Ай нид хелп! (Уже доунт нид)

[taanyabars]

Замучил троян!!
Смутно помню, как я его словила. Доктор Веб просигнализировал, доложил, что обезвредил и... началось.
Сначала предлагали услуги астролога, причем окно на весь экран и не закрывается.
Потом астролог стал появляться реже, а реклама стала закрывать бОльшую часть экрана, но через пару секунд ее можно было закрыть.
Потом реклама становилась все гнуснее и гнуснее, и пару дней назад пошла сплошная порнуха, да еще видео, а не фото. Правда теперь не на весь экран, а сбоку, но... ЭТО я смогла выдержать ровно один день.
Что делали сегодня:
- Все просканировали доктором Вебом
- Снесли все куки и почистили все кэши
- Изучили все рецепты, которые выдал поиск.
В общем, муж угрохал весь вечер, я даже понять не могу большей части всего, что он пробовал.
БЕЗРЕЗУЛЬТАТНО :((
Одно утешает: гадость эта появляется далеко не на всех сайтах. На мое счастье ее нет в мейлру, ее нет в ЖЖ. Она есть на Ленте и на Турбине, без которых я обойдусь. Но она сидит на Яндекс-фотках :(((
И пока я от нее не избавлюсь, ни одного поста с фото не будет :((( Больше я эту порнуху видеть не могу!!!
Памагите!!

Update. Ура! Проблема решена - и без Касперского. В интернете после продолжительных поисков нашелся именно наш случай. http://www.inforeks.ru/people/86-reklama-sistemy-datamind.html спасибо нашему спасителю! Статья называется "Удаляем окно "Реклама системы DataMind""
Кстати, нашему предшественнику Касперский не помог.

Comments

[luchar.livejournal.com]

Спросила Пашу. Цитирую дословно: "Скачать на сайте Касперского одноразовый антивирус с последней базой данных (она обновляется каждый день). Запустить в безопасном режиме компьютер и прогнать программу. А еще там есть средство борьбы с баннерами." Лично я не совсем понимаю, что значит "в безопасном режиме", но наверное, твой муж знает...
У нас был троян, который не убирался ничем, пробовали кучу способов. Удалили все вирусы разными антивирусами, безрезультатно. Помог одноразвый касперский. Потом повторилось через какое-то время на другом компе, сразу попробовали этот способ, тоже избавились. Но у нас не было баннеров, у нас был другой вирус.

[taanyabars.livejournal.com]

Спасибо! Справился муж (см. Апдейт)

[taanyabars.livejournal.com]

Спасибо! Справились без Касперского

[strannik12.livejournal.com]

А что за зверь прописал вам в реестр "NameServer=", так и осталось невыясненным?:(
И что, на Яндекс-фотках до сих пор эта зараза? Или это поддельные были Яндекс-фотки, с подменившего Яндекс сайта...

[strannik12.livejournal.com]

UPD: Вот, нашел, обсуждение проблемы, две страницы форума на мозилле, почитайте, мало, конечно, но кое-что есть.

http://forum.mozilla-russia.org/viewtopic.php?id=57436&p=1
http://forum.mozilla-russia.org/viewtopic.php?id=57436&p=2

Как и было сказано, поддельный DNS (злоумышленник прописывает другой IP) в настройках сетевого соединения прописывается, а уж после этого какой угодно (злоумышленникам) сайт может оказаться поддельным...

Главный вопрос, "КТО ЭТО СДЕЛАЛ ???" Причем это можно сделать ровно один раз, потом вирус себя удаляет (мавр сделал свое дело...) и ни один касперский с докторами-вебами ничего, разумеется, не найдут! Да, кстати, именно так, "по такой схеме", как Вы и написали: "Смутно помню, как я его словила. Доктор Веб просигнализировал, доложил, что обезвредил и... началось" Вирус был удален доктором, но ... он уже успел сделать свое черное дело!:(

Вариантов несколько - ява-скрипт, экзешник (например, при загрузке фоток на радикал загружается во временную директорию exe-файл), а также возможно (обратите внимание!) - заразную флешку вставляли... И еще такой способ - вам присылают смс на телефон что-то вроде "Вам пришо MMS-сообщение, пройдите по ссылке..." Вы вбиваете на компьютере этот адрес и... начинается...

