Вирус

[Philosof]

Друзья, нужна ваша помощь.
Сегодня зашел в интернет - и обнаружил, что на компьютере завелся вирус. Антивирусная программа Касперского виснет и не хочет включаться. В качестве стартовой страницы обнаружился сюрприз - открывается какой-то мерзкий порнографический форум. Он же добавился в избранное.
Никаких сомнительных программ я не запускал, писем не получал...
Загрузил программку Red Organizer, она нашла неск. подозрительных файлов за сегодняшнее число. Не без труда, но я их стер, кроме одной (размером 0 байт, никак не стирается). Но Касперский так и не включился, значит - что-то не так.
Помогите пожалуйста, что делать? Мерзкое ощущение, кроме того не знаю, безопасно ли пользоваться почтовым ящиком, форумом где я зарегистрирован и т.д.

[Jacky]

Не факт, что вирус. А трояна мог подцепить вполне. Я бы что сделал.

1. Стереть всё лишнее из "избранного"
2. Вернуть на место нужную стартовую страницу, просто руками в настройках.
3. Снести нафиг касперского
4. Сходить на www.drweb.ru и взять там нормальный антивирус. Поставить, провериться.
5. Сходить на www.zonelabs.com и взять там файрвол (ZoneAlarm просто, поскольку plus и pro версии потребуют денег). Ставишь и смотришь, какие программы с твоего компьютера желают до интернета прогуляться. Думаю, узнаешь много нового.
6. Сходить на www.lavasoftusa.com и взять там AdAware. Запускаешь, смотришь, сколько шпионских модулей наловил. Может, и немного, но в любом случае не помешает.

Ну и дальше по ситуации.

[heilig]

Jacky

Цитата:

4. Сходить на www.drweb.ru и взять там нормальный антивирус.

ты считаешь, что доктор Веб лучше Касперского? Плиз, объясни (те) мне популярно, какой лучше и почему, потому что у меня вот недавно тоже была неприятная ситуация с вирусами, и теперь последний доктор Веб с _новейшими_ базами (чуть ли не за позавчерашнее число) говорит, что все нормально, а я точно знаю, что где-то какой-то виряк сидит. Но Веб его, очевидно, не находит, а сносить и ставить другой антивирус спонтанно неохота. Тем более что вирус безвредный -- периодически пытается записать себя любимого на дискету и всё.

[Jacky]

heilig

Цитата:

Плиз, объясни (те) мне популярно, какой лучше и почему

Во-первых, ДрВеб существенно меньше тормозит, чем последние версии Касперского. Он лучше обновляется (Касперский просто достал постоянной перегруженностью серверов обновления, а если не ставить центр управления, чтобы хоть немного уменьшить тормоза, то еще и после каждого "сервер недоступен" приходится вручную жать ОК -- что бесит. И наконец, насколько я помню, на нескольких последних тестах VirusBulletin веб показал лучшие результаты.

Цитата:

последний доктор Веб с _новейшими_ базами (чуть ли не за позавчерашнее число)

Новейшие базы -- это сегодняшние + "горячее обновление". Кстати, версия ядра какая? 4.31b?

Цитата:

периодически пытается записать себя любимого на дискету и всё.

В чем это выражается? Ты документы (например, вордовские тексты) не открывала прямо с дискеты? В этом случае ярлыки копируются в Пуск -- Документы и естественно, когда система лезет обновить список (ну вот хочется ей так) -- конечно, идет обращение к дисководу. Почисти этот список и посмотри, будет ли продолжаться эта фигня. Или просто вставь дискету в дисковод, дай "вирусу" записать все, что он хочет и посмотри, какие файлы создадутся. И пошли их в саппорт ДрВеба с припиской "я думаю, это вирус, но веб его не обнаруживает, симптомы такие-то" -- сделаешь доброе дело, причем скорее всего они тебе еще и ответят, вирус это или не вирус.

[heilig]

Jacky

Цитата:

Новейшие базы -- это сегодняшние + "горячее обновление". Кстати, версия ядра какая? 4.31b?

да, 4.31b. А что такое "горячее обновление"? Я его там не нашла.

Цитата:

В чем это выражается? Ты документы (например, вордовские тексты) не открывала прямо с дискеты?

я -- нет, не открывала, но я на всякий случай все поудаляла из Пуска, посмотрим


А вообще ситуация получилась интересная, сейчас я вам опишу, а вы мне скажите -- это правда так могло быть или это была какая-то разводка РОЛа.

