Рекламный блок.

Кста, этой осенью, пока нас не было дома, тож хто-та сидел за моим компом.
Приезжаю, а у меня там ентот порнобаннер. Где они его подхватили, хз.
С дохтуром Вебом ничего не получалось. Он че-та не мог справицо с баннером. Я пользуюсь в основном лисичкой. Поползала по форумам и нашла совет - установить adblock plus.
Вероятно, это не выход из ситуации. Лучше было бы переустановить винду, но пока вроде все ок.
Ы, не знаю, по теме я или нет..
Сорри, если что

Heavenward не =) У Вас была другая проблема. Если бы Вы подхватили вирус, как описывают в этом трэде, то Вы бы и FireFox вообще не запустили

а как это вирус подхватывается?
И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).

а как это вирус подхватывается?
И вообще стоит ли включать веб-антивирус в Каспере? А то он заметно тормозит загрузку страниц и я его все чаще отключаю. Надеюсь только на антивирус (компонент).

Кстати о птичках.
После восстановления работоспособности ноута (в каком объеме она восстановлена станет ясно после того, как владелец его погоняет, так как на первый взгляд все в норме) выяснилось, что в качестве антивиря был установлен "горячо любимый" мною Касперский... Причем согласно имеющимся данным - свежеобновленный и вполне работоспособный. Он и остался дальше "сторожить", правда не знаю - чего он там так насторожит

Отредактировал Bimer - 27 Ноября, 2009, 20:30

Bimer
дело в том что мы по ходу действия других LiveCD антивирей повредили работу самого вируса. в результате начало фиксится контекстное меню и дабл клик, машина просто уходила в ребут.

веселый зверь вылез на просторы, ничего не скажешь.

владелец машины просматривает постоянную группу сайтов, по прону не лазит, видимо кто-то "удачно" продал траф через iframe

В виду многочисленных звонков и наличия всего одной пары рук краткая инструкция о том, как избавиться от этой гадости:

Необходимое оборудование:
1. Флэшка минимального объема
2. LiveCD (в моем случае Reanimator_SE_DVD 19.92)
3. Наличие Интернета
4. Чистый (незараженный) компьютер (желательно, но не обязательно)

Действия:
1. С сайта www.drweb.ru качаем бесплатную утилиту CureIt! (чуть менее 23Мб) и записываем её на флэшку
2. Качаем файл remover.bat и также записываем на флешку
3. Вставляем флэшку в больной компьютер и загружаемся в "Режим защиты от сбоев" в чистом виде (без командной строки и без поддержки сети)
4. Запускаем CureIt! с флэшки. Сначала быстрый поиск, потом полный, причем я на всякий случай установил самые параноидальные настройки - максимальный уровень эвристики и все такое. Чистим комп, удаляя все файлы, содержащие вирусы.
5. По завершении работы чистки запускаем remover.bat Он удаляет из реестра строки, которые могут блокировать запуск антивирусов
6. Загружаемся с LiveCD, цепляем реестр больной машинки и чистим ветки
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies
Там как минимум необходимо удалить параметры DisableTaskMgr и DisableRegistryTools, хотя я на всякий случай посносил все, оставил только раздел Explorer
7. Перезагружаемся - работаем

Про возможные побочные эффекты не скажу, пока отзывов не было. Буду благодарен, если кто-нибудь дополнит или исправит мою писанину

Отредактировал Bimer - 28 Ноября, 2009, 14:34

Bimer
много народу посыпалось? откуда оно все таки вылазит?

Rumata
Откуда вылазит - не скажу. У меня такое не вылазило, а люди рассказывают примерно одно и то же:
Монитор сообщил о присутствии вируса, нажмал удалить (вылечить) вылез банер и всё - попа...
Имею информацию о пяти случаях. Учитывая, что данный вид деятельности у меня не основной, то есть до меня доходит очень малая часть случаев, подозреваю, что эпидемия имеет место быть

