Вирус

[heilig]

Jacky

Цитата:

Если у тебя есть лицензионный ключ -- то да.

Цитата:

На текущий момент у тебя должны быть установлены основная база, обновления 1-12 и today.

да, есть ключ и все эти базы.

Цитата:

Поставь попробуй zonealarm, его особо настраивать не нужно, только на закладке firewall передвинь бегунки (если это не так по умолчанию) в положение high. Ну, а дальше просто смотри на сообщения

done. Большой тебе dankon.

[Jacky]

Philosof

Цитата:

Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?

Если троян поработал, то может уже какая-то информация и ушла. Другой вопрос, что будет делать с этой информацией хозяин троянца: понятно, что от пароля/логина на доступ в интернет из России мало толку, скажем, в Китае.
Вообще сам факт того, что тебе подменили стартовую страницу и записали в избранное какую-то пургу, еще не значит, что кроме этого случилось что-то еще. Может, этим все и ограничилось. Поэтому лучше просто сделай, как я написал выше. Если не хочешь менять касперского на дрвеб, просто переустанови его с нуля, с дистрибутива. Ведь все равно не запускается? Может быть, переустановка поможет. А все остальное рекомендую все-таки сделать и потом уже на всякий случай поменять важные пароли.

heilig

Цитата:

Большой тебе dankon

Nedankeble.

[Philosof]

Значит так...
1, 2, 3 сделал сразу.
Dr. web установил, но он ничего не обнаружил.
ZoneAlarm установил. В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил, я так понимаю? Но звенеть ничего не звенит, об утечке информации он ничего не говорит.
А вот AdAware вчера нашел 6 штук и потер. А сегодня утром - 4. Но я не уверен, что это шпионы, он там указал какую-то штуку от Media Playerа например.
Но вирус есть. Я нашел несколько подозрительных файлов и стер. Но все к сожалению не получается.

[Jacky]

Philosof

Цитата:

В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил

Сам по себе ZA ничего проверить не может. Он показывает там количество программ, которые хотели выйти в интернет. По каждой из них он должен был спрашивать тебя (выводя окошко запроса) и уже ты должен был разрешить/запретить выход однократно или постоянно. В этом, собственно, суть защиты от троянов. Если ты запускаешь Outlook Express -- то конечно доступ нужно разрешить. Если вдруг за обновлениями решил слазить, скажем, Windows Media Player -- смотри, нужны ли тебе эти обновления и соответственно разрешай/запрещай. А вот если вдруг в инет ни с того ни с сего полезла какая-нибудь программа load.exe которую ты в первый раз видишь, вот тут, конечно, нужно запрещать и разбираться. Полный список программ можно посмотреть в разделе program control и там же будут видны права, которые ты им выставил (разрешен доступ/запрещен).

Цитата:

Но я не уверен, что это шпионы, он там указал какую-то штуку от Media Playerа например.

А это такие мелкие шпиончики. Паролей не крадут, но могут пересылать всякую информацию о твоем компьютере куда следует.

Цитата:

Но вирус есть. Я нашел несколько подозрительных файлов и стер.

Каким образом ты определяешь подозрительные файлы?

[lynx]

Jacky

Цитата:

Во-первых, ДрВеб существенно меньше тормозит, чем последние версии Касперского.

Возьми старую версию, новые базы и радуйся.
У меня стоит Касперский много лет. Один раз только я серьезно повердила машину вирусом и по незнанию убила систему не без участия Касперского, но это была скорее моя ошибка, чем его.

Philosof

Цитата:

А что такое троян и чем он отличается от вируса?

Вирус - это, как правило, кусок кода, который сам по себе существовать не может. Часто он собой заменяет один из системных файлов. Или перезаписывает кусок кода в нем. Тогда получается, что файл заражен, а удалить его нельзя - он системный, и без него система погибнет. Вылечить в таком случае тоже нельзя. По крайней мере антивирусы не всегда это умеют. Вот на такого виря я нарвалась в свое время, забыла уже, как его завут, klez что ли, мне уже LoveSun все старые названия перебил (это относительно недавний вирь).

А троян - это самостоятельная программа, способная существовать сама по себе.


heilig

Цитата:

на ру-борд меня то пускают, то не пускают, регистрироваться там по десять раз уж надоело и вообще...

