в Иркутске 14:44, Мар. 29    
Борьба с "порнобаннерами"closed
02.07.10 22:06
#377841
Pavel Chimitov
Irkutsk
Пытаясь побороть эту штуку (на win XP) испробывал несколько антивирусов и сканеров...но т.к. эта @@!!!"" с точки зрения системы ведет себя вполне цивильно, антивирусы ее не находили. В итоге зашел на сайт поддержки лаборатории касперского и обнаружил там очень занятный сервис http://support.kaspersky.ru/viruses/deblocker . Суть простая, вводите номер и код запроса...на основе этого выдается код разблокировки...как ни странно, но помогло =)
02.07.10 22:15
#377848
dimich dmitriev
Иркутск
proteus [377841]: Это которые висят в центре экрана и угрожают повредить систему, требуя отправить sms?
02.07.10 22:23
#377852
Алексей Невский
Иркутск
02.07.10 22:23
#377853
Pavel Chimitov
Irkutsk
Dimich [377848]: и они в том числе
Alex_Nevsky [377852]: тоже полезно =)
02.07.10 22:31
#377857
Сергей Макаров
Ice People
лечится просто: достаточно в реестре заменить параметр shell с вирусного содержимого на нормальный explorer.exe и все. (это там где лежит загрузка userinit) Ну и не смотреть порнушку :)
02.07.10 22:38
#377863
Pavel Chimitov
Irkutsk
Cranby [377857]: тот который сел в данном случае, блокировал любые операции с системой, даже FAR зависал при попытке удалить exe (который в свою очередь плодился со скорость одна копия в секунду...).

PS. может вы и смотрите порнушку, но у меня этот комп работает только как файловое хранилище =) есть подозрение что эта гадость зацепилась через один из популярных интернет ресурсов (при чем без намека на порнуху).
02.07.10 22:44
#377865
Go Vegetarian
proteus [377841]: linux?
02.07.10 22:46
#377866
Pavel Chimitov
Irkutsk
mikko [377865]: MAC OS. Я в курсе что почти все вирусы пишутся под винду.
02.07.10 23:05
#377876
Максим Пензин
Иркутск
proteus [377863]: Цеплять троянов на файлсервер - это надо уметь! :)

А вообще, рекомендую посмотреть на Ubuntu 10.04, как на ОС для файлсервера.
Без шуток.
02.07.10 23:10
#377877
Pavel Chimitov
Irkutsk
maxp [377876]: ну что поделаешь..."сапожник без сапог" =) с удовольствием перейду на другую ос, но только тогда, когда найду драйвер на SATA Raid контроллер без которого ни один инсталятор просто не видит жесткие диски... (железка довольно древняя). Хотя совет хороший =)

Что то ушли далеко от темы...
По теме. Может кто нить подскажет как удалить весь тот мусор, который наплодил троян (а наплодил он достаточно много копий исполнительного exe) ?
02.07.10 23:25
#377882
Сергей Макаров
Ice People
proteus [377863]: грузиться надо с другого устройства, не с зараженного диска :) Друзьям помогаю, сам не болел :)
02.07.10 23:41
#377891
Максим Пензин
Иркутск
proteus [377877]: когда найду драйвер на SATA Raid контроллер (железка довольно древняя) - как называется железка? Желательно и PCI_ID тоже.
Сильно древней она не может быть, так как когда проектировали действительно древние железки, SATA еще не было.

Про загрузиться с другого диска уже написали.
Кстати, о загрузке с CD или флэшки - http://www.sysresccd.org/
02.07.10 23:52
#377899
John Carter
proteus [377841]: С порнухой нельзя бороться ею можно только наслаждаться :)
03.07.10 00:07
#377907
Сергей Смирнов
Иркутск
Касперский их отлавливает. И удалять умеет. Насчет лучшего антивира холивар разводить не стану. Не знаю какой лучше.
03.07.10 01:22
#377932
Евгений Мартыненко
Иркутск
proteus [377877]: Загрузка с LiveCD и свежий CureIt + AVZ для восстановления системных переменных и значений реестра.

А вообще на файлсервере можно достаточно жестко настроить политику ограничения исполнения программ и DEP.
03.07.10 01:25
#377933
Евгений Мартыненко
Иркутск
Cranby [377857]: К сожалению (или к счастью) сейчас далеко не все смс-блокеры меняют параметр shell или winlogon.
03.07.10 09:42
#377963
Go Vegetarian
proteus [377877]: Какие дистры пробовал?
03.07.10 10:39
#377972
Сергей Кукушкин
Загружаешься в безопасном режиме, делаешь поиск последних измененных или созданных файлов. Скорее всего находишь заразу где-нибудь в темпе или профиле, спокойно удаляешь. И не шарься по порносайтам ;)
03.07.10 10:59
#377979
Grek Irkpower
Иркутск
Есть и более хитрые модификации этих баннеров у знакомого снимали его, дак он грузится просто как рекламный модуль не внедряясь никуда и не проявляя вирусного поведения, решили cureit не стал запускаться. попробовали 9 антивиров и антитроянов нифига не помогало только систему вешало, вобщем откатил ему систему на неделю назад и вуаля )
03.07.10 11:16
#377988
Pavel Chimitov
Irkutsk
Endemix [377972]: эта штука запускалась даже в безопасном режиме, благополучно блокируя диспечер задач (точнее он типо был все время включен, судя по трею). Команды win+e/r приводили к зависанию системы.
Как говорил раньше, при попытке его удалить через tc/far происходило лавинообразное копирование файлов вируса по всей системе.
Посмотрел историю, НУ НЕТ ТАМ ПОРНОСАЙТОВ :) Стандартный набор социальных сетей, файлообменники, парочка сайтов с софтом (с одного из них похоже эта штука и была зацеплена)...
Все разделы | Топ-100 | Переход в раздел: