700.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048715.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048731.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048745.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048785.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048806.dll - moved
C:\System Volume Information\_restore{E6C3ABE7-F0A8-47E3-8C37-8EB75AD66F79}\RP287\A0048819.dll - moved
C:\WINDOWS\winsock64.dll - moved
----------------------------------------------------------------

Карантинную папку я просканировал отдельно - никакой заразы не нашлось.
Можно ли эти файлы перенести обратно?
Сувoрoвец Мoссaдa
17 апреля 2007, 00:14

direqtor написал:
Только если отключишь восстановление системы, тогда возможен доступ к папке system volume information.

Отключил, но папку все равно не видно.
direqtor
17 апреля 2007, 05:08

Сувoрoвец Мoссaдa написал:
Отключил, но папку все равно не видно.

Знаешь, что бы гарантированно увидеть в винде все папки, в т. ч. и системные я обычно пользую не проводник винды, а Total Commander. Он показывает реальную файловую структуру, а не то что проводник. Например, Temporary Internet Files в проводнике видна, как одна папка, на самом деле их около десятка, просто их содержимое показывается вместе.
Евгений Зарубин
17 апреля 2007, 09:40

Сувoрoвец Мoссaдa: Отключил, но папку все равно не видно.

Отображение скрытых/системных файлов включено?

Сервис - Свойства папки - Вид - Показывать скрытые файлы и папки
Anton
17 апреля 2007, 13:16

Сувoрoвец Мoссaдa написал: Можно ли эти файлы перенести обратно?

Нет. Гугль на запрос "winsock64.dll" выдает только ответы в сочетании с "malware".
Evgeniy
19 апреля 2007, 15:04
Сегодня, в течение дня мне на почту неоднократно приходили письма от якобы почтового робота, который утверждал, что с моего ИД идет ненормальная активность по отсылке писем. Предлагалось установить "обновление" с вирусом.
Будьте бдительны.
Поиск в Гугле показал, что это "обновление" заражено:

"Update-KB3609-x86.exe Infected with: DeepScan:Generic.Stration.143142E9 ..."
ilya_ya
19 апреля 2007, 23:30

Evgeniy написал: Сегодня, в течение дня мне на почту неоднократно приходили письма от якобы почтового робота, который утверждал, что с моего ИД идет ненормальная активность по отсылке писем. Предлагалось установить "обновление" с вирусом.

Очередная модификация Win32.HLLM.Limar попёрла. Он ещё и на контакты аськи рассылает ссылку на сайт, при заходе на который Internet Explorer'ом система тоже заражается.
Darkmonk
22 апреля 2007, 08:23
Нужна помощь.

Кажется, тоже завелся вирус. Симптомы - стали очень медленно открываться папки. Кликаешь - проходит секунд 5, а то и больше. Систему переставил - симптом прошел, но спустя несколько дней появился снова. Windows 2000 SP4, Outpost Firewall и Norton Antivirus.

Кто-нибудь про такое слышал?
Gynny
23 апреля 2007, 16:36
На работу кто-то притащил вирус (притащил, так как выход в Инет временно отрублен). На комп приятельницы поставила пробную версию Dr. Web, нашел заразу, точно такая же гадость сидела на флэшках тех, кто копировал с других компов на работе файлы. Называется RavMonE.exe. Dr. Web определил это как червя. Чем чревато наличие этой гадости, где она может сидеть (компы на работе без антивируса, начальство жадничает, кстати, у меня в кабинете компа вообще нет, спрашиваю из чистого альтруизма smile.gif )?
ilya_ya
23 апреля 2007, 17:36

Gynny написала: Называется RavMonE.exe. Dr. Web определил это как червя.

Как Dr.Web зверя обозвал-то?
Gynny
23 апреля 2007, 17:45

ilya_ya написал:
Как Dr.Web зверя обозвал-то?