Ессно, если будешь по 10 раз региться с одного компа никто тебя не пустит. Выдели один логин и запроси пас, с доступом там сейчас все нормально. Только ящик почтовый на мейл.ру не держи.

И вообще, что значит "не складываются отношения"? И почему ЗонАларм то? Поставь Autpost - милое создание. Сложноватое, но привыкнешь. Зато, если поставить 2.х, будет знать всю интимную жизнь своей машины

Philosof

Цитата:

Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?

И Инетернетом тоже - от него пасы тоже класс, как воруются.

Если у тебя есть возможность вынуть винт и подмонтировать его к другой (чистой) машине - то ты легко найдешь у себя на винте зараженные файлы, запустив антивирус с другой машины.

Но мне кажется, было гораздо проще. Примерно так: ты гулял по Инету, где-то кликнул, например, по баннеру, попал на порносайт, там тебепредложили поставить что-то ты не понял что, но нажал ОК, поставилось нечто, которое постоянно ломиться на этот сайт.

Какая у тебя версия системы?

Сделай так:
пуск - выполнить - regedit - f3 - и в посике набери или имя сайта, или адрес сайта, или имя того, что у тебя в автозапуске прописалось - попробуй. Все, что найдешь, полагаю, можно смело удалять.
Если не найдешь ничего, найди ключи (для Win2000, но наверняка и для остальны примерно то же самое):

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
и
HKEY_USERS\S-1-5-21-удалила_как_приватную_инфу\Software\Microsoft\Windows\CurrentVersion\Run

Возможно, во втором случае у тебя будет нечто типа:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run

и посмотри, что же прописалось в автозапуск. Ищи похожее на этот сайт или на программу, запускающуюся и ломящуюся на этот сайт и удаляй.

Поставь программу http://forum.ru-board.com/topic.cgi?...5&topic=0079#1 TauScan , поставь последние базы к ней (она сама это умеет делать) и проскань машину на трояны.
Еще рекомендуют (либо либо) http://forum.ru-board.com/topic.cgi?...5&topic=4334#1 pestpatrol

Цитата:

потом уже на всякий случай поменять важные пароли.

Пока троян есть, менять пасы нет ни малейшего смысла. Потом - конечно.

Цитата:

Может быть, переустановка поможет

Ага. Системы. На отфроматированный винт. Злая шутка.

Philosof

Цитата:

ZoneAlarm установил. В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил, я так понимаю? Но звенеть ничего не звенит, об утечке информации он ничего не говорит.

Ну, если фаер ничего не нашел, то скорее всего это не то чтобы вирус, а как я описала выше.


Добавлено

heilig

Тебе в общем-то рекомендую то же самое, за исключением того, что тебе не надо в авторане ничего искать.

Антивирь с последними базами - скан
Фаер (только смотри, чего разрешаешь то)
Таускан - скан

Тогда будет ясно.

[Philosof]

Цитата:

Если у тебя есть возможность вынуть винт и подмонтировать его к другой (чистой) машине

Нет, у меня же ноутбук, как я его выну?

Цитата:

Примерно так: ты гулял по Инету, где-то кликнул, например, по баннеру, попал на порносайт, там тебепредложили поставить что-то ты не понял что, но нажал ОК

Нет. Нет. Ничего я не ставил, ничего не загружал, на сайт их поганый попал после того, как он себя вписал как стартовую страницу.
У меня Windows 98.

Цитата:

в посике набери или имя сайта

Стер я его сразу.

Джекина программка AdAware постоянно находит 2 штуки в разделе cookies. Удаляю - появляются снова. Аннотация такая: "This cookie is known to collect information that may be used either fortargeted advertesing , or tracking users across a particular website, such as page views or ad click-thrus".
Как нахожу подозрительные? Странное имя, сегодняшним числом помечен, размножаются, в имени указано например название моего модема. Стереть не могу. Я всю эту дрянь послал Касперскому - он ответил, что вирусов там нет.


Добавлено

Очень странный еще файл в директории Windows win386.swp Никак не удаляется. Размер 50-80 млн. байт, а в safe mode - 0.

