Полигон-2

Вот такое я сегодня увидел, когда меня позвала соседка глянуть что у ее с компьютером... Удалив из автозагрузки по поставил антивирус и грохнул это чуто программу вымогатель ...

По меньше надо по порно сайтам лазить, это от туда.

Грузимся в безопасном режиме или с LiveCD и чистимся Kaspersky Virus Removal Tool: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
До этого пользовался DrWeb Cure It!, но самая свежая версия как-то не поймала аналогичную зверушку, а утилита Касперского поймала.

Причем, с LiveCD гораздо эффективней - вирусы сейчас стартуют как службы и встраиваются в обработчик GetDirectoryFileList и вычищают себя оттуда - антивири их не видят.


И порносайты тут ни при чем - 90% современного зверья использует дырки по аналогии с Conficker'ом. Обновляться нужно вОвремя.

а) этих говно-вирусов расплодилось немерено
б) мне приносили ноут с такой модификацией, которую ни касперы, ни веб не ловили, ну, никак
в) подцепить такую каку можно и не лазая по порно-сайтам. У нас на работе тетенька буквально зайдя на новостной сайт в гребаном ИЕ умудрилась подцепить троян.

Поэтому
а) ставим последние критические заплатки
б) используем файрволл
в) не лазаем по порно-сайтам
г) используем оперу или файрфокс
д) поддерживаем антивирусную защиту в актуальном состоянии
и может быть все будет хорошо...

Самое противное, что находятся N+1 человек, которые все-таки отправят SMS'ку. Это подтверждается самим фактом существования таких программ, а также тем, что они постоянно обновляются.


В большинстве случаев пролазят через дырки в IE и самой Винде. Большая часть отсекается при загрузке в безопасном режиме. В самом плохом случае можно загрузиться с LiveCD, слить все ценное с C: на D: и переставить Винду. Если иметь понятие о порядке загрузки Винды, то можно руками выщучить зверя - мне пару раз удавалось.

То же видел (кстати что значит программа шутка, самый натуральный троян), точнее лечил у друга, убился благодаря лайв виндузам и последнему куреиту с флешки. Лайв диск Дрвеба при этом его не находил, только виндузовский куреит. А вообще про этот вирус так называемый winlock написано везде и много, для старых версий на Дрвебе есть даже генератор паролей, самые первые кстати были с таймером и через 30 минут отключались сами. А играться с ним смысл? Та версия что попалась моему другу, к примеру уже ни на что не реагировала, всё что в ней можно было сделать это 5ти кратное нажатие шифт, если у вас "установлен принтер", то можно было пролезть в проводник через справку. Но у друга принтера не оказалось, посему только выше указанный способ. Кстати у него врус оказался только 1 темп файлом, в документ энд сеттинге, притом с таким названием, что выделить его вручную из ещё сотни нормальных сложно.

Egor PR
не поможет. Современные трояны используют уязвимости самой операционной системы. Т.е. схема может быть такая:
сетевая уязвимость -> проникновение червя -> выполнение его с правами системы -> установка в автозапуск при старте винды.
Файрволл в помощь. Но если червяк был запущен на локальной машине даже с правами гостя, то все повторится...

Egor PR
в роутер - это хорошо. Только вот недостаточно, в частности, если за роутер локальная сеть более чем на несколько компьютеров. Не уследишь и сифилис начинает расползаться угрожающими темпами.
Поэтому хороший тон - ставить на каждый компьютер по файрволлу. Я сейчас рекомендую использовать или Агнитум Аутпост, или ZoneAlarm. Встроенный в ХП - хлам полнейший. Он скорее видимость защиты обеспечивает, чем саму защиту.
Sp3 ставить имеет смысл только в том случае, если винда ставится с уже интегрированным сервис-паком. Т.е. на чистую машину или при полной переустановке. Опыт показывает, что на живой ПК накатывать сервис-пак - только лишь плодить глюки. Ведь все равно на следующий день найдут новую критическую уязвимость и придется обновляться... А если сидите за файрволлом и открытых портов наружу не торчит, то вообще обновляться особого смысла не имеет. Только совсем критические уязвимости (напр., в стеке протоколов TCP/IP и открытых для внешнего мира службах).

Root, не напишешь коротенький ФАК как и главное какие порты оставить открытыми под виндовс98\хр\висту?

Teodor написал:

[q]

Если иметь понятие о порядке загрузки Винды, то можно руками выщучить зверя - мне пару раз удавалось.

[/q]

Самый простой вариант - загрузиться с последней контрольной точки восстановления винды - 100% работает - проверял.

Я вот не понимаю какого толку из этих портов. Ну вот например у меня модем как бы и роутер сразу, там все порты были закрыты, я себе в биосе модема открыл несколько портов для торрентов и там для сервера GTA, то что когда у меня не запущены проги что используют эти порты то через них кто-то может залезть на комп извне?

А вообще то могу сказать по наблюдениям что я уже около года всем "желающим антивируса" ставлю на компы макафи 8,5 и ко мне принесли комп назад с вирусами только один раз! и то потому что антивирб не обновляли потому что интеренета нет, а они где-то салити схватили. Антивирус супер, серийника два года не просит, с инета обновляется, очень много заразы видит. Но я говорю о версии 8,5, старинная она уже, но работает супер. А вот например версия антивиря 9,0 уже не поддерживается.

А такую прогу как Аргентум Файрволл- вообще не ставьте- более удачной проги для хакера- я не видел- ЭТО ПОДАРОК ХАКЕРУ!!!!

Вот еще одна хреновина

По поводу халявщиков и прочей шушеры. На днях totovan- чик жаловался что на телефон начали сообщения приходить, типа срочно положи деньги я попал в аврию и подобные. Причем разнообразно и многократно. Хотя у него этот номер только как модем используется и его всего пара человек знает.

scorohod написал:

[q]

загрузиться с последней контрольной точки восстановления винды - 100% работает - проверял.

[/q]

я вас расстрою - на многих прогах - вымогателях не работает, ну и плюс восстановление системы многие (в т.ч. и я ) отрубают, так как там зачастую организуется цифровой лепрозорий, перманентно обновляющийся..