Вирусы, трояны и информеры: способы борьбы и предохранения

[Empires]

Скачать не дает! Колдую

Тогда 99% он.

Посмотрите, что прописано в реестре в ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_DLLs ?

Если там прописана библиотека с именем из рандомного набора букв, лежащая в system32, запишите название файла, очистите значение этого ключа в реестре и полностью вычистите все папки временных файлов (это особенно важно).

Перезагрузитесь и снова попробуйте скачать CureIt. Если получится - он сам сделает остальное.

Еще вариант - прибить процесс ctfmon и попробовать загрузить CureIt.

А, уже все получилось, это хорошо. Ну ладно, может, пригодится кому.

 

[Pavell]

Empires, все равно, спасибо. )

 

[Osman]

Качни с другого компа и из флешки запусти

 

[Osman]

О, уже нашел Поздравляю Как заново родился

 

[Ivan_IGroK]

это пи, я думал тока гугли следят за пользователями, оказывается дела куда хуже)
http://www.securelist.com/ru/blog/207764382/

 

[tarzan]

Ivan_IGroK,
Читали, но есть основания для скепсиса

против дипломатических ведомств, государственных структур и научно-исследовательских организаций разных стран мира проводилась операция кибершпионажа

Я готов поверить, что такая операция кибершпионажа проводилась (и она далеко не первая и не последняя), я даже готов поверить, что спецы из Касперского принимали участие в анализе, но во что я отказываюсь верить - так это в то, что Касперскому позволили бы публиковать такие данные в открытом доступе. Это слишком чувствительная сфера, где все тщательно засекречено.

 

[Alf_Zetas]

а єто он себя так рекламирует - у него есть технологии перехвата и анализа покруче используемых в ЦРУ и ФСБ

 

[tarzan]

Alf_Zetas,
Это понятно, но когда на кону государственные интересы - должны с него подписку о неразглашении взять, вот что меня смущает.

 

[fakeitback]

Это понятно, но когда на кону государственные интересы - должны с него подписку о неразглашении взять, вот что меня смущает.

Так он открыл карты, когда уже все стало можно) Касперский - сам из конторских.

 

[LogicS]

есть основания для скепсиса

по большому счёту, антивирусная программа - идеальный шпион :biggrin:
вопрос в том, на кого он работает

 

[Ivan_IGroK]

Alf_Zetas,
Это понятно, но когда на кону государственные интересы - должны с него подписку о неразглашении взять, вот что меня смущает.

а таких операциях уже слышал в декабре 2012го от германских айтишников (они тоже болтали о связке прокси), как-то пропустил мимо ушей, а Касперский озвучил но, при этом ничего страшного не назвал: прокси, ботнеты, бреши, логгеры, русские и китайские хакеры, т к конкретики мало, расписка точно не нужна. главное , что решения проблемы нет, прокcи это мега маскировка. да и действительно сотрудничает с конторой, как уже сказали выше.

 

[Alf_Zetas]

антивирусная программа - идеальный шпион

и не только шпион - лучшие из антивирусов умеют криптозощиты в автоматическом режиме вскрывать и хакеры иногда используют єто их умение для взлома софта

 

[Ivan_IGroK]

ща приколю вот что Loaris Trojan Remover нашёл в моей системе, касперский тоже вирус=)

Спойлер

Loaris Trojan Remover v.1.2.7.5
Report file date: 01.02.2013 16:40:57

Scanning for 414234 virus strains and unwanted programs.


