Шансон Плюс
Лаборатория => Подсобка (Помощь и Консультации) => Тема начата: uuu99950 от Сентября 15, 2009, 01:03:55
-
В последние недели довольно много жалоб от народа, что при навигации в инете словили троян "Информер порносайта".
Если поймаете и Вы, то как с таким бороться ? Наконец-то я поймал его ! Я искал с ним встречи, но никак он мне не попадался !!!
Информер этот - назойливое окно с рекламой порно-игрушек, занимающее почти весь экран. Передвинуть или закрыть это окно не получается. Далее с вас начинают вымогать SMS-ку "от 5 долларов США" за то чтобы отключить вам эту рекламу.
Бесплатный антивирус AVZ4 с обновленной базой - обнаруживает этот троян. AVZ4 удается запустить даже при запущенном трояне (то есть в момент когда висит окно с порно-рекламой).
Сканировать все диски не надо. Надо в AVZ4 выставить "сканировать все файлы", уровень эвристики максимальный, расширенный анализ - включить.
Сканируйте только папку "Documents and Settings" того логического диска, с которого вы загрузили Windows (обычно это диск C:)
В самом низу результатов сканирования, ищем красные строки с текстом:
"файл такой-то.DLL - уровень опасности ВЫСОКИЙ !!!"
Поскольку окно информера загораживает почти весь экран, то нужно AVZ4 свернуть в режим уменьшенного окна, и передвинуть мышкой вниз, чтобы увидеть найденные при сканировании красные строчки.
Выписываем на бумажку путь к этому файлу. Далее нам понадобится загрузиться из под другой Windows (со спасательного загрузочного CD) или с другого логического диска компа, на котором тоже установлена WINDOWS. Или можно попробовать загрузиться в защищенном режиме.
И удаляем этот .DLL
У меня вредоносный DLL назывался: AdSubscribe.dll
Но у Вас, возможно, троян сгенерит другое название своей библиотеки. В общем, AVZ4 все покажет.
Для автозагрузки этот троян прописывается в системном реестре как расширение проводника Windows - файла explorer.exe
Сам-то процесс "explorer.exe" находится в папке "WINDOWS" и является стандартным системным. Он - не изменен. Но дело в том, что на него навешано порядка 50 библиотек (файлы с расширением DLL), которые этот "explorer.exe" загружает при загрузке WINDOWS.
Так вот, троян "информер порносайта" добавляет еще одну, свою библиотеку.
:D
-
Интересная информация ! И не только информация, но и как с этим бороться.
Спасибо Вам !
Осталось только дождаться этой лошади.
С чем она приходит ?
-
"Осталось только дождаться этой лошади"
- Не волнуйтесь, она найдет Вас сама Живите, как Вы обычно живете.
И она к Вам придет !
-
Ну так надо быть во все воружии !!
Если у Вас инсталлирован Ex_plorer, то ругайте только себя.
Есть и другие, более пристойные броузеры.
Да и хороший Firewall играет не последнее значение, в купе с антивирусной программой.
Ну и Ad-Aware не помешает. Особенно Pro. Ресурсов правда, жрёт много.
С тех пор, как установил XP вместо 98 Windows не было ни каких сбоев, при наличии хороших, способных защитить тебя, программ.
Так на каких порносайтах Вы были ?
-
Так на каких порносайтах Вы были ?
А совсем и не обязательно гулять по порнушкам ::) У меня такая же фигня забралась неделю назад через сайт litra.ru
-
(Nastella @ Sep 15 2009, 11:37 PM) У меня такая же фигня забралась неделю назад через сайт litra.ru
Не связан ли этот сайт с пьянством?
-
Неее, "литра", эт много. Не унесёшь.
Лучше три раза по пол-литра.
(Это что, сокращение от "литература" )
Нравитса !
-
В этот момент что-то быстро мелькнуло на экране монитора в момент прибывания на "литрухе".
Посмотрим, что будет через день. Даже интересно стало.
-
Я тоже по порносайтам не лазил. Однако где-то поймал !
-
(yellow-raven @ Sep 15 2009, 11:43 PM) (Nastella @ Sep 15 2009, 11:37 PM) У меня такая же фигня забралась неделю назад через сайт litra.ru
Не связан ли этот сайт с пьянством?