Выдал написанное выше имя файла и в статусе написал Worm.Peerav, кажется.
Gynny
23 апреля 2007, 19:19
Поискала в Сети. Нашла пока следующее:

Корпорация Apple официально подтвердила, что некоторые экземпляры ее продукции (менее одного процента) – видео iPod-ы содержат файл RavMonE.exe – вирус, поражающий ОС Windows.

И ссылка на сайт Apple: www.apple.com/support/windowsvirus.
Электронный переводчик перевел с этой страницы извинения, совет поставить антивирус и провериться и следующее:

Поскольку этот вирус Windows размножается через устройства запоминающего устройства большой емкости, мы рекомендуем, чтобы Вы просмотрели любые устройства запоминающего устройства большой емкости, которые Вы недавно прикрепили на ваши компьютеры Windows, типа внешних жестких дисков, цифровые камеры со сменными носителями, и перепрограммируемыми дисками USB.

Чем конкретно пакостит пока не знаю (на работе заметили общее торможение, глюки и невозможность корректного отключения флэшек) Поищу дальше.

Кое-что нашла, но мало и неинформативно. Почему-то эту дрянь называют то червем, повреждающим компоненты Винды (какие -- не уточняется), то трояном. По поводу троянства цитата:

RavMonE.exe – вирус, заражающий только компоненты Windows. После установки он соединяется с некоторыми сайтами, сообщая об успешном заражении. Далее RavMonE.exe позволяет получить доступ к компьютеру пользователя, а также открывает определенные ссылки при использовании Интернета.

Klopp
23 апреля 2007, 21:52

Darkmonk написал:
Симптомы - стали очень медленно открываться папки. Кликаешь - проходит секунд 5, а то и больше

Причин навалом может быть, и безо всяких вирусов. Например:
http://www.izcity.com/faq/winxp/question6675.html
http://forum.partytown.ru/index.php?showto...632&mode=linear
Klopp
23 апреля 2007, 22:12

Gynny написала: Почему-то эту дрянь называют то червем, ..., то трояном

Это перпендикулярные вещи. Можно быть и червём, и трояном одновременно. И наоборот smile.gif

RavMonE

Насколько понимаю, вполне обычный случай. Таких много, просто тут Apple засветилась, вот и паника. Расчитан на чайников, не озабачивающихся самыми простыми вопросами безопасности. Ну да ладно, ничего важного не грохает (sends the stolen information to certain URLs - см. "файрвол") - уже хорошо smile.gif
No Sly
24 апреля 2007, 14:53
Один хороший знакомый подхвотил пресловутый Варезов, теперь выходя в интернет он себя загружает, и рассылает по icq на себя ссылки. Судя по популярности его сайта ссылки, наверно, получают многие. Человек в компьютере совсем не силен и работы столько, что на переустановку винды времени нет. Аваст который посоветовал ему поставить, просто блокируект загрузку из сети. Касперский, что-то долго вычещает, но после выхода в инет комп опять заражен.

Как прекратить рассылку ссылок по инету и запретить загрузку вируса оставивь систему поетой (насколько помню, это червь) до лучших времен? Ссылки приходят уже разные, но на тот же вирус.

ilya_ya
24 апреля 2007, 16:06

No Sly написал: Один хороший знакомый подхвотил пресловутый Варезов, теперь выходя в интернет он себя загружает, и рассылает по icq на себя ссылки. Судя по популярности его сайта ссылки, наверно, получают многие. Человек в компьютере совсем не силен и работы столько, что на переустановку винды времени нет. Аваст который посоветовал ему поставить, просто блокируект загрузку из сети. Касперский, что-то долго вычещает, но после выхода в инет комп опять заражен.

Как прекратить рассылку ссылок по инету и запретить загрузку вируса оставивь систему поетой (насколько помню, это червь) до лучших времен? Ссылки приходят уже разные, но на тот же вирус.