А вообще, два совета уже "от меня":)

1. Во время серфинга по сети ВСЕГДА, когда это возможно, отключайте в браузере яву, ява-скрипты, и вообще любое, как это называется, "активное содержимое".
2. На всех своих флешках заведите в корневой директории папку "autorun.inf" (пока еще в основном помогает... я не знаю, может, авторы вирусов когда-нибудь учтут это, но желательно, чтобы этот момент произошел как можно позже...) Ну, и конечно, в Виндоуз отключите автозагрузку со всех сменных носителей (Касперский это предлагает сделать при проверке уязвимостей, кстати, и сам все делает, вам не надо в реестре копаться).

P.S. А вообще странно, проблеме уже около месяца, а все антивирусники ни сном, ни духом, как это?

[user-collect.livejournal.com]

А теперь добавления "От меня"
- На своих флэшках это хорошо, а на чужих? Да и вирус может удалить autorun.inf, если он dns в реестр вставит
А отключение автозагрузки со сменных носителей - это, конечно, обязательно.
- Ну и конечно аттачменты не открывать НИКОГДА. По СМСным ссылкам не лазить НИКОГДА.
- А флэшки почаще чистить, желательно на невиндовом компе, или, при отсутствии такового, на компе, загруженном с LiveCD. Существует LiveCD от DrWeb, я лично предпочитаю PuppyLinux. Работает быстро и почти полноценная ОС, по кр мере для вебсёрфинга. Всё, кстати, на винтах видит (ну, понятно, реестр не поправишь).
- Что же касается Джавы, то её в виде апплетов сейчас осталось очень мало, без неё в принципе жить можно. Естественно, речь не идёт о JSP и сервлетах, но это серверный контент. А вот без Джаваскрипта, увы, сложно, пол-веба сейчас на нём. Увы, соревнования в навороченности делают экзотикой сайты с полностью полезным контентом, такие, например, как http://zhurnal.lib.ru. А насчёт ActiveX не знаю - МСИЕ не пользуюсь (в том числе и из соображения борьбы с вирусами)

[strannik12.livejournal.com]

>"На своих флэшках это хорошо, а на чужих? Да и вирус может удалить autorun.inf, если он dns в реестр вставит"
Да, конечно, может! Обратите внимание, я так и написал выше: "я не знаю, может, авторы вирусов когда-нибудь учтут это".
Но до сих пор я с такими не встречался. Наоборот - реально моего друга спасла как-то такая подстраховка. Утопающий хватается за соломинку, согласен, но соломинка тоже бывает выдерживает...
Он как-то на большой тусовке с презентациями:) вынужденно заразил свою флешку, переписывая файлы с местного компа, причем знал об этом (поскольку часом раньше чистил флешку соседа, зараженную на том же компе). Вы спросите - почему не сказал хозяевам того компа? Сказал, конечно... Но, у нас все "как всегда" - всем все "по барабану", как Вы знаете...
Так вот - потом собирался почистить от трояна свою флешку, разумеется, но... забыл. И вот, в очередной раз, на компьютере (не своем, конечно), в общем, где стоит его программа, оказывал поддержку, так сказать, в ее эксплуатации... И вот он берет эту флешку (забыв, как уже сказал, что она заражена), вставляет ее, чтобы переписать туда-сюда файлы, как обычно, и.... видит, что ему крупно повезло! Троян тот, конечно, записал все свои зловредный файлы, кроме.... autorun.inf - споткнулся о страховочную папку с тем же именем! Что и спасло его от большого конфуза - не заразил компьютер коллег...

Потом, даже если троян станет тереть страховочную папку, где у Вас много файлов (имеет смысл там их держать вместе с контрольной суммой, к примеру), то это Вы заметите. Если переименует - заметите тоже, даже на зараженном компьютере (скорее всего). И хотя бы будете знать, что что-то не так...