Мда, Лёша...Я на этот сайт постоянно-периодически заходила, с того момента, как его создали, наверное. НИ РАЗУ в голову не пришло связать название с лИтром , выпивкой и т.д.
Просветил ::)
-
Я же нарвался на эту фишку уже два раза, и просто потому, что надо было
скачать музыку через iFolder !
Он же сейчас ничего не отдаёт, пока не просмотришь его баннеры.
И вот в этот момент и надо быть начеку!
Я это окно закрываю системным менеджером.А т.к. он - создание примитивное,
то захлопывается и окно с iFolder !
При заходе туда ещё раз (музыку-то качать хоца 8-)) этот информер не появлялся.Т.е. уже уселся в системе, чеге ещё нужно!
Avast тоже не реагирует, и поэтому я скачал то. что нужно, а затем (видя, что
вирус начал потихоньку мешать мне - кнопочки стали пропадать в блокноте,
мышка стала отказывать иногда и т.п.) просто загрузил с Acronis заранее
приготовленный образ системы и через 10 минут опять можно работать!
Хотя можно было бы и Касперским или Вебом (у меня целых три модуля на рабочем столе), но это просто когда нечем заняться!
Ведь вирусные атаки динамичны, они всё время видоизменяются, и ни одному антивирусу не угнаться за их темпами!
Что ж теперь, сидеть палец в рот и думать, как отбить очередную атаку?
ACRONIS ! Уж поверьте, комфортней ничего не придумано.
Хотя, возможно, и "Виртуальный компьютер" для работы в Инете тоже
мощное средство - выключаешь после сессии его, и всем вирусам каюк!
Но дело в том, что меня пока этот вариант устраивает.
-
Советую автору предыдущего поста пойти еще дальше :)
Я у себя на компе Акронисом размножил три копии Windows, по одной на своем небольшом логическом диске.
Логические диски, на которых будет только операционка стоять - настругал небольшие, по 10 Gb
Например, на C, D, E ставим три копии винды, в момент когда все работало.
Теперь если все программы ставить на отдельный, несистемный диск F, скажем - то программы можно будет резервно копировать просто копированием папки Program Files на флэшку, например, или на другое место винта.
И можно скачивать музыку загрузившись Windows с логического диска D например. Поймать там непонятную гадость... Загрузиться с C - того диска, на котором браузером вообще не пользуетесь - и слушать.
А вирусы невыясненной природы - останутся прописанными в системный реестр той копии Windows, которая на D.
-
Я немного не понял сути проблемы. Но возможно это она. Я напоролся на подобную гадость на одном новостном сайте. Выглядит так. Открывается ещё одна не запрошенная страница в новом окне(вкладке) браузера вместе с запрошенным сайтом. Смысл: предлагается скачать порно-видео. Для этого надо оплатить доступ. Оформлено всё это картинками болтов и ответных частей.
На переднем плане маленькое окошко, которое требует ввести пароль, для получения доступа к сайту, в свободное поле на этой табличке. Ниже подсказка, что для того, что-бы получить этот пароль необходимо отправить SMS на определённый номер и т.д. И самое главное, что эти окна нельзя никак закрыть.
Если это то, про что писалось выше, то решение этой проблеммы очень простое:
Рассмотрим этот случай на примере моей машины. У меня такие параметры: браузер- Mozilla Firefox 3.0.8, антивирус Kaspersky Internet Security 8.
1. При появлении этой непрошенной дряни нажатием сочетания кнопок Сtrl+Alt+Del вызвать диспетчер задач Windows. Перейти на вкладку "Процессы". В списке запущенных программ найти название Вашего браузера, в моём случае firefox.exe, и завершить его. При этом закроются все окна браузера, как полезные, так и эти порнушки.
2. Перед принудительным завершением работы браузера необходимо выписать вручную из адресной строки, полный адрес сайта (вручную, поскольку привычным методом скопировать ссылку не удастся), в моём случае адрес сайта: BBB.sexposidelki.com.