В общем, 15 числа днем я спокойно заходила со своего основного аккаунта, и все было нормально. Потом я ушла. Вернувшись через несколько часов, я уже с этого аккаунта зайти не могла. Просто не пускали меня и все, даже в личный кабинет -- посмотреть, в чем дело-то, безо всяких объяснений. Я подумала, что может быть, это опять какой-то роловский глюк и остаток дня пользовалась другим аккуантом, с которого заходила спокойно. Потом ночью я чего-то разозлилась, и решила все-таки позвонить в суппорт. Молодой человек уточнил, с какого номера я подключаюсь и могло ли быть подключение с другого номера. Когда я ему сказала, что с другого номера согласованных со мной подключений быть не могло, он мне сообщил, что, оказывается, при подключении с моего домашнего номера была засечена попытка несанкционированного сканирования портов (их, как я поняла), и поэтому они заблокировали все подключения _с_этого_номера. И задал глупый вопрос -- как я могу это объяснить. Получив очевидный ответ, милостиво согласился на то, что такую фигню мог проделать какой-то вирус. И предложил мне следующее: они открывают мне ограниченный доступ -- на их сайт и на сайт Касперского. Я должна скачать с их сайта антивирус Касперского, ключ к нему (за который они просят 1$), потом с сайта Касперского обновления, просканить комп, записать все обнаруженные вирусы, после чего позвонить им и сообщить названия. И если они посчитают, что эти вирусы могли им просканировать порты, то они мне открывают полный доступ. Говорю им, у меня, мол, не Касперский, они мне отвечают, что их это мало волнует, и они работают только с Касперским. Ну думаю, подождем тратить время на диалапе и доллары , откуда они узнают, чем я сканировала и насколько свежие у меня базы Короче, просканировала своим доктором Вебом с достаточно старыми базами. Нашла двух виряков в разных местах. Один -- троян. Второй -- Win32.HLLW.Goalweb.2. Позвонила им, молодой человек полчаса никак не мог понять, что же второй за вирус, но в итоге сказал, что доступ открыл. Снова пытаюсь подключиться -- снова не пускают. Пытаюсь раз десять -- с тем же результатом. Снова звоню в суппорт, попадаю на этого же парня. Он меня уверяет, что фильтр снят, а потом, посмотрев попытки подключений, говорит, что я ошибаюсь в пароле и шустренько предлагает его поменять. Ну ладно, поменяли. Дальше все было нормально.
Что осталось за гранью моего понимания в этой истории:
1. Зачем он уточнял, могли ли быть подключения с другого номера, если сканирование портов они засекли с моего?
2. Если они, по их словам, запретили все подключения с моего домашнего номера, то почему я без проблем заходила под другим логином и паролем с этого же номера?
3. Почему, если это был вирус, он при подключении с другим логином и паролем никуда не лез и ничего не сканировал?
4. Потом я залезла на viruslist, посмотрела, что это за вирусы были. Ни про тот, ни про другой не было сказано, что они могут сами куда-то лезть и что-то сканировать. Почему тогда они мне доступ открыли, если эти вирусы такого сделать не могли?
5. Я с этим паролем уже около двух месяцев сидела. И каждый день несколько раз набирала его вручную, ибо никогда нигде галки "сохранять пароль" не ставлю, -- и не ошибалась. А тут десять попыток -- и все с ошибкой? Фигня какая-то. Кроме того, если ошибаешься с паролем, то обычно они советуют сначала попробовать еще раз, внимательнее, а тут он мне лихо сразу менять его решил.

Ну и что вы думаете по этому поводу?

[Philosof]

А что такое троян и чем он отличается от вируса?

[Jacky]

heilig

Цитата:

А что такое "горячее обновление"?

База с именем drwtoday.vdb и датированная, как правило, текущим числом. Потом все это входит в регулярные базы типа drw43110.vdb

Цитата:

Ну и что вы думаете по этому поводу?

Так, теоретически -- всё может быть. В любом случае для тебя положительный момент тот, что выловила пару вирей и обновила антивирь. НО я чувствую, судя по описанию ситуации, что файрвол ты так и не поставила (или не настроила). А зря.

Philosof

Цитата:

А что такое троян и чем он отличается от вируса?

В общем случае вирус пытается что-нибудь испортить (стереть файлы, форматнуть винт), а троян крадет разную информацию (пароли) и отправляет хозяину.

[heilig]

Jacky

Цитата:

База с именем drwtoday.vdb и датированная, как правило, текущим числом. Потом все это входит в регулярные базы типа drw43110.vdb

и как ее получить? Просто нажать "Обновление"?

Цитата:

НО я чувствую, судя по описанию ситуации, что файрвол ты так и не поставила (или не настроила). А зря.

не складываются у меня с ним отношения. Три раза ставила, три раза сносила -- не работает, а как настраивать -- я не понимаю, а разбираться негде -- на ру-борд меня то пускают, то не пускают, регистрироваться там по десять раз уж надоело и вообще...

[Jacky]

heilig

Цитата:

Просто нажать "Обновление"?

Если у тебя есть лицензионный ключ -- то да. Все установленные базы можно просмотреть в окошке "о программе". Правый клик мышкой на паучке в трее (если, конечно, висит резидентный spider guard) и в меню выбрать "О программе". На текущий момент у тебя должны быть установлены основная база, обновления 1-12 и today. Если нет ключа, обновление работать не будет. В этом случае велкам на фтп, забираешь нужные базы и руками распаковываешь в ту папку, где у тебя установлен дрвеб, начиная с самых старых.
ftp://ftp.dialognauka.ru/dsav/russian/add-on/

Цитата:

на ру-борд меня то пускают, то не пускают

Небось тоже там им порты сканируешь?
Поставь попробуй zonealarm, его особо настраивать не нужно, только на закладке firewall передвинь бегунки (если это не так по умолчанию) в положение high. Ну, а дальше просто смотри на сообщения и разрешай/запрещай доступ программам в интернет в зависимости, что за программы.

[Philosof]

Цитата:

троян крадет разную информацию (пароли) и отправляет хозяину

Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?