Starting the file scan:

Standard Scan started
Startup objects collected
BHO plugins collected
Services collected
ActiveX objects collected
Files collected
Scanning process...
----- C:\Windows\SysWOW64\DLLDEV32i.dll ---- General
Trojan.Heuristic.nac
ProdVer: 3, 7, 0, 0
FileVer: 3, 7, 0, 12
Name : DLLDEV32i
NAC: DA8F63530C6B27BA1CC5F215EEDFB218:9
MD5: DDAD0BC024B927504523B79F2E4CF9BF:120200
FUZ: 1536:i+rNzWTf8wp25uarD9LlIYVCL8bVT5SU6o1DiJEkE903xA:bZqytLlgyeo1DqEkEy3x
EP: 55 8B EC 53 8B 5D 08 56 8B 75 0C 57 8B 7D 10 85 F6 75 09 83 3D 70 A7 01 10 00 EB 26 83 FE 01 74 05 83 FE 02 75 22 A1 BC BE 01 10 85 C0 74 09 57 56 53 FF D0 85 C0 74 0C 57 56 53 E8 E7 FE FF FF 85
SEC:
.text:60000020:3A91B79BBAA0BE2A8B5AB0D618BCA2D2:65536
.rdata:40000040:A826D3A7CADE343F8612D1B1F78A41D3:16384
.data:C0000040:FDCD8C13A39C01D6574A3C1CDECD9258:16384
.rsrc:40000040:7F6787B410C14F704E3C949859EE8AAB:4096
.reloc:42000040D939D3A3000D8CBBCC203A1D2D58F15:12288


----- C:\Program Files\Sony\Vegas Pro 12.0\ProDiscAPI.dll ---- General
Trojan.Heuristic.nac
ProdVer: 2, 0, 8, 0
FileVer: 2, 0, 8, 0
Name : ProDiscx64API
Company: SONY
NAC: 65F497D08F1E3797F6F9EE3D9192AD90:17
MD5: D83A75354F0DEBF03A91C041D63F2CB1:14336
FUZ: 192:lfkAHAGBNwHSSzA88Upk7j8oXlpOdTPSu3MUI99y6Ib/6vIlgY:FhBKgFxXazSu3RIYAwg
EP: 00
SEC:
.text:60000020:15FFFE8A001E7D3F6BC15E1ABAB0E541:9728
.data:C0000040:E918D9D5FB4E0F5E94A58E397B3BE5B1:1536
.pdata:40000040:F67BB658233A29B513E09FB51A567888:512
.rsrc:40000040:7B0128611610CF3E62A41F2EC37F2F38:1024
.reloc:42000040:C49E1334C48EA6859DBC4800056A0DAE:512


----- C:\Program Files (x86)\eLicenser\POS\SynsoSeL.dll ---- General
Packed.EXECryptor
ProdVer: 1, 3, 0, 12
FileVer: 1, 3, 0, 12
Name : Soft eLicenser
Company: Steinberg Media Technologies GmbH
NAC: 330870B608DFC887D551E6094EF3FF2F:47
MD5: E86BD01DD95E905DC8EDB05B0D0965C9:1819136
EP: E8 3B FF FF FF 05 BF 8B 00 00 FF E0 E8 2F FF FF FF 05 96 59 00 00 FF E0 E8 61 02 00 00 38 8D 3F 10 FE E8 00 0E 1A FE C8 00 75 15 14 31 09 35 43 05 21 FE 2F 00 AE 35 01 80 68 FE 04 00 BD 82 91 62
SEC:
.text:E0000020:00000000000000000000000000000000:0
fa2hy2v:E0000060:F8A0FD3BD7C54F77ED6537E99DD4E462:364544
.data:C0000040:00000000000000000000000000000000:0
.rsrc:40000040:C5CB8BF771BB56E6FE1417A2A4F23F19:4096
52jouzs:E2000060:00000000000000000000000000000000:0
d1kl6nc:E0000020:00000000000000000000000000000000:0
wru1199:E00000606BA5CB278CA3025484E24FC2111937A:1445376
780mmtf:40000040:6F199EF49C8633E090AEF85C4B3AED9E:4096