Еще такое соображение: если целью трояна является просто причинить вред - так ему и отформатировать флешку будет "не слабо" (точнее - потереть корневую директорию, что быстрее). Если же целью является что-то более нетривиальное, то, как правило, такие черные дела делаются максимально незаметно для жертвы. И для тех, кто борется с таковыми по профессии (антивирусники). То есть злоумышленникам, наверное, выгоднее сделать троян, который не станет ничего делать с подстраховкой, если таковых 10% (цифра с потолка взята, конечно). И подольше оставаться "неразоблаченным"... Но это, конечно, только мои предположения, все это...

А на чужих флешках - тоже можно такую страховку сделать, спросив у хозяина... И объяснив ему, зачем это (см. выше). Как правило - весомым аргументом является тот факт, что Вы только что очистили его флешку от трояна у него на глазах!

P.S. Сорри, сначала поместил данный комментарий не туда - на "верхний уровень", пришлось удалить.

[taanyabars.livejournal.com]

Спасибо за разъяснения, я правда почти ничего не поняла :(
Яндекс-фотки были мои, натуральные. А что с антивирусов мало проку, я убеждаюсь второй раз, в первый раз нам пришлось Винды переставлять и муж три дня мучился, переписывался с поддержкой Касперского, потом все сделал сам. После этого мы отказались от Касперского и перешли на доктор Веб, не уверена, что он лучше работает, но с ним меньше хлопот (он легче обновляется, выдает меньше оповещений и вообще ведет себя тихо).
так что в этот раз еще дешево отделались. Пока не было порнухи, я вообще эту гадость довольно долго терпела.

[strannik12.livejournal.com]

>"Пока не было порнухи, я вообще эту гадость довольно долго терпела."
Значит, Вы должны быть просто благодарны порнодельцам:)) Какая-то польза все-таки есть, а то бы до сих пор Вы не знали, что у Вас на компьютере творится... страшно подумать, что могло бы еще произойти ... куда более серьезного! "нет худа без добра"....

А если серьезно - то выбор антивируса (а точнее - уровня его настроек) вида "выдает меньше оповещений и вообще ведет себя тихо", имхо это подобно ... отключению надоевшей сигнализации. Примеров полно как в классике ("Как украсть миллион" с Одри Хепберн), так и в реальной жизни, увы...:( Если "ведет себя тихо" - это вовсе не значит, что вы в полной безопасности, хммм....

Сорри за пространный комментарий, но... Думаю, что если бы у Вас антивирус изначально(!) был настроен чуточку, "попараиноидальнее" (это так называют "параиноидальный" уровень настроек, самый максимальный по количеству и качеству оповещений), то вышеописанных проблем удалось бы избежать еще на ранней стадии. У Вас бы просто "всплыла" табличка, предупреждающая о том, что некий файл .. тра-та-та... exe (или браузер, еси это была работа ява-скрипта, к примеру) пытается изменить настройки tcpip... Я в таких случаях выбираю "запретить", а потом думаю, в чем дело... Ага - на этот сайт больше ни ногой И так далее... Просто - правила безопасности, навроде "уходя, гасите утюг"...

[taanyabars.livejournal.com]

так если бы Касепрский по делу возбуждался!
Просто он пару раз в неделю начинал буквально "орать": безопасность вашего компьютера под угрозой! срочно обновите базу данных.
А когда мы продляли лицензию, муж по-моему угрохал чуть ли не неделю на попытки все сделать как положено и переписку с их службой поддержки.
Доктор Веб тихо и быстро самообновляется, причем кажется чаще, чем Касперский, загружается и переоформляет лицензию без всяких сложностей.
В общем, поставив его, можно забыть про него до первого тревожного сигнала.
Дело же свое делают (судя по печальному опыту) плохо что тот, что другой.

[strannik12.livejournal.com]

Странно... По умолчанию Касперский (Интернет-секьюрити, а на антивирус) обновляется автоматически. В настройках параметры обновления - режим запуска - автоматически. При условии подключения к интернету, разумеется. Если компьютер долго отключен от инт ернета, то, конечно, обновление не происходит, и тогда, правда "начинает орать". Продление лицензии тоже вроде бы несложная процедура... "Угрохал чуть ли не неделю" - это как????

[user-collect.livejournal.com]

Тааня, купите Mac! Или поставьте Linux! Под linux вирусов нет...

