Камрады, думаю, пора объединять темы про борьбу с сетевой заразой в один трэд. Предлагаю постить здесь информацию о реальных траблах и работающих способах по их ликвидации, без порожних разговоров и вопросов. Эдакий FAQ по вирусам.
Мой вчерашний контакт со старым добрым systems.exe, он же - порноинформер.
Камрады! Держите под рукой LiveCD. Жизнь с ними намного приятнее и проще.
Мой вчерашний контакт со старым добрым systems.exe, он же - порноинформер.
Пока я был на работе, несознательные личности сходили почитать на "Рамблер", являющийся сборщиком помоев со всего рунета, новости про теракты. Пришёл с работы я, добрый и весёлый, написал пару гадостей на РММ, потом загрузил систему №2 (где у меня весь звуковой софт) и в течение часа задумчиво удалял недоделанные проекты с бритыми навечно головами.
Какова же была моя радость, когда перезагрузив систему, я обнаружил красочный баннер с тремя [STRIKE]голожопыми[/STRIKE] легкомысленными дамами и уведомлением, что на беду я скачал себе этот баннер, но могу отправить СМС. "Ха-ха" - подумал я, и нажал ctrl+alt+del. "Сам хаха" - ответил мне диспетчер задач, притворившись зелёным значком в трее и показав 100%-ую загрузку процессора и отказавшись показываться в полный размер.
Ну, нас легкомысленными дамами не смутишь, и через [STRIKE]any key[/STRIKE] ресет я перезагрузил комп, загрузившись в "Безопасном режиме". Оказалось, что эти замученные тётки уже ждут меня и там, а диспетчер задач не работает по прежнему, и в общем, не работает вообще ничего кроме баннера.
Загрузив DAW, я решил запустить из под него CureIt, на что он ответил, что мой лицензионный ключ истек. Установленная же полная версия Dr.Web не обнаружила ничего. Покопавшись вручную в папке windows/system32 я обнаружил созданные за полчаса до моего возвращения домой программки dQ9WI3.exe и ещё пару со столь же нечеловеческими именами. Созданы они были в 19.30. Переименовал и перенёс в папку "Удолил!", перезагрузив комп. Тётки были на месте, фальшиво улыбаясь и вытаскивая какие-то шарики друг у друга из самых странных мест. Перезагрузился в DAW, параллельно удалив ненужный Dr.Web. Включил поиск на файло, созданное накануне в 19:30. Тут же обнаружился банальный systems.exe, сидящий в папке Documents and settings/All Users. После его переименования и переноса в папку "Удолил!" я перезагрузил машину.
Тёток больше не было. Зато было: заботливо очищенная тётками папка "Сетевые подключения", включены дурацкие службы типа "Удалённый пользователь", которые я отрубаю сразу же после установки, а в реестре дебаггером запрещён запуск всех известных тёткам антивирусов (искать в ветке HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows NT\Current Version\Image Execution Options\ - а далее название антивирусного приложения с ключом "Debugger"="ntds -d".
Антивирусный спам постоянно предупреждает, что пошла новая волна смс-вымогательств. Теперь они мешают не только ходить в интернет - они блокируют систему, антивирусники, редактор реестра, попросту тупо перегружая процессор и с помошью дебаггера. Кроме того, написанный на "Дельфи" systems.exe не воспринимается как вирус - он и не вирус, это malware.
Какова же была моя радость, когда перезагрузив систему, я обнаружил красочный баннер с тремя [STRIKE]голожопыми[/STRIKE] легкомысленными дамами и уведомлением, что на беду я скачал себе этот баннер, но могу отправить СМС. "Ха-ха" - подумал я, и нажал ctrl+alt+del. "Сам хаха" - ответил мне диспетчер задач, притворившись зелёным значком в трее и показав 100%-ую загрузку процессора и отказавшись показываться в полный размер.
Ну, нас легкомысленными дамами не смутишь, и через [STRIKE]any key[/STRIKE] ресет я перезагрузил комп, загрузившись в "Безопасном режиме". Оказалось, что эти замученные тётки уже ждут меня и там, а диспетчер задач не работает по прежнему, и в общем, не работает вообще ничего кроме баннера.
Загрузив DAW, я решил запустить из под него CureIt, на что он ответил, что мой лицензионный ключ истек. Установленная же полная версия Dr.Web не обнаружила ничего. Покопавшись вручную в папке windows/system32 я обнаружил созданные за полчаса до моего возвращения домой программки dQ9WI3.exe и ещё пару со столь же нечеловеческими именами. Созданы они были в 19.30. Переименовал и перенёс в папку "Удолил!", перезагрузив комп. Тётки были на месте, фальшиво улыбаясь и вытаскивая какие-то шарики друг у друга из самых странных мест. Перезагрузился в DAW, параллельно удалив ненужный Dr.Web. Включил поиск на файло, созданное накануне в 19:30. Тут же обнаружился банальный systems.exe, сидящий в папке Documents and settings/All Users. После его переименования и переноса в папку "Удолил!" я перезагрузил машину.
Тёток больше не было. Зато было: заботливо очищенная тётками папка "Сетевые подключения", включены дурацкие службы типа "Удалённый пользователь", которые я отрубаю сразу же после установки, а в реестре дебаггером запрещён запуск всех известных тёткам антивирусов (искать в ветке HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows NT\Current Version\Image Execution Options\ - а далее название антивирусного приложения с ключом "Debugger"="ntds -d".
Антивирусный спам постоянно предупреждает, что пошла новая волна смс-вымогательств. Теперь они мешают не только ходить в интернет - они блокируют систему, антивирусники, редактор реестра, попросту тупо перегружая процессор и с помошью дебаггера. Кроме того, написанный на "Дельфи" systems.exe не воспринимается как вирус - он и не вирус, это malware.
Камрады! Держите под рукой LiveCD. Жизнь с ними намного приятнее и проще.
Последнее редактирование:
aratrooper:
Поставил себе не так давно для интернета, кина и офиса Linux Mint и доволен - под нее пока и заразы-то толком нет. Кроме прочего для обычной работы вполне достаточно невысокого уровня привилегий (в том же линухе работа под root'ом, он же админ - явление ненормальное), а винде все сплошь и рядом сидим под учетками с правами админа... Чем зараза, собственно, и пользуется (за исключением эксплоитов, конечно). Почему бы не ограничить свою учетку до уровня "Опытные пользователи" или даже "Пользователи"? Правда, есть один момент, что несмотря на давний приход многопользовательских NT-систем в нашу повседневную жизнь (где-то с 2000й винды), большинство приложений и по сей день пишутся как будто для однопользовательской среды (то есть предполагают права админа) Короче, предлагаю потестить свои DAW на предмет работы с ограниченными правами и...собственно изредка вводить пароли админа, если требуется настройка. Уж безопасности это точно не повредит.