3. Здесь понадобится установленный антивирус Kaspersky Internet Security 8
или аналогичный, имеющий функцию "родительского контроля" и блокировки
нежелательных сайтов "Чёрный список". Активируете функцию "родительского контроля". Добавте выписанный адрес в "Чёрный список". И в диалоговом режиме заканчиваете настройку "родительского контроля".
4. Вызываете браузер. Современная Mozilla имеет функцию восстановления предыдущий сессии при аварийном завершении работы программы.
Откроются все Ваши окна(вкладки), за исключением этой порно-мерзости.
Примечание. Функцией "Родительский контроль" можно блокировать и другие неугодные для просмотра сайты.
Если всё же возникнет неуёмное желание посмотреть на это "добро" (совершить экскурсию по порно-сайтам), необходимо на вкладке "категории" в настройках скинуть все галочки. При этом сайты из "Чёрного списка" будут по прежнему блокированы, а доступ до порно-сайтов будет открыт.
Надеюсь, что мои советы Вам помогли. Удачи В борьбе со скверной!
-
(Valeriy2007 @ Sep 23 2009, 03:04 AM) Я же нарвался на эту фишку уже два раза, и просто потому, что надо было скачать музыку через iFolder !
..................................................
Avast тоже не реагирует..............
чисто на практический взгляд -iFolder - довольно неприятный сервер с точки зрения безопасности компьютера
при любой загрузке с него вирусы летят на комп, как мухи на мёд
в былые времена - до 2008 - пользовался каспером версии сикьюрити, но
на моей машине он работал - ниже ожидаемого
до каспера был аваст, который сильно советовали провайдеры, но этот вирусник на тот момент так меня и не устроил - практически ничего не ловил
после каспера в этом году - опять-таки по рекомендации друзей - вернулся к авасту, но скачал его с РОДНОГО САЙТА (а не битую крякнутую версию), там же ЗАРЕГИСТРИРОВАЛСЯ, получил с com-сайта КЛЮЧ - и вот уже почти год AVAST прекрасно работает, не тормозит мою работу на компе, вылавливает троянов и прочих залётных птах - просто не нарадуюсь
хотя идея с виртуальными дисками мне тоже очень понравилась, но нет времени изучить этот вопрос и реализовать её на своей машине
очень сожалею, что сайты в инете становятся всё менее и менее безопасными для пользователей
-
привет кто нить скажите что делать! у меня на некоторых сайтах даже на самых безобидных открываеться второй раз браузер мозила и там появляеться в нем порно! вроде не Nod32 не один антивирь антишпионс ниче не нашел а всеравно вылезаеть 2 окно браузера и там порнуха просто жесть! :( :( :(
-
(Hamer Lane @ Nov 23 2009, 05:30 PM) привет кто нить скажите что делать! у меня на некоторых сайтах даже на самых безобидных открываеться второй раз браузер мозила и там появляеться в нем порно! вроде не Nod32 не один антивирь антишпионс ниче не нашел а всеравно вылезаеть 2 окно браузера и там порнуха просто жесть! :( :( :(
Попробуйте установить Ad Muncher
-
(МихалычЪ @ Nov 23 2009, 05:47 PM) (Hamer Lane @ Nov 23 2009, 05:30 PM) привет кто нить скажите что делать! у меня на некоторых сайтах даже на самых безобидных открываеться второй раз браузер мозила и там появляеться в нем порно! вроде не Nod32 не один антивирь антишпионс ниче не нашел а всеравно вылезаеть 2 окно браузера и там порнуха просто жесть! :( :( :(
Попробуйте установить Ad Muncher
извините а кто такой ад мюнхен??? что эта программа делает?
-
Ad Muncher
Программа удаляет всплывающие окна, баннеры и другие рекламные вставки, включая текстовую рекламу, с web-страниц, позволяя тем самым увеличить скорость загрузки страницы и сэкономить трафик. Работает практически с любыми браузерами Internet Explorer, Opera, Firefox, Mozilla, Netscape, Maxthon, Avant Browser. Кроме этого, Ad Muncher умеет удалять баннеры в таких программах, как: ICQ, Morpheus, Kazaa, Grokster, PalTalk, iMesh, Bearshare, LimeWire и т.д.
