Будьте бдительны!

[sanchoys]

 этот тоже   Terwioa

[Sirinstudio]

 Есть такой сайт.
http://www.virustotal.com/ru/
может быть это актуально только для маленьких файлов, но всё же...
Подозрительный файл отправляете туда и он проверяется практически всеми существующими антивирусами. Если у вас антивируса нет (как вы вообще тогда живёте?), то это обязательная процедура. Но вообще, все антивирусы действуют по-разному. У меня стоит два, и всё равно я иногда пользуюсь этим сайтом.

(Это не реклама, я не имею никакого отношения к этому сайту).

[Iskander]

 Получил сегодня такое личное сообщение от zerka:

"Внимание! На форуме новая рекламная акция - Подробности здесь"

По указанному в письме адресу я не пошёл. Письмо сразу после прочтения исчезло из папки Входящие. Что это было?

Кстати, 2-3 дня назад мои антивирусы при заходе на этот форум словили двух вирусов.

[tolstyj22]

(Iskander @ Feb 10 2009, 10:26 AM)

Получил сегодня такое личное сообщение от zerka:

"Внимание! На форуме новая рекламная акция - Подробности здесь"

По указанному в письме адресу я не пошёл. Письмо сразу после прочтения исчезло из папки Входящие. Что это было?

Кстати, 2-3 дня назад мои антивирусы при заходе на этот форум словили двух вирусов.

 

Мне в личку тоже самое сегодня с утра прислали...

[Timoha]

 Тоже самое, а при переходе по ссылке на порнушный сайт.

[Bubka]

 А я прошел по ссылке "зерка отправил Вам новое письмо на Личный Ящик, с заголовком "Рекламная акция на форуме!". и попал сюда. :(  ::)  

[admitr]

 Сейчас при входе на сайт увидел сообщение "У Вас 1 новое письмо", зашел в папку входящих, ничего не нашел, после выхода из ящика "Новых писем 0". Чё эт было?

[amorelover]

(admitr @ Feb 19 2009, 06:13 PM)

Чё эт было?

 

Спамщик и его "деятельность", были удалены.Сообщение о полученном письме осталось.

[Alex56]

 Большое спасибо за предупреждение! Большое спасибо Вашему сайту за всё, что Вы делаете. Узнал и нашёл на сайте очень много того, чего до этого не находил и не знал. Спасибо за музыку, спасибо за всё. Удачи Вашему сайту и процветания.
Рекомендую всем знакомым.
 

[МихалычЪ]

 Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker)
Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.



В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS.

В свою очередь мы рекомендуем установить последние критические обновления (KB885250, KB921883, KB923414) и воспользоваться инструментами для удаления опасных червей из системы [39.8 mb]

--- Скрытая информация. Для того чтобы получить к ней доступ необходимо зарегистрироваться и поблагодарить автора сообщения нажатием на кнопку "Спасибо" вверху сообщения ---

PHILka.RU

[uuu99950]

 Коллеги, я в очередной раз не понимаю, об чем речь ?        

Если кто-то не умеет смотреть, какие сейчас у него на компе запущены процессы - то ему нужно учиться смотреть процессы.

Если кто-то не умеет "срубать" процессы - то такому человеку нужно учиться срубать процессы...

Конкретно этот вирус, и конкретно любой другой вредоносный софт - не имеет прямого отношения к неумению пользователя делать простые вещи.

:D   Вот смотрите: для того чтобы вирус "жил" - нужно чтобы какой-то (какие-то) из его выполнимых файлов были запущены у вас на компьютере.

Более того, какой-то (какие-то) из файлов, относящихся к этому вирусу - должны еще быть прописаны в "автозагрузку".  То есть в системном реестре, в определенной его ветке,  тоже должна находиться соответствующая строчка с полным путем и именем этого файла.  И по имени файла и пути - можно это дело искать в системном реестре - и удалять или запрещать автозагружаться.


Все очень просто: если вредоносный процесс виден - то мы его увидим. И срубим.

А если вредоносный процесс не виден - то мы его все равно увидим  
С помощью специальных программ, которые ищут файлы именно по тому признаку, что они невидимы.

Потому что для того чтобы запущенный злонамеренный процесс стал невидим - программисты должны были предпринять специальные усилия по маскировке такого процесса.     Маскирующиеся процессы называются РУТКИТы.

И как раз по тому принципу, что они маскируются - их всех можно вычислить. Например, сравнением состава файлов вашего компьютера из под вашей операционной системы, и из под другой (чистой) операционной системы.

Поэтому нужно не вирусов бояться - а инструментами запасаться заблаговременно.

Какие инструменты нам понадобятся ?  Об этом - в следующем посте:

[uuu99950]

 Смотреть процессы, которые запущены у вас на компе - нужно специальными программками, которые честно покажут - чего у вас реально запущено.

1.  Скачиваем бесплатную утилиту-антируткит китайского программиста, под названием GMER.

Вот например, эта версия есть у меня:

http://narod.ru/disk/7710258000/gmer.exe.html

На файлообменнике под словами "скачать файл" - увидим ссылку.  Выделяем ее мышкой, и жмем правую кнопку мыши - "Сохранить объект как"

ГМЕР при запуске покажет скрытые процессы красной краской  
:P    Помните, что "правильным" процессам - нет необходимости маскироваться.

Поэтому все, что на вашем компе маскируется от вас - можно смело удалять.


2.   Чем будем "срубать" непонравившиеся нам процессы ?