1. установить свежую версию любого приличного антивируса (у всех антивирусов есть триальный период) и обновить его базы или, если не хочется ставить полный антивирус, скачать хотя бы Dr.Web CureIt, не требующий инсталляции.
2. Отключить восстановление системы - если файлы заразы есть в System Volume Information, система восстановления может восстановить заразу на прежнем месте.
3. Перезагрузить систему в безопасном режиме и оттуда запустить сканер антивируса или CureIt. Заразу лечить, неизлечимые файлы - сносить или перемещать в карантин.
4. После этого повторно перегрузить опять же в безопасном режиме и просканировать повторно на предмет рецидивов.
5. Если повторное сканирование ничего не найдёт, то можно перегружаться в обычный режим и включать восстановление системы, если оно нужно.

Для того, чтобы предотвратить заражение, желательно выполнять следующие рекомендации (чем больше рекомендаций выполняется, тем ниже риск):

1. Устанавливать в систему все критические обновления от Microsoft.

2. Включить и не отключать брандмауэр Windows или поставить внешнюю программу-фаерволл типа Agnitum Outpost.

3. Не использовать Internet Explorer, а поставить альтернативу - Firefox или Opera - и назначить альтернативный браузер основным, чтобы в других приложениях ссылки открывались только им. Альтернативные браузеры тоже обновлять по мере выхода новых версий, т.к. дыры находят и в них.
То же самое касается Outlook Express - The BAT или Mozilla Thunderbird и удобнее, и безопаснее.

4. Если система - XP Professional или 2000, то создать для работы учётную запись с правами обычного пользователя и работать только в ней (особенно выходить в инет), а админом заходить только если нужно что-то изменить в системе или какая-то программа для работы требует исключительно админских прав. Система при этом должна стоять только на NTFS.

5. Не открывать пришедших по электронной почте файлов даже от самых близких друзей, если в письме не сказано, что это за файл, и даже если сказано, лучше перестраховаться и поинтересоваться у отправителя, слал ли он этот файл. Аналогично поступать со ссылками, приходящими по ICQ. Немножко паранойи не помешает. smile.gif


Что касается конкретно Warezov aka Limar, то вместо родного клиента ICQ тоже лучше использовать альтернативу - QIP, Miranda, R&Q - пока что этот гад по контакт-листам этих клиентов рассылаться не умеет, насколько я знаю.
Gynny
24 апреля 2007, 17:16

Klopp написал: Ну да ладно, ничего важного не грохает

Ну, "горячее" отключение флэшки тоже не сахар.
No Sly
24 апреля 2007, 17:24

ilya_ya написал:
...

Респект! Отписал человеку через журнал.
Leon
24 апреля 2007, 21:47
Поставил наконец вместо дрвеба Касперского KIS 6.02. Он нашел еще кое-что, чего веб не увидел и, вроде, все тихо. Но теперь появилась информация о вирусеых атаках, прчием за день может быть больше тысячи. Сегодня вот 2 часа долбились ( скан прикладывается). Soulseek и мул работают без вопросов. Что это такое и что это за порт 16555, куда ломятся?И, вообще, мне нужна эта информация? м.б. отключить как-то сообщения об этих атаках?
laguz
25 апреля 2007, 04:17
Ситуация странная. То ли глюк, то ли... Ну в общем что-то в этом есть.
С компом я на вы - просто пользователь, по определению чайник. Недавно в очередной раз угробила процессор и договорилась с соседским пареньком о починке. Не за просто так, за денежку. Он мне притащил на время свой старенький процессор, настроил соединение с инетом через локальную сеть. Прошла неделя, мы случайно пересеклись и в поверхностном пятиминутном разговоре о погоде вдруг всплыла некая информация, имеющая ко мне самое непосредственное отношение. Я слегка обалдела, поскольку шансов на то, что это совпадение - один на миллион. Парнишка никак не мог быть в курсе того, что мне это интересно, информация приватная, получена от родственников по электр.почте за пару дней до разговора (я после получения этой инфы гуляла по тематическим сайтам).
Что это может быть? Не только неприятно, но и чревато - деловая переписка с родственниками продолжается, появляются счета и т.д...
Если не глюк можно как-нибудь защитить комп от длинноносых тинейджеров?