----- C:\Program Files (x86)\VASST\Common\BackPaks\BP-1\BackPak1.dll ---- General
Trojan.Heuristic.nac
ProdVer: 1.4.0.0
FileVer: 1.4.0.0
Name : BackPak1
Company: VASST
NAC: FEAA063CAC793BF4F7A5C81A938CDB6F:13
MD5: 5B11F0453CE753D7B61F6261E87D06C7:368640
FUZ: 6144:i8GKnSUd2g/gKbKRzdyJrJO6denx6tIWpK1e:fGKfwhzsvex6fI1
EP: FF 25 00 80 05 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SEC:
.textxc:60000020:C7BFBC86109B342645B0BE3D31228A84:348160
.idata:40000040:90705800F51D9650DF3543A0F6971A94:4096
.reloc:42000040:9442580C7E4C224462231F14EECB9B1D:4096
.rsrc:40000040:8013FBB971199D5D7149BF36487824FD:8192


----- C:\Program Files (x86)\VASST\Common\GrafPaks\GP-1\GrafPak1.dll ---- General
Trojan.Heuristic.nac
ProdVer: 1.4.0.0
FileVer: 1.4.0.0
Name : GrafPak1
Company: VASST
NAC: 1B99A777644B19B125CC06FE6897CD44:13
MD5: 46CFDAF045C6C8C96015439A86320530:364544
FUZ: 6144:B8GKnS2ijHmQO6/2L6NKRzdyJrJO6denx6tIWpK1e:aGKvWGQK/zsvex6fIy
EP: FF 25 00 80 05 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SEC:
.textxc:60000020:CB9B7C0F120D36CE2906E512174E8595:348160
.idata:40000040:90705800F51D9650DF3543A0F6971A94:4096
.reloc:42000040:08838E63C8961B8B3284E0EEF760DC4A:4096
.rsrc:40000040:E206C105F0FE82806B69EB8C069C2352:4096


----- C:\Program Files (x86)\VASST\Common\GrafPaks\GP-2\GrafPak2.dll ---- General
Trojan.Heuristic.nac
ProdVer: 1.4.0.0
FileVer: 1.4.0.0
Name : GrafPak2
Company: VASST
NAC: 544D3A2BDA24A990A8B0AF178B7A7B04:13
MD5: 66DB3D2CCD605A6D2F1B9C83B9541C17:360448
FUZ: 6144:v8GKnSNQnr4wy3X1lzKRzdyJrJO6denx6tIWpK1e:kGKVrtYazsvex6fIV
EP: FF 25 00 60 05 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SEC:
.textxc:60000020:8CA6DB4064502C15A761EE5CBB0F7BDC:344064
.idata:40000040:3A9D37137C9A102A69E47DE049955F3D:4096
.reloc:42000040:40156D1A24772D63B96F3D23DE7B4557:4096
.rsrc:40000040:9FF10CA5B33F868AFFC28889DE452625:4096


----- C:\Program Files (x86)\VASST\Common\ReelPaks\RP-1\ReelPak1.dll ---- General
Trojan.Heuristic.nac
ProdVer: 1.4.0.0
FileVer: 1.4.0.0
Name : ReelPak1
Company: VASST
NAC: 40D8598251CCCDAC376AB3BC35BE9FE2:13
MD5: 2D576E6DAC32717C2B66BA0E76EE508B:372736
FUZ: 6144:d8GKnSojFLywiP6ezeKRzdyJrJO6denx6tIWpK1e:mGKxBuwzeJzsvex6fI3
EP: FF 25 00 A0 05 10 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
SEC:
.textxc:60000020:292222151285D64D3C17C6C893A78736:356352
.idata:40000040:C522F02297C35074782F4963B366E591:4096
.reloc:42000040:7657D0DABA3CA5E731A0CB80740CC028:4096
.rsrc:40000040:E6387E0FCF9311BE094C8051BE9C402B:4096