Лучше всего делать это другой бесплатной утилитой-антируткитом. Под названием:

Ice Sword1

скачиваем ее (у меня версия 1.18, хотя даже с Википедии можно уже скачать версию 1.22)

http://narod.ru/disk/7710518000/IceSword1.18en.rar.html

Все скачанное - проверяем от вирусов вашей антивирусной программой. ГМЕР - не требует инсталляции, запускается просто так, сразу.

Айс оф Ворд - ставим себе на комп, и учимся срубать им какой-нибудь процесс. Например, запускаем WORD или EXEL - и срубаем его Айс-оф-Вордом... :P  

[uuu99950]

 Как и ГМЕР, программа-антируткит IseWord
все скрытые процессы (которые носят название "руткиты")
- покажет красной краской.

Видимо, производители программ-антируткитов сговорились !  


3.  Ну и наконец, раз в жизни можно себе позволить проделать простенькое упражнение, против которого, как от лома - нет приема  

А именно - сравнение состава файлов вашего компа, который виден из-под вашей активной запущенной операционной системы - с составом этих-же файлов, видимых из под другой операционной системы (например, при загрузке компа с DVD-rom  - диска.

Скачиваем себе третью бесплатную антивирусную утилиту - под названием
AVZ4.  В ней есть функция такого автоматического сравнения.


И скачиваем, и нарезаем себе болванку DVD - для загрузки компа из-под чистой Windows XP.   Я себе изготовил такую болванку при помощи программки PE-Builder.

Готовый файл для нарезки болванки - могу предложить по ссылке:

А можете скачать ПЕ-Билдер и создать свой вариантик загрузочного DVD-рома. :)


Вот образ загрузочной Windows XP SP2:

http://narod.ru/disk/3170941000/pebuilder_...0_2008.rar.html


Сначала загружаемся с DVD-болванки, и запускаем утилиту AVZ4, лезем в ней в "Ревизор дисков".  Изготавливаем при помощи опции "Ревизор диска" - слепок состава файлов вашего компа.

Потом перезагружаем Windows - вашу обычную.  Снова запускаем AVZ4.

И применяем опцию ревизора дисков, под названием "Сравнить состав моих файлов".  Вас попросит указать имя и путь к файлу-слепку.

Изучаем, чего получилось ?  Все папки и отдельные файлы, которые "вдруг пропали" при загрузке из под вашей активной WINDOWS, но которые были видны из под чистой WINDOWS с DVD-рома - это специально скрывающиеся файлы и папки.

К чести утилиты GMER -  я еще не смог найти ни одного скрытого процесса, который ГМЕР бы не увидел и не отобразил красным шрифтом.  

Но когда, однажды утром, утилиты наподобие ГМЕР или IseWord - не сумеют обнаружить какой-нибудь супер-пупер руткит

- то мы всегда его обнаружим сравнением файлов из под чистой операционной системы.  

:)

А те процессы, которые видимы - элементарно срубаются при помощи IseWord, а не срубаются - выписываем на бумажку путь и название файла, грузимся из-под чистой Windows, и переносим эти файлы в другую папку.

Этого достаточно, чтобы перестала работать автозагрузка вредных процессов. Потому что в автозагрузке прописывается полный путь к файлам, а по тому пути - уже нифига и нету - так как мы перенесли оттуда файлик :)

Лично я вредные файлы не удаляю, а переношу их в папку под названием
"Моя коллекция вирусов и руткитов"   :D

[Coban]

 Я вот тоже решил вчера поискать руткиты. Правда взял пандовоскую прогу аналог (тоже бесплатна), ничего не нашла.    

[ermak57]

  Anitquieque -  ребята, он выставляет свои "палки" на многих страницах форума!
Не открывайте его посты - на проводе недоумок!!!

[Adonvova]

 Получил письмо странное!
yellow-raven ответил в тему "БАЛАГАН Ltd " Максимум удовольствия"", на которую Вы подписаны.

Тема находится здесь:
http://www.shanson-plus.ru/forums/index.ph...view=getnewpost

Возможно в теме больше одного ответа, но только 1 e-mail будет отправлен Вам после каждого посещения
темы, на которую Вы подписаны. Это является пределом на количество писем отправленных Вам.

Отписка:
--------------

Вы можете отписаться от темы в любое время, через Ваш профиль, кликнув по ссылке "Мои подписки".

С уважением,

Администрация Шансон Плюс ™.
http://www.shanson-plus.ru/forums/index.php

Я на эту тему не подписывался.

[amorelover]

 Adonvova,в данном случае,ничего страшного.Модератор отписал в теме,что ссылка умерла и удалил релиз.Среди скачавших есть Ваш ник.Почему пришло уведомление,точно сказать не могу,но повода для беспокойства нет.

[miramax31]

(Adonvova @ Feb 18 2010, 08:20 AM)

Получил письмо странное!
yellow-raven ответил в тему "БАЛАГАН Ltd " Максимум удовольствия"", на которую Вы подписаны.

Тема находится здесь:
http://www.shanson-plus.ru/forums/index.ph...view=getnewpost

Возможно в теме больше одного ответа, но только 1 e-mail будет отправлен Вам после каждого посещения
темы, на которую Вы подписаны. Это является пределом на количество писем отправленных Вам.

Отписка:
--------------

Вы можете отписаться от темы в любое время, через Ваш профиль, кликнув по ссылке "Мои подписки".

С уважением,

Администрация Шансон Плюс ™.
http://www.shanson-plus.ru/forums/index.php

Я на эту тему не подписывался.

 

Вы подписались на эту тему и как только кто-либо в этой теме напишет,вы будете получать сообщения.