[strannik12.livejournal.com]

Простите, я хоть и не спец (далеко не спец:)) по Линуксу, но и то читал, что хоть вирусов и нет, зато есть, например, руткиты...

[user-collect.livejournal.com]

Есть. Но это, скажем так, более прицельный огонь. А вирусы - массовое произвольное бомбометание. Для клиентского непостоянного режима это значительно безопасней. Хотя это можно рассматривать как чрезмерную паранойю, поскольку морда Сети (не сама Сеть!) всё же больше на Винды ориентирована. Впрочем, Гугловые и им подобные сервисы потихоньку девиндузуют Сеть

[strannik12.livejournal.com]

Уж если советовать, то рискну добавить и от себя "альтернативный" совет:) Чем тратить денги на Мак и/или осваивать незнакомую систему (Mac, Linux), можно поставить один (или больше, если хватит ресурсов, зачем это, поясню ниже) дополнительный компьютер под теми же Виндами...

Смысл в том, что для каждого компьютера сужается круг задач и облегчается жизнь, соответственно...

Простейший вариант - два компьютера, из них один подключен к интернету, другой - нет.

[taanyabars.livejournal.com]

"Нет, нет, только не это!" :)))
У нас и так компьютеры в доме размножаются почкованием :))

[strannik12.livejournal.com]

Тогда сам Бог велел вам по такой схеме действовать!

[strannik12.livejournal.com]

Понимаете, это большой плюс, когда много компьютеров, а не минус, если подойти толково к делу... Главное, чтобы компьютеров было больше, чем пользователей!

[user-collect.livejournal.com]

Не так!!
Под каждую задачу свой компьютер, т е множество "задачных" компьютеров, или серверов.
Под каждого юзера свой компьютер, т е множество "личных" компьютеров, или десктопов.
Пипл лезет только на локальные сервера.
Количество железок не ограничено _СНИЗУ_ - всё может быть на виртуалках.
Один сервер под антивирус, его-то как раз желательно под не-виндоуз.
Вот она облачно-виртуальная среда :):):):):):):):):):)

[strannik12.livejournal.com]

Нет, Вы не поняли - я не с позиции "официальной науки":) (или не науки, но все равно официальной - где всякое там количество серверов, юзеров, админов и прочих начальников:))

Я с точки зрения практической одного(!) человека рассуждаю, без привлечения всякой административно-социально-управленческой науки и пр...:))

Это как разница между тем, что Вы идете в поликлинику, стоите очередь в регистратуру и т.д... И сами себе, к примеру, йодом ранку обрабатываете...

В общем, по простому, по рабоче-крестьянски:))

Конкретно, конфигурация может быть такая. 2 компьютера: один подключен к интернету, другой нет. Польза такая - если компьютер НЕ подключен к интернету (мы говорим про Windows), то.. экономится куча времени(!) на том, что не надо обновлять систему - раз. Если Вы хорошо проверяете все свои флешки, карты, внешние диски - то можно даже обойтись без антивируса вообще! А так можно поставить бесплатный (лицензионный!) Аваст, к примеру, и время от времени обновлять его (оффлайн). Ну, раз в три месяца, к примеру, вас устроит?

Зачем нужен компьютер без интернета, многие спросят? Работа в текстовом редакторе, электронные таблицы, презентации - а этот процесс отнимает много времени, и во время работы интернет вообще-то не нужен. Потом взяли, переписали на флешку, и отправили по почте на компьютере с интернетом! Плюс - Вам не надо часто и долго возиться с профилактикой безинтернетного компьютера, достаточно делать архивные копии Ваших рабочих файлов, тоже время от времени... Да, еще сканер, принтер можно подключить, и все такой железо, которое требует ресурсов... Работа с такими устройствами тоже будет куда как быстрее, чем на компьютере с антивирусом и интернетом и еще кучей дополнительных приложений.

Правда, в такой конфигурации для компьютера с интернетом остаются те же описанные в данной теме проблемы...