Xebec
25 апреля 2007, 04:49
Домой не приглашать компьютер починить wink.gif

Возможно кейлоггер поставил. Прошерстить комп Спайботом и антивирусами.
laguz
25 апреля 2007, 05:22
Ага, спасибо. Попробую разобраться. smile.gif
Я пока сижу на соседском процессоре - мой мне вернут через пару недель, не раньше. А реально замести следы - установить спайбот, а потом тихо его удалить без последствий? Не хотелось бы обижать человека в том случае если это мои собственные заморочки.
Xebec
25 апреля 2007, 05:32

laguz написала: Ага, спасибо. Попробую разобраться.  smile.gif
Я пока сижу на соседском процессоре - мой мне вернут через пару недель, не раньше. А реально замести следы - установить спайбот, а потом тихо его удалить без последствий? Не хотелось бы обижать человека в том случае если это мои собственные заморочки.

Можно, легко. Кстати, спайбот в первую очередь был создан и предназначен для отлова мелкопакостного софта, показывающего дополнительную рекламу во всплывающих окнах и копающего относительно безвредную информацию в пользовательском компе. Софт этот проникал раньше в основном через дыры в Интернет Эксплорере. Спайбота антивирусные способности всё-таки вторичны. Так что в подозрении его в чём-то нехорошем, в случае если парень чист, он тебя обвинить не сможет.
laguz
25 апреля 2007, 05:48
Спасибо, Xebec, выручили. smile.gif
Xebec
25 апреля 2007, 09:03

laguz написала: Спасибо, Xebec, выручили. smile.gif

Ну он нашёл таки кейлоггер? Мусор то он в виде всяких куков всегда находит, так что ты могла подумать, что дрянь удалена, когда она у тебя в компе ещё. Если кейлоггер и был им найден, не мешало бы перегрузить машину и проверить ещё раз. Некоторые вирусы так просто из компа не выковыряешь. Кроме вирусов есть ещё иные варианты - он мог создать учётную запись администратора или использовать твой пароль для удалённого администрирования компьютера. Мог даже FTP или SSH (маловероятно) сервер поставить. В любом случае поменять пароли как к своей учётной записи, так и к своим почтовым аккаунтам и аккаунтам на сайтах (ФЭР и т.д.), проверить учётные записи на наличие незнакомых администраторских учётных записей. Как делать сам не скажу - я линуксоид, мне виндовские проблемы не страшны wink.gif
Topicalist
25 апреля 2007, 11:09

Leon написал: Что это такое и что это за порт 16555, куда ломятся?

Обычный непривилегированный порт, судя по IANA Port Numbers не закреплен за определенным сервисом. Возможно скрипт-кидди (или бот) тупо ломится в тщетной надежде найти что-то (типа backdoor wink.gif ) на этом порту.
laguz
25 апреля 2007, 18:35

Xebec написал: Ну он нашёл таки кейлоггер?

Кейлоггер не нашел, но поймал кучу печенюжек. Отличная программа. Спасиб. smile.gif
Xebec, а можно поймать на удаленном администрировании?
Тяжело быть диким чайником. Заглянула в настройки - комп подключен к инету через шлюз или друг.комп. Это может быть важно? Или стандартно? Там вроде выбор - прямое подключение или частный шлюз/другой комп.

Xebec написал: я линуксоид, мне виндовские проблемы не страшны

Ой, а кто это? look.gif
Xebec
25 апреля 2007, 22:46

laguz написала:
Кейлоггер не нашел, но поймал кучу печенюжек. Отличная программа. Спасиб.  smile.gif

Если кейлоггер не найден Спайботом, ещё не значит, что его в системе нет. Антивирусом всё же не мешает проверить. Если нет своего, можно попробовать одноразовый СureIt.

Xebec, а можно поймать на удаленном администрировании?

Если используются штатные средства винды ХР, то можно легко - залогинивание пользователя для удалённого администрирования автоматически вылогинивает тебя. CureIt по идее должен выругаться на нештатные.