Расширенные опции позволяют настроить программу на блокировку всего, что вас раздражает, включая фоновые рисунки, музыку и звуки. Вместе с программой поставляется уже готовый список с более чем 2000 фильтрами, которые можно обновлять из самой программы.
Кроме удаления всевозможной рекламы Ad Muncher умеет справляться со многими spyware и adware модулями, препятствует отправке информации о браузере, адресе предыдущего посещенного сайта, блокирует web-bugs.
--- Скрытая информация. Для того чтобы получить к ней доступ необходимо зарегистрироваться и поблагодарить автора сообщения нажатием на кнопку "Спасибо" вверху сообщения ---
-
(МихалычЪ @ Nov 23 2009, 06:31 PM) Ad Muncher
Программа удаляет всплывающие окна, баннеры и другие рекламные вставки, включая текстовую рекламу, с web-страниц, позволяя тем самым увеличить скорость загрузки страницы и сэкономить трафик. Работает практически с любыми браузерами Internet Explorer, Opera, Firefox, Mozilla, Netscape, Maxthon, Avant Browser. Кроме этого, Ad Muncher умеет удалять баннеры в таких программах, как: ICQ, Morpheus, Kazaa, Grokster, PalTalk, iMesh, Bearshare, LimeWire и т.д.
Расширенные опции позволяют настроить программу на блокировку всего, что вас раздражает, включая фоновые рисунки, музыку и звуки. Вместе с программой поставляется уже готовый список с более чем 2000 фильтрами, которые можно обновлять из самой программы.
Кроме удаления всевозможной рекламы Ad Muncher умеет справляться со многими spyware и adware модулями, препятствует отправке информации о браузере, адресе предыдущего посещенного сайта, блокирует web-bugs.
>[ALBUM TEXT]
так видите в чем прикол у меня походу сидит какая то хрень которая иногда сама запускает 2 копию мозилы и там появляеться порно сайт я думаю этой прогой тут не поможет хотя спасибо попробую может быть потом пригодиться! кстати а кто нить в курсе что такое контект CMEDIA
-
(Hamer Lane @ Nov 23 2009, 09:51 PM) а кто нить в курсе что такое контект CMEDIA
CMEDIA - производитель звуковых карт, часто встроенный звук материнских плат производится этой фирмой
http://www.cmedia.com.tw/pci_audio_new.html (http://www.cmedia.com.tw/pci_audio_new.html)
-
(Pit_ @ Nov 23 2009, 10:10 PM) (Hamer Lane @ Nov 23 2009, 09:51 PM) а кто нить в курсе что такое контект CMEDIA
CMEDIA - производитель звуковых карт, часто встроенный звук материнских плат производится этой фирмой
http://www.cmedia.com.tw/pci_audio_new.html (http://www.cmedia.com.tw/pci_audio_new.html)
просто у меня каким то образом в списке программ установлена прога доступ к условнобесплатному контенту CMEDIA звуковых карт у меня таких нету у меня Creative звук стоит! как эта прога установилась я даже не помню? как думаете что это и может быть из за нее проблемы
-
"А и там порнуха просто жесть!"
- Так порнуха и должна быть жесть ! ;)
А если по теме: Действительно, сейчас все большее количество порносайтов стали применять простейшую обманку пользователя:
антивирусы ничего не находят, как правило. Потому что порносайт пересылает на компьютер пользователя вредоносный Java-script. Который во-первых назначает порносайт - сайтом загрузки по умолчанию, а во-вторых - не позволяет закрыть окно с порно-картинкой.
Поскольку Жава-скрипты разрешено исполнять в браузере - то антивирусы вроде как считают, что выполнение Жава-скрипта произвольного содержания - это не вирус.
Сделайте следующее: Запустите обычный виндовый диспетчер задач, зайдите в нем в закладку "Приложения". И срубите (снимите задачу) все копии запущенной Мозиллы.
После перезапуска, Мозилла Вам напишет:
"Предыдущая сессия была завершена аварийно. Восстановить ее, или начать новую сессию ? "
Нужно ответить что "Начать абсолютно новую сессию".
Дело в том, что Мозилла (и наверное Опера и IE тоже) - запоминают с исполнения какого Жава-скрипта начиналась работа браузера в предыдущий раз. Вот в это место порносайт и подсовывает свой файл c расширением JS, на место стандартного.