----- C:\ProgramData\Kaspersky Lab\AVP12\Bases\klavasyswatch.dll ---- General
Mal/Fraud!se151
ProdVer: 2.3.4.709
FileVer: 2.3.4.709
Name : System Watcher
Company: Kaspersky Lab ZAO
NAC: 33EE8403232EBD8B6C7621DA21732C4C:31
MD5: 8CF37EACF5E286F585C07168EDFE0E5A:970096
EP: 50 9C 60 E8 0C 01 00 00 01 00 00 00 00 00 00 58 00 00 00 00 18 34 2C 00 A8 9F 0D 00 50 33 2C 00 C6 00 00 00 C0 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 A1 52 22 00 5C 85 28 00 00 C0 29 00 F0
SEC:
.text:E0000020:6467A53438D20683FA729E1BBA2B86F1:892928
.data:C0000040:AF0345D728EEEABED8E439C67474D402:8192
.rsrc:C0000040:2BD6B49E10D891CFFE3B58C6E8148B54:2048
.reloc:C2000040:F1263122C84A002E269D27D3A469EB43:51200
.pklav:E00000E0:1F0C54D7647271CDFB30157CC25259B5:5632


----- C:\ProgramData\Kaspersky Lab\AVP12\Data\Updater\Temporary Files\temporaryFolder\bases\sw2\klavasyswatch.dll ---- General
Mal/Fraud!se151
ProdVer: 2.3.4.709
FileVer: 2.3.4.709
Name : System Watcher
Company: Kaspersky Lab ZAO
NAC: 33EE8403232EBD8B6C7621DA21732C4C:31
MD5: 8CF37EACF5E286F585C07168EDFE0E5A:970096
EP: 50 9C 60 E8 0C 01 00 00 01 00 00 00 00 00 00 58 00 00 00 00 18 34 2C 00 A8 9F 0D 00 50 33 2C 00 C6 00 00 00 C0 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 A1 52 22 00 5C 85 28 00 00 C0 29 00 F0
SEC:
.text:E0000020:6467A53438D20683FA729E1BBA2B86F1:892928
.data:C0000040:AF0345D728EEEABED8E439C67474D402:8192
.rsrc:C0000040:2BD6B49E10D891CFFE3B58C6E8148B54:2048
.reloc:C2000040:F1263122C84A002E269D27D3A469EB43:51200
.pklav:E00000E0:1F0C54D7647271CDFB30157CC25259B5:5632


Scan completed

Scan result: 9 detected items
Scan completed in: Scan completed in 18 minute(s) 49 sec.
Files were scanned: 23262

 

[Alf_Zetas]

єто тупой ремовер - всё, что накрыто крипторами, он автоматом считает вирусами

 

[Ivan_IGroK]

єто тупой ремовер - всё, что накрыто крипторами, он автоматом считает вирусами

подскажи толковее

 

[AslashA]

Кто что скажет по поводу ESET NOD32 Smart Security 6? Нормальный антивирь или лучше каспера интернет секюрити 2013?

Интересуют именно эти ввиду того, что ко мне заходят с флешками, которые кишат всякими "тварями" и боюсь, что, например, майкрософтовская антивируска не сможет всю эту грязь осилить.

 

[Alf_Zetas]

панацеи не существует - напр. сейчас появились трояны с валидной цифровой подписью mail.ru которых все антивирусы пропускают…

 

[mxc]

кто сталкивался, подскажите.
товарищ подцепил java-баннер с рекламой разных сайтов (не только порно , вылазит на всех браузерах, установленных на ноуте, проверка тремя антивирусами (cureit, avira, malwarebytes) ничего не дала.
после блокировки контента по определенным адресам картина в "опере" такая: появляется на всех страницах яндекса, на других сайтах вылазит значительно реже, если отключить java, баннера нет.
чисто из спортивного интереса хочу разобраться, где же эта зараза сидит - autoruns ничего подозрительного не показывают, java-скриптов в явном виде не обнаруживаю.
система win7 pro 32bit

а по поводу mail.ru - всегда у клиентов удаляю все проги и тулбары от них, потому как давно заметил - они как специально трояны и вирусы тащат в систему.