Тяжело быть диким чайником. Заглянула в настройки - комп подключен к инету через шлюз или друг.комп. Это может быть важно? Или стандартно? Там вроде выбор - прямое подключение или частный шлюз/другой комп.

Шлюз - это нормально. А какой у тебя тип подключения? Если через локальную сеть и парень живёт достаточно недалеко (в том же доме), теоретически он мог настроить сеть так, чтоб сканировать пакеты в сети, выбирая для себя самое интересное - почтовую переписку и запросы интернет браузера. Но это маловероятно. Вероятнее, что находясь в одной локальной сети с тобой, он открыл себе доступ к некоторым твоим папкам без всякого шлюза. Опять же лечится сменой пароля на свою учётную запись и поиском других подозрительных учётных записей в своей винде.

Ой, а кто это?  look.gif

Пользователь операционной системы Линукс. По простоте использования пока к сожалению для чайников не дозрела.

ЗЫ, а где сейчас твой комп? Не у длинноволосого типа? wink.gif
laguz
26 апреля 2007, 03:19

Xebec написал: Если кейлоггер не найден Спайботом, ещё не значит, что его в системе нет.

Ой.

Xebec написал: Антивирусом всё же не мешает проверить.

У меня Касперский стоит, была уверена, что броня крепка.

Xebec написал: А какой у тебя тип подключения? Если через локальную сеть и парень живёт достаточно недалеко (в том же доме), теоретически он мог настроить сеть так, чтоб сканировать пакеты в сети, выбирая для себя самое интересное - почтовую переписку и запросы интернет браузера. Но это маловероятно. Вероятнее, что находясь в одной локальной сети с тобой, он открыл себе доступ к некоторым твоим папкам без всякого шлюза. Опять же лечится сменой пароля на свою учётную запись и поиском других подозрительных учётных записей в своей винде.

Живем в одном подъезде. И у него и у меня Стрим. Мальчик мне зачем-то перенастраивал инет, настаивал на локальной сети - я пожала плечами - мол, делай как считаешь нужным - я чайник. Я не поняла в чем принципиальная разница - качество не изменилось. И что было прежде не ведаю.

написал: Пользователь операционной системы Линукс.

Даже и не слышала о такой. smile.gif

Xebec написал: ЗЫ, а где сейчас твой комп? Не у длинноволосого типа?

У него, у длинноносого. Я прямо не знаю, что и думать - ребенок в шпиёнов может играет, а меня колбасит. cool.gif

Xebec, дорогой друг, спасибо за ликбез и поддержку - самостоятельно я бы не разобралась. Поменяла пароли, жду развития событий.
BearM
2 мая 2007, 11:01
Словил вчера какую-то заразу, причём антивирус Касперского 6 среагировал сразу и выдал что это за гадость ( Packed.Win32.PolyCrypt.b) и запросил вариант действия Лечить; Удалить; Пропустить, я выбрал Удалить. А в ответ не возможно файл не найден. Вот строка что антивирь пишет.
-----------------------------------------------------------------------------------------------
не найдено: вирус Packed.Win32.PolyCrypt.b Файл: C:\DOCUME~1\1E86~1\LOCALS~1\Temp\01.exe/PE_Patch.Poly
------------------------------------------------------------------------------------------------
получается что вирус всё таки пролез, проверил в безопасном режиме тем же Каспером-6, потом в том же безопасном режиме проверил прогой Ad-Aware SE Personal edition, обе проги говорят что всё чисто так как же мне достать и извести бациллу? Или и вправду всё чисто?
BearM
4 мая 2007, 15:18
Всё, победил. Отключил опцию Восстановление системы и прогнал ещё раз АВК-6 и нашёл таки
Trojan-Downloader.Win32.Zlob.bqo
виpyc Packed.Win32.PolyCrypt.b

Потом перепроверил всё AVZ -Зайцева , вроде чисто. Вопрос такой а можно вообще отключить опцию Восстановление системы, реально если какие сбои в системе она ни разу не помогла, без неё будет система корректно работать?
Дальше >>
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»