В Mozilla файл этот называется prefs.js,
и Вы можете найти его поиском в папке Documents and Settings, в одной из вложенных папок он лежит.
Можно этот файлик, когда браузер не заражен - скопировать себе в другое место. И потом, при последующих заражениях порно-информерами - копировать его на голову зараженному (выйдя из браузера)
-
(uuu99950 @ Nov 23 2009, 10:20 PM) "А и там порнуха просто жесть!"
- Так порнуха и должна быть жесть ! ;)
А если по теме: Действительно, сейчас все большее количество порносайтов стали применять простейшую обманку пользователя:
антивирусы ничего не находят, как правило. Потому что порносайт пересылает на компьютер пользователя вредоносный Java-script. Который во-первых назначает порносайт - сайтом загрузки по умолчанию, а во-вторых - не позволяет закрыть окно с порно-картинкой.
Поскольку Жава-скрипты разрешено исполнять в браузере - то антивирусы вроде как считают, что выполнение Жава-скрипта произвольного содержания - это не вирус.
Сделайте следующее: Запустите обычный виндовый диспетчер задач, зайдите в нем в закладку "Приложения". И срубите (снимите задачу) все копии запущенной Мозиллы.
После перезапуска, Мозилла Вам напишет:
"Предыдущая сессия была завершена аварийно. Восстановить ее, или начать новую сессию ? "
Нужно ответить что "Начать абсолютно новую сессию".
Дело в том, что Мозилла (и наверное Опера и IE тоже) - запоминают с исполнения какого Жава-скрипта начиналась работа браузера в предыдущий раз. Вот в это место порносайт и подсовывает свой файл c расширением JS, на место стандартного.
В Mozilla файл этот называется prefs.js,
и Вы можете найти его поиском в папке Documents and Settings, в одной из вложенных папок он лежит.
Можно этот файлик, когда браузер не заражен - скопировать себе в другое место. И потом, при последующих заражениях порно-информерами - копировать его на голову зараженному (выйдя из браузера)
хех поржал порнуха просто жесть
спасибо попробуем так сделать! токо я понял что так делать надо когда именно появиться порнуха? :P
-
Например: заходим по ссылке:
Ссылка удалена
К нам прилепляется порно-информер:
(http://i077.radikal.ru/0911/99/28e60cb845e2.jpg) (http://www.radikal.ru)
Потом делаем раз:
(http://i022.radikal.ru/0911/20/1eddd9348441.jpg)
Снова запускаем Мозиллу, и делаем два:
(http://s11.radikal.ru/i184/0911/1c/723533ba7a81.jpg)
Выбираем: Начать новую сессию
-
Кто работает с обозревателем Firefox, рекомендую установить дополнение Adblock Plus.
(http://i072.radikal.ru/0911/e0/313a269dd466.jpg) (http://www.radikal.ru)
После установки появляется значок в верхнем правом углу:
(http://i007.radikal.ru/0911/0e/1551294d678d.jpg) (http://www.radikal.ru)
-
Совет по работе с Ad Muncher:
Копируете в адресной строке браузера ссылку на неблагонадёжный сайт
и добавляете в Мои фильтры:
(http://s15.radikal.ru/i189/0911/df/bf5c707538d1.jpg) (http://www.radikal.ru)
-
F8-безопасный режим-диск С -Windows-папка Temp-удалите оттуда все,можно и саму папку.Загрузиться можно и из под другой Винды или из CD с виндой.Удачи!!!
-
Еще такой способ:
Пуск-стандартные-служебные-Востановление системы(выставляете крайнюю точку востановления).
И картинки как не бывало.
-
Не у всех Windows есть восстановление системы, чего никак не скажешь про папку Windows в компе,уж она точно есть у всех!
-
Кроме Internet Explorer ставим Лису (Mozilla Firefox) + дополнительные плагины и забыли про порно и рекламу
-
(alexander.1964 @ Jan 23 2010, 05:21 PM) Не у всех Windows есть восстановление системы
Сама служба есть у всех Windows. Другое дело, что не у всех эта опция включена по умолчанию.