Rumata
Должен признать Вашу правоту, камрад. На очередной машине запуск системы в сейфмоде никак не помог решить проблему - выскакивал баннер и хоть ты что делай.
Сделал следующее - загрузился с LiveCD и руками потер все содержимое папок
C:\Documents and Settings\Имя_Пользователя\Local Setting\Temp\
%windows%\temp\
В папке %windows%\system32\ отловил зверя в количестве 1-й штуки и запрятал в клетку (может кому для опытов пригодится). Заметил интересную особенность - левые файлы имеют другой ярлык, отличающийся от ярлыка обыкновенных dll. Поиск проводил в Total Commander
После указанных процедур загрузил компьютер в Safe Mode и запустил CureIt!, сейчас работает

в файлик hosts еще загляните
вот, принес сегодня с зараженной тачки

Присоединённые файлы
 hosts.txt ( 6.89к ) Кол-во скачиваний: 37

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools
REG DELETE HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr
REG DELETE HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr

в файлик hosts еще загляните
вот, принес сегодня с зараженной тачки

Присоединённые файлы
  hosts.txt ( 6.89к ) Кол-во скачиваний: 3

Таки да - CureIt! его ровняет в конце работы

а источник пока не ясен? что-то я опасаюсь как-то...

источником ИМХО является руткит, есть такие зверьки, тихо мирно сидят на машинке, антивирь их находит и якобы удалет, на самом деле ждет "хозяина". хозяин собирает все инфицированные машинки и запускает второго зверька, результаты которого мы можем наблюдать в этой теме

Rumata
Это походу одна из разновидностей все того же конфликера. Причем в уже отработавшем виде - самого загрузчика дряни может и не быть в системе, а вот блокировка и прочие прелести - это всё в реестре. Кстати, баннер тоже - реестр вполне позволяет хранить в себе файло, а антивирусы по умолчанию его не проверяют, да и хранится он там не в оригинальном виде. Поэтому антивирусы его и не ловят.

Большинство версий этой гадости блокируют доступ на известные антивирусные сайты плюс на малоизвестные по шаблону, некоторые еще и шифруют данные (вот тут приходится поплясать с бубном).
Нешифрующие довелось лечить двумя путями - полным фомат-це и скармливанием утилитке AVZ скрипта, найденного на форуме Каспера.

И, кстати, один из конфликеров пролез на комп под видом .JPG - так что в антивире надо включать сканирование всех файлов.

че тут гадать-переживать - вирус как вирус, и нтерестней встечались, детект добавили - уже не поймаешь.

Так, господа. Всем, кто умудрился поймать вирь, который требует отправить СМС на номер 1350 сообщаю, что код, который нужно ввести - 6523. После этого тварь троянская успокаивается.

© bash

может кому-то и поможет на первое время

В файлике утилитки по восстановлению отключенных вирусами функций..

Присоединённые файлы
 fix.zip ( 2.81к ) Кол-во скачиваний: 20

После проведенных очисток выяснил следующее:

1. Один, из способ распространения: при заходе на какой-либо сайт сообщает, что необходимо обновить Adobe Flash Player и стартует закачка файла install_flash_player.exe, НО не с сайта adobe.com, а с какого-то левого ftp. Пользователь, как правило, не обращает на это внимание, скачивает и запускает, после чего получает результат.

2. Перед тем, как принимать какие-либо действия (запускать различные антивирусы) рекомендую загрузиться с LiveCD и полностью вычистить папки
C:\Documents and Settings\Имя_Пользователя\Local Settings\Temp\
и
C:\WINDOWS\Temp\
и, желательно, перенести из папки C:\WINDOWS\system32\ все файлы вида 5_разных_латинских_букв_различного_регистра_и_не_имеющих_смысла.dll (например HuKar.dll kjHgf.dll и т.п.) с целью их дальнейшего пинания ногами антивирусами. Ежели не виноваты - вернуть в стаюю

3. После сделанного скачать с сайта www.drweb.com утилиту CureIt! и произвести ею очистку системы.

4. Скачать файл, предложенный камрадом Пэтро и произвести окончательное выравнивание системы.

Ежели у кого-то что-то не сработает - стучите, будем разбираться

Позволю себе добавить... Полностью удалить содержимое папки С:\RECYCLER\ со всеми подпапками... Так же почистить C:\Documents and Settings\{папка пользователя}\Local Settings\Temporary Internet Files\
Я частенько ещё и просматриваю с LiveCD папку c:\System Volume Information - там тоже частенько бывают зверьки! Всё, что не похоже на правильные файлы-расстреливаю!