Выход - поднапрячься и поставить еще один компьютер, на этот раз подключенный к интернету. Тогда можно разделить и тут задачи. На одном вся почта, пароли и прочие операции, требующие повышенного уровня безопасности, но больше никакого серфинга, по сайтам разной степени сомнительности... Для этой цели выделяется упомянутый третий компьютер. На котором нет никаких важных данных, и который можно периодически полностью восстанавливать, "с нуля". Например, с помощью Акрониса:))

На каждом компьютере, в результате, экономится время, больше, чем прибавляется сложности из-за увеличения их, компьютеров, количества!

[user-collect.livejournal.com]

Так вот и я же о том. С одной стороны, я, конечно, стебусь. С другой стороны, если рассматривать компьютер не как железный ящик, а как самостоятельный объект в сети, на котором, условно говоря, теоретически можно запрограммировать всё - мы и имеем часть ресурсов от какой-то железки, которые все воспринимают в сети как отдельный комп. Или от нескольких железок. Само собой разумеется, вирус может съесть только один "кусок ресурсов". Вот под каждую задачу и выделяется кусок ресурсов. Непосредственно на железе стоит среда виртуализации, специальная ОС типа ESX, под неё вирусов нет, да и извне доступ закрыт.
Далее, каждый член семейства может иметь доступ к любой из задач, одновременно. Ему достаточно иметь немОщный комп, с которого он _ТОЛЬКО_ залезает на один из "кусков ресурсов", каждый из которых многопользовательский. Либо удалённый десктоп, либо vnc-viewer, либо ssh -tX либо что ещё.
Только возникает вопрос - а зачем эту железку с виртуальными серверами держать дома, может её разместить где-то "в сети"?

[strannik12.livejournal.com]

Да, конечно! Но ведь это уже ... другая тема. А "где-то в сети", с упомянутой "рабоче-крестьянской точки зрения" выглядит как какой-нибудь сервис навроде Google-documents по сравнению с Ms-Word, не так ли? Интересно, реально кто-нибудь сейчас пользуется Гугл-документами, как для редактирования, так и для совместной работы?

[taanyabars.livejournal.com]

Для совместной работы - точно пользуются. Знаю случаи.

[strannik12.livejournal.com]

Отлично! Но все же и это, в свою очередь, тоже - другая тема... Хотя и интересующая меня (иначе бы не задал вопрос). Если Вам тоже интересно, то подкину еще вопрос (не обязательно для ответа, просто... "информация к размышлению", что-то вроде этого).

Почему (в тех известных Вам случаях) для совместной работы используют именно гугловский сервис (документы), а не делают "как все люди":) (на данный момент), которые. редактируют файлы на локальном компьютере и пользуются электронной почтой для взаимного обмена документами?

Или это действительно совместное (одновременное, синхронное) редактирование документов, но для этого больше подходит движок типа "Вики", а его вроде бы "в гуглах" нет и не предвидится?

[(Anonymous)]

Движок типа Wiki - это клёво
Думаю, в дальнейшем вытеснит все текстовые и офисные редакторы.
Лучший офисные редакторА кстати - antiword и doc2pdf

[strannik12.livejournal.com]

Простите, a doc2pdf, это который? Гугл говорит, что таковых много...

[zdoh-pod-jj.livejournal.com]

Если есть OpenOffice то его можно эксплуатировать не запуская экран документа
В Линуксе это такой шелловый скрипт

#!/bin/sh

DIR=$(pwd)
DOC=$DIR/$1

/usr/bin/oowriter -invisible "macro:///Standard.Module1.ConvertWordToPDF($DOC)"

В виндоусе похожий bat

[strannik12.livejournal.com]

Простите наивный вопрос - а зачем так делать?\:) Что можно, вообще, делать в ворд-процессоре, "не запуская экран документа"... Какая-то пакетная обработка макросов или еще чего-то там, что не требует интерактивного вмешательства? Что-то мне ничего больше в голову не приходит....

UPD. Сорри, не сразу сообразил, что это был ответ на мой же вопрос о том, где достать такую программу (doc2pdf). Какой ужас (это я про свою сообразительность:))!