Как включить, читаем ЗДЕСЬ (http://windows.microsoft.com/ru-RU/windows-vista/System-Restore-frequently-asked-questions)
-
black-rook Дело может быть тут и в другом...
Многии пользуются различными самопалами Винды - где эту службу вообще выкидывают умельцы.
-
Предлогаю простой способ. Программы-стандартные-служебные-восстановление системы. В восстановлении системы выбираете ближайшую точку восстановления, расположенную по времени до момента когда вы словили информер и запускаете восстановление.
Винда сама благополучно снесёт этот триппер и даже не надо разбираться куда он там подписался! Пару раз так делал действует идеально.
А вооще-то надо прсто быть внимательным ставите вы его обычно сами в момент когда:... введите код-пошлите смс-вы ввели неправильный код-бла-бла-бла...и вобщем не выйти из окошка,вот тут вы и нажимаете спасительное OK, а надо диспетчер задач-снять задачу.
-
А на последних версиях порноокна диспетчер задач-снять задачу не работает.
Помогло http://www.softportal.com/software-3553-hijackthis.html (http://www.softportal.com/software-3553-hijackthis.html)
Есть легенда, что звонок провайдеру коротких номеров так же помогает снять проблему http://www.a1agregator.ru/ (http://www.a1agregator.ru/)
звонишь в Агрегатор по бесплатному номеру и внаглую требуешь код, чаще всего именно эта контора - владеле этих коротких номеров
там какие-то агенты у них...ну и вот эти агенты типа не имеют права использовать эти короткие номера с такой целью (с)
-
В том то и дело, что английский знаю немного лучше чем испанский и хинди. Тупо снес кнопкой Fix checked все из списка, пропало ВСЕ из автозагрузки. Видимо, в этом списке и надо искать трояна, ставить галочку и удалять. Соседи дали инструкцию на русском.
Краткое руководство к программе HijackThis.
--- Скрытая информация. Для того чтобы получить к ней доступ необходимо зарегистрироваться и поблагодарить автора сообщения нажатием на кнопку "Спасибо" вверху сообщения ---
-
(МихалычЪ @ Jan 27 2010, 07:44 PM) В том то и дело, что английский знаю немного лучше чем испанский и хинди.
Конечно, немного не по теме, но может кому и пригодится
Kleptomania - уникальная в своем роде программа - не делает вроде бы ничего необычного. Все, что она умеет - это захватывать текст, но, в отличие от других программ, она его может снимать откуда угодно - даже из тех приложений, которые "не признают" буфер обмена. Она умеет, к примеру, захватывать список файлов в любой папке, путь к файлу, текст из диалоговых окошек и вообще - с любого места экрана. После захвата текста его можно или передать в буфер обмена, или сохранить в rft-формате. Для чего это нужно? - Ну, хотя бы для того, чтобы перевести в диалоговом окне какой-нибудь программы непонятную фразу на английском языке (если, конечно, вы его не знаете) имеющейся программой-переводчиком.
-
У меня вопрос - такой вирус может по почте прийти или только лазя по сайтам?
-
(add @ Feb 6 2010, 09:23 AM) У меня вопрос - такой вирус может по почте прийти?
Может!
Статрайтесь не сохранять на диск непонятные файлы из почты.
-
Вирус не только может.... А запросто заскочит !
По этому, если Вы получили на Ваш имейл письмо, не понятно от кого.... то лучше не открывайте его вообще ! Сразу удалите !!!
Ну если Вам, все таки интересно его содержание (я все равно не советую его открывать Вам) то хотя бы не переходите на предложенные в нем адреса, что то скачать и т.д.
Вы можете подхватить все что угодно, от рутиков и шпионов и до.....
-
(air70 @ Feb 6 2010, 05:19 PM) Вирус не только может.... А запросто заскочит !
По этому, если Вы получили на Ваш имейл письмо, не понятно от кого.... то лучше не открывайте его вообще !
Вот-вот. По порнушкам не лазил. А пришло на мыло письмо с непонятного адреса. Открыл (и содержание непонятно). Результат - троян.
-
Ещё одно неплохое дополнение к Mozilla Firefox - Flashblock (https://addons.mozilla.org/ru/firefox/addon/433)