 

[Empires]

кто сталкивался, подскажите.
товарищ подцепил java-баннер с рекламой разных сайтов (не только порно , вылазит на всех браузерах, установленных на ноуте, проверка тремя антивирусами (cureit, avira, malwarebytes) ничего не дала.
после блокировки контента по определенным адресам картина в "опере" такая: появляется на всех страницах яндекса, на других сайтах вылазит значительно реже, если отключить java, баннера нет.
чисто из спортивного интереса хочу разобраться, где же эта зараза сидит - autoruns ничего подозрительного не показывают, java-скриптов в явном виде не обнаруживаю.
система win7 pro 32bit

а по поводу mail.ru - всегда у клиентов удаляю все проги и тулбары от них, потому как давно заметил - они как специально трояны и вирусы тащат в систему.

DNS в системе проверьте - есть дрянь, которая меняет записи на сторонние. Эти сторонние DNS, в свою очередь, редиректят клиента на левые ресурсы, которые подтаскивают основной контент с нужного ресурса, но через свою оболочку с рекламой.

 

[playmayker]

Empires, а можно поподробнее, где именно это искать?

 

[fakeitback]

можно поподробнее, где именно это искать?

файл hosts (просто "hosts", без расширения), в win7 лежит тут: C:\Windows\System32\drivers\etc

 

[Empires]

файл hosts (просто "hosts", без расширения), в win7 лежит тут: C:\Windows\System32\drivers\etc

Бывает так, но та дрянь, что я видел, меняет DNS непосредственно в свойствах соединения. Пуск - панель управления - сетевые соединения...

 

[fakeitback]

Бывает так, но та дрянь, что я видел, меняет DNS непосредственно в свойствах соединения. Пуск - панель управления - сетевые соединения...

Ага, бывает и такое. Самое простоя проверка (если dns провайдера неизвестен) - временно сменить dns на гугловский, 8.8.8.8

 

[Empires]

[OFF]

Ага, бывает и такое. Самое простоя проверка (если dns провайдера неизвестен) - временно сменить dns на гугловский, 8.8.8.8

По моему скромному, использовать DNS провайдера - вообще последнее дело. Два раза видел, как провайдеры неправильно резолвили неугодные адреса (основание для иска о некачественном предоставлении услуг, но кто ж выиграет), и бессчетное количество раз - когда DNS провайдеров падали, но техподдержка, естественно, использовать открытые DNS не предлагала. Вот и сидели от нескольких сот до тысяч абонентов и ждали, пока DNS поднимут.
Есть еще OpenDNS: 208.67.222.222, 208.67.220.220
[/OFF]

 

[mxc]

DNS в системе проверьте - есть дрянь, которая меняет записи на сторонние. Эти сторонние DNS, в свою очередь, редиректят клиента на левые ресурсы, которые подтаскивают основной контент с нужного ресурса, но через свою оболочку с рекламой.

почему же тогда баннер вылазит только при включении java в опере?

 

[playmayker]

mxc, вот-вот! в хроме такого нет! а в опере сплошь и рядом...

 

[Empires]

mxc, вот-вот! в хроме такого нет! а в опере сплошь и рядом...

Я не совсем понял из вашего поста, вы пишете "после блокировки контента по определенным адресам картина в "опере" такая:..." - то есть проблема теперь проявляется только в Опере? DNS-ы чистые?

 

[mxc]

Я не совсем понял из вашего поста, вы пишете "после блокировки контента по определенным адресам картина в "опере" такая:..." - то есть проблема теперь проявляется только в Опере? DNS-ы чистые?

hosts пустой, баннер во всех браузерах, подробнее не знаю - комп не мой, посмотрю в понедельник

 

[playmayker]

Empires, у меня такой банер появляется на мэйле, когда нажимаю на какую нить новость.

 

[Empires]

Empires, у меня такой банер появляется на мэйле, когда нажимаю на какую нить новость.

У вас в этом окошке, в разделе DNS что прописано? Как вообще интернет настраивается, автоматическое получение настроек от провайдера?