[Jacky]

Philosof

Цитата:

Очень странный еще файл в директории Windows win386.swp

Не трожь его. Это виндовский своп, т.е. файл подкачки. Его размеры меняются динамически, поэтому могут быть и очень большими, и поменьше. Если у тебя все такие "странные" файлы (которые ты потер), то можно и систему обрушить. Это не вирусы.

Добавлено

lynx

Цитата:

Возьми старую версию, новые базы и радуйся.

Нафиг такие извраты. Потом в старых версиях у него нет аналога вебовскому SpiderMail. А вещица полезная.

Цитата:

Поставь Autpost - милое создание. Сложноватое, но привыкнешь.

Именно что. ZA по крайней мере поставил -- и работает фактически без настройки, причем работает вполне прилично. Вообще я обратил внимание, что любовь к outpost во многом напоминает любовь к thebat, не у тебя конкретно, а вообще. Типа круто, хотя и сложновато.

Цитата:

Ага. Системы. На отфроматированный винт.

Естественно. Если он будет удалять "вирусы" типа своп-файла, тут не только касперский работать откажется.

Добавлено

Philosof

Цитата:

Я всю эту дрянь послал Касперскому - он ответил, что вирусов там нет

В общем, если ни касперский, ни дрвеб ничего не находят, если через файрвол в интернет никто выйти не пытается, можно считать, что все в порядке. А те куки (сookies), которые находит ad-aware, в общем, безопасны. Тем более судя по количеству (четыре, две...) ты куда не следует фактически не ходишь. Потому что у меня в процессе прогулок по всяким странным местам сети drweb и zonealarm без работы, мягко говоря, не сидят. Если у тебя всё тихо -- значит, все в норме.

[lynx]

Philosof

Цитата:

Нет, у меня же ноутбук, как я его выну?

А сетевуха у него есть? Соедини его в сеть, сделай доступным диски по сети и посмотри с другого компа.

Но, походу, все с ним ОК, только сайт этот просится до сих пор или уже нет?

Куки - это такая фигня, она писаться будет все равно Она нормальная фигня. Можно отключить, но сюда не зайдешь тогда.

Цитата:

он себя вписал как стартовую страницу.

Открываешь IE - сервис - подключение - стратовая страница - стираешь все и пишешь:
about:blank

Цитата:

любовь к outpost во многом напоминает любовь к thebat, не у тебя конкретно, а вообще. Типа круто, хотя и сложновато.

Аутпост простой, как три копейки. Вот на что-то более сложное мне все не отважится. Где настройки тонкие - по всем протоколам и портам отдельно по каждому адресу. Вот это я понимаю. А Бат тоже простой, ничего в нем сложного. Для меня сложнее Аутлук - там все что-то делается, а мне не говорится, что именно и почему. Это мне сложно.

В Аутпосте сложно только то, что там всего много. А так - все просто, все по русски, покажет все коннекты, куда, зачем, все блокировки и по какой причине - логи у него понятней не бывает.

[Philosof]

TauScanом проверился, ничего нет.
ZoneAlarm молчит, только число программ подсчитывает в outbond protection.
Да, все такие. Я как увидел, что что-то не так - все файлы за сегодняшнее число стер.
Где не надо хожу очень редко Не там, где вы думаете
А с win.swp просто. У меня стоит программа Red Organizer, который, по идее, удаляет все лишнее. Осталось несколько файлов, которые он удалить не смог - вроде системные они или архивные. Я их и стал подозревать. Там целая директория TEMP и странные названия типа PCMCIA_CARD_56KFaxModem-FM56C-NF.log Или ~dfda46.tmp
Я решил что ничего хорошего с таким названием быть не может.

Добавлено

Ну вот, сейчас выскочило предупреждение, что кто-то хотел влезть в мой компьютер.
Из Австралии

[lynx]

Philosof

Цитата:

Ну вот, сейчас выскочило предупреждение, что кто-то хотел влезть в мой компьютер.
Из Австралии

На это не обращай внимания.Это обычный скан портов.

Цитата:

Там целая директория TEMP и странные названия типа PCMCIA_CARD_56KFaxModem-FM56C-NF.log Или ~dfda46.tmp

Все содержимое директории Windows/temp/ можно удалять.


Но он все равно наполнится - туда система складывает временные файлы.