[strannik12.livejournal.com]

И вот такой практический пример, из моего опыта. Купил я как-то нетбук, дешевый, тогда они только появились, и причем не с жестким диском, а с флеш-накопителем тогда еще их делали. Не тот, дорогой и быстрый, который в бизнес-буках за 80 т.р., а медленный и дешевый, соответственно. Windows XP на нем стоял. Некоторое время я пользовался предустановленным антивирусом от McAffee, он все время требовал его купить:) ПОтом я снес его и поставил Касперского и был страшно удивлен, обнаружив, что есть антивирусы куда тормознее Касперского (упомянутый выше:))! Сначала с Касперским было терпимо, но потом, когда я очередной раз его обновлял в течение 6 часов подряд(!), решил снести Касперского (благо и лицензия закончилась), и... теперь этот компьютер у нас используется в описанном выше безинтернетном режиме! И нормально.

[strannik12.livejournal.com]

>"_СНИЗУ_ - всё может быть на виртуалках." - эх.... я тут же вспомнил 80-е годы, компьютерные классы с ДВК во главе кучи "Агатов"... Или даже более могучий вариант БЭСМ-6 с терминалами под управлением "КРАБ":)) ЕС-ЭВМ:) и прочая, и прочая... ПОвеяло:))) Ностальгия, однако!:)

[(Anonymous)]

Так сеть по Гуглу именно и должна быть устроена, как всемирный децентрализованный мэйнфрэйм. А по M$ - у каждого на столе по мэйнфрэйму. Да и вообще, HTML-формы, особенно в начальный период, крайне напоминали экранные формы блочных терминалов, таких, как IBM-3270 или IBM-5250. Так что не забыт КРАБ, не забыт. И VM вспоминают (то что в переводе с IBMовского на ЕСсовский выглядело как SVM и висло каждые 15 минут), чтобы абстрагировать ОС от железа

[strannik12.livejournal.com]

Просто для каждого компьютера будет свой круг задач. И управление каждым намного упрощается.

[zdoh-pod-jj.livejournal.com]

Работаю с компьютерами с 1983 года, в том числе с PC x86 - с 1987 года. За всё это время я существенно больше настрадался от антивирусов, чем от вирусов. Правда, вреда от них было немного больше (если вообще не больше), чем от порнухи у Таани, и я отдаю себе отчёт, что совсем без них было бы ещё хуже. Тем не менее, никогда не выбираю параноидальный режим. Как, впрочем, и сетевой промискуитет - Сеть не для этого создавалась.

[strannik12.livejournal.com]

Простите, а какие существенные проблемы и страдания от "параиноидального режима" (кроме некоторого потери времени, естессно)? Так я и говорю, что тут не надо крайностей - все хорошо в меру.

[zdoh-pod-jj.livejournal.com]

Вот именно, время!! Самый драгоценный ресурс! Ставишь какую-нибудь программу, установка идёт из-за антивируса значительно дольше, а затем в конце антивирусом же и обрывается. По долгу службы мне приходится это делать достаточно часто. Мои (очень примитивные) правила ТБ
- не раскрывать аттачментов
- не ходить по ссылкам из писем от незнакомых
- не пользоваться особенно "выдающимися" программами, типа MS Outlook
- не лезть на сайты, скажем, для людей из группы сетевого риска, типа пиратского софта. А если уж очень надо - не из-под виндов.
Впрочем, описываемый в треде вирус не побеждается вышеописанными методами, он чисто http-шный

[strannik12.livejournal.com]

>"а затем в конце антивирусом же и обрывается" - но это уже ЧП! Виноваты настройки антивируса, как мне кажется...

>"А если уж очень надо - не из-под виндов" - нет, почему, можно из-под виндов, но, как я выше написал - с другого компьютера (уровень безопасности на котором меньше, соответственно, там не проверяете почту, не совершаете вообще ничего такого критичного..). После рискованной операции можно вернуться к предварительно сохраненной контрольной точке... и т.п.

[strannik12.livejournal.com]

>"Впрочем, описываемый в треде вирус не побеждается вышеописанными методами, он чисто http-шный" - вот тут интересно, не могли бы Вы подробнее разъяснить, это поможет, я думаю, и Татиане и всем избежать подобных угроз.... Как этот вирус попадает, если "не лезть на сайты", ведь он же http-шный, как Вы сказали....