и снова порнобаннеры, на этот раз вляпался сам =)
часто встречаюсь последнее время на своём и компе знакомых с этим банером. Вобщем-то первое что я делал - это посмотрел автозагрузку и удалил вышеописанный plugin.exe. Дальше разбираться было некогда... так что тоже интересно куда он ещё прописался...
чего тебе не нравится? наслаждайся красивыми глазами 
а так в поиск, где-то проскакивала ссылка с генератором "ключа"
а так в поиск, где-то проскакивала ссылка с генератором "ключа"
там кстати на скриншоте умная винда в трее красным значком предупреждает — "а антивируса-то у вас нет, алярм"
странно, что некоторые предпочитают пользоваться антивирусом после заражения, а не до :]
странно, что некоторые предпочитают пользоваться антивирусом после заражения, а не до :]
комп рабочий, антивирус в процессе покупания =) бесплатное что ставить не знаю, Microsoft Security Essentials пробовал - не понравился, режет честного проксика.
вот нашел - держи
http://www.drweb.com/unlocker/index/?lng=ru
http://www.drweb.com/unlocker/index/?lng=ru
тоже интересно куда он ещё прописался
поправил "hklm/software/microsoft/windows nt/current version/winlogon/userinit" на "c:\windows\system32\userinit.exe,"
всем, предлагающим генерилку кодов и другие средства решения- спасибо, баннер я снес уже, о чем написал в первом посте.
тема для флуда и для тех кто на такое тоже нарвется.
тема для флуда и для тех кто на такое тоже нарвется.
Насчёт этого не помню, правил или нет... может и правил... надо посмотреть...
странно, что некоторые предпочитают пользоваться антивирусом после заражения, а не до :]антивирусы бывают не только в виде win32-приложений, сообщающих винде о своём наличии
ты выяснил каким образом к тебе попало тело вируса и почему оно оказалось запущенным?
Спасиба, падрачил. 
никакого порно здесь нет. а зря. та, что справа — очень даже ничего. нужно быть довольным и всем показывать это как ниспосланную свыше Благодать (тем более, Вы утверждаете, что "ниче такого не нажимали")
неа, не выяснил. но у меня прямой белый IP и из файрвола - стандартный виндовый. так что могло и само пролезть. еще может через оперу, но вот какая страница - хз, по крайней мере у меня пропала опера, я думал - случайно крестик нажал, бывает. запускаю - не запускается (процесс висит и жрет 44 метра). прибил процесс, опять запускаю - опять нет оперы, но есть процесс. рестарт -> порнобаннер, паника -> cure it
и нафига специально нарываться на порнобаннеры, когда в форуме вот так всё покажут? 
вероятно, чтобы и линуксятники могли почувствовать себя вирусоносителями
вероятно, чтобы и линуксятники могли почувствовать себя вирусоносителями
а чего паниковать? голых теток не видел?
порнобаннер, паника
неа, не выяснил. но у меня прямой белый IP и из файрвола - стандартный виндовый.про файервол - плохо. Поставь winipfw и заблокируй все ненужные порты. В особенности rpcшный.
То есть ты подозреваешь, что тебя заэксплойтили через системные уязвимости винды, торчащие наружу?
А у тебя есть для него конфиг виндовый, в котором прописаны все нужные системные вещи, типа DNS, DHCP?
подозреваешь, что тебя заэксплойтили через системные уязвимости винды, торчащие наружу?не исключаю такого. вообще виндовый-то файрвол включен, но я не знаю насколько он эффективен.
подозреваю что вопрос был адресован мне.
у меня в фаере винды открыта самба, гарант, 3128 для прокси, порт для uTorrent. вроде все. днс не помню. где открыто - стоят ограничения - из локальной сети доступ.
у меня в фаере винды открыта самба, гарант, 3128 для прокси, порт для uTorrent. вроде все. днс не помню. где открыто - стоят ограничения - из локальной сети доступ.
а вот удавалось ли кому-нибудь поймать что-нибудь подобное сидя не под админской учеткой ?
Да, у нас пользователи регулярно отлавливают либо порнобаннеры, либо "отправь SMS". Естественно отсутствие прав у пользвателя сильно облегчает лечение заразы, но сам факт - под пользователем с такой заразой нормально работать невозможно.
P.S. Сеть защищена KAV for ISA и SEP на станциях. Ищем им замену
P.S. Сеть защищена KAV for ISA и SEP на станциях. Ищем им замену
тема для флуда и для тех кто на такое тоже нарвется.Раз уж для флуда
Сестра моей жены, школьница, такое вот поймала на своей домашней машине.
Поставил просто ради прикола с единственного на тот момент доступного linux-диска Simply Linux (Внимание! Здесь могло быть название любого дистрибутива любой ОС! Холивар оффтопик!)
Месяц работы - полёт нормальный. Документы, pdf-ки, музыка, фильмы пошли сразу и без сторонней помощи.
P.S. Я пока не выяснил, заметила ли она подмену ОС
ты выяснил каким образом к тебе попало тело вируса и почему оно оказалось запущенным?щас дырки везде — даже во флеше (часто ли его юзер обновляет?
а значит через любой браузер пройдёт (достаточно один раз кликнуть на флеш-ролик чтобы его запустить)см. что мне недавно отловил антивирь http://www.microsoft.com/security/portal/Threat/Encyclopedia...
то есть ты имеешь в виду эксплойты в клиентских приложениях. Ну точно знаю насчёт оперы, IE и pdf. Других незакрытых багов вроде пока нет.
щас дырки везде — даже во флеше (часто ли его юзер обновляет?Я вообще не обновляю. Считаю неприемлемым ставить в свой открытый браузер (ff) проприетарный шпионский плагин. К тому же неудобный (не умеет работать без звука). Так что adobe flash player и apple quitcktime player у меня не установлены.
Вопрос был адресован , поскольку он посоветовал winipfw. Да, вопрос еще актуален.
Оставить комментарий
elenangel
в принципе решено, для истории напишу что делалэту же тему открыл на virusinfo.info тут