Дмитровский Форум V2

[Crank]

Второй раз подцепил порнобанер на домашний комп.Если первый дал поставить с флешки доктор веб и запустить его, то этот вообще ничего даёт.Подскажите средства борьбы и защиты, а то совсем уже беспредел в инете начинается

[InkvizitorZ]

Вот здесь погляди http://support.kaspersky.ru/viruses/sol ... =208638485

А вообще, советую поставить помимо винды любой линукс, например Убунту и лазить в инет ТОЛЬКО из под него.

Забудешь про вирусы, антивирусы и порнобаннеры )

[Loy]

грузишься с другой операционки или с загрузочного диска и поиском находишь EXEшники, созданные за пару дней до появления баннера, и удаляешь если не ты их создал )))
только не забудь в параметрах поиска поставить поиск скрытых файлов
винда грузиться будет... надо бы конечно за ним винду почистить, но можно и обойтись, для успокоения можно утилитки погонять или откат сделать
а линукс конечно гарантия от вирусов, да и вообще полезная вещь

[Tr@n$]

грузишься с другой операционки или с загрузочного диска и поиском находишь EXEшники, созданные за пару дней до появления баннера, и удаляешь если не ты их создал )))
только не забудь в параметрах поиска поставить поиск скрытых файлов
винда грузиться будет... надо бы конечно за ним винду почистить, но можно и обойтись, для успокоения можно утилитки погонять или откат сделать

Последний раз столкнулся 3 дня назад - не помогло. Пара порнокартинок на красном фоне, на номер 5121 сообщение с кодом которого нет в базах касперского и нода. Блокируется все кроме поля для ввода ответного кода. Загрузился со зверя - свежих ехешников нету . Короче плюнул слил данные и накатил новую винду.

[Loy]

а .COM .BAT .CMD .VBS пробовал искать?

[Crank]

Блокируется все кроме поля для ввода ответного кода.

Та же история.

Загрузился со зверя

Расшифровал бы что ли)
пс-Есть один положительный момент, что в этот раз девчонки куда более привлекательнее))

[Loy]

http://ru.wikipedia.org/wiki/LiveCD
находишь LiveCD по вкусу и грузишься с него, дальше ищешь исполняемые файлы на диске с установленной виндой, задав параметры даты создания и включив в поиск скрытые файлы, мне пока помогало...

[Crank]

В Дмитрове можно купить LiveCD?
Или скачать где-нибудь?

[Tr@n$]

а .COM .BAT .CMD .VBS пробовал искать?

ага...
в общем ради интереса я пошаманил пару часиков.

[InkvizitorZ]

Предлагаю обойтись без LiveCD.

Алгоритм:

1) Скачиваешь прогу, которая в удобном виде показывает, что у тебя в автозагрузке стоит. Скачиваешь, например, здесь. http://codestuff.obninsk.ru/StarterSetup.zip

2) После включения зараженного компа в самом начале загрузки (до загрузки винды) несколько раз жмешь F8. Вылезет меню вариантов загрузки.
Выбираешь "Загрузка в безопасном режиме".

3) После загрузки винды в безопасном режиме если порнобаннер не вылез, (Если вылез, то лечить его нужно другими методами) то ставишь стартер, запускаешь его, развочиваешь на полный экран, делаешь снимок экрана (жмешь клавишу PrintScreen), сохраняешь снимок экрана в файл и публикуешь в данной теме.

4) Дальше люди тебе подскажут, что удалить из автозагрузки.

[Digger]

Вопрос. Номер, на который смс бабловую слать надо - ведь одному из операторов принадлежит. Можно-ли определить, какому оператору принадлежит какой-нибудь 0501 например, чтоб оператор сам всю малину козлам этим перекрыл? Слышал краем уха просто, что кто-то определил, с какого оператора пришло это смс. Он обратился в его сервис-службу с жалобой. Оператор бесплатно выслал ему смс с кодом отключения этой шняги.

[Loy]

В Дмитрове можно купить LiveCD?
Или скачать где-нибудь?

на http://rutracker.org веди в поиске "LiveCD", там их куча
вот например http://rutracker.org/forum/viewtopic.php?t=3025835
торрентами умеешь пользоваться?

[Tr@n$]

Предлагаю обойтись без LiveCD.

Алгоритм:

1) Скачиваешь прогу, которая в удобном виде показывает, что у тебя в автозагрузке стоит. Скачиваешь, например, здесь. http://codestuff.obninsk.ru/StarterSetup.zip

это раньше можно было что то скачать и установить, теперь активно только окно для ввода кода

2) После включения зараженного компа в самом начале загрузки (до загрузки винды) несколько раз жмешь F8. Вылезет меню вариантов загрузки.
Выбираешь "Загрузка в безопасном режиме".

а там то же самое что и в обычном, только картинка на весь экран

[InkvizitorZ]

Предлагаю обойтись без LiveCD.

Алгоритм:

1) Скачиваешь прогу, которая в удобном виде показывает, что у тебя в автозагрузке стоит. Скачиваешь, например, здесь. http://codestuff.obninsk.ru/StarterSetup.zip

это раньше можно было что то скачать и установить, теперь активно только окно для ввода кода

2) После включения зараженного компа в самом начале загрузки (до загрузки винды) несколько раз жмешь F8. Вылезет меню вариантов загрузки.
Выбираешь "Загрузка в безопасном режиме".

а там то же самое что и в обычном, только картинка на весь экран

А можно поинтересоваться, пользователь в системе один? Или несколько, например, Администратор (Administrator) , User_Vasya
В таком случае есть шанс, что зловредная софтина стартует только под тем пользователем, под которым ее подцепили.
Соответственно, зайдя в систему в Safe Mode под другим есть шанс не увидеть порнобаннер.

Если зловредная софтина прописывается в автозагрузку под всеми пользователями, то тогда либо загрузка с Live CD, с последующим лечением, либо жесткий диск вставлять в комп с незараженной виндой, грузиться с нее и лечить.

А вообще, переходите на Линукс. А венду используйте для оффлайновых игрушек (хотя их куча есть и под Линуксом).

[Garikk]

Народ, не забывайте обновлять винду, флешплеер и Adobe Reader, и никогда не пользоваться IE

И соответственно не устанавливать разный левый софт. Тогда и порнобаннеров не будет. Эта дрянь-же через дыры в этих программах лезет. Флешплеер особенно подвержен.
Был у нас тут в конторе аудит ИТ безопасности, нам очень наглядно показали как ломается любой комп где не стоит хотябы ОДИН последний апдейт безопасности MS, и что бывает если открыть сайт с инфицированным флеш-баннером....знаете у меня волосы на голове зашевелились, учитывая что последние несколько недель мы только и делали что включали все самые жесткие настройки безопасности в винде, и убирали ненужные сервисы.

[Tr@n$]

Народ, не забывайте обновлять винду, флешплеер и Adobe Reader, и никогда не пользоваться IE

И соответственно не устанавливать разный левый софт. Тогда и порнобаннеров не будет. Эта дрянь-же через дыры в этих программах лезет. Флешплеер особенно подвержен.

+100

вчера притащили еще одного страдальца с вышеописанными мной симптомами, помучаю

[Digger]

Вот ещё из сети: "Набираете бесплатный номер оператора коротких номеров 8-800-100-73-37 и говорите ему про банер.Девушка сообщает Вам код который вводите в банер.После этого появится скорее всего ещё одна просьба об sms.Опять говорите оператору,она Вам сообщает новый код.Вводите его и всё.Комп работает.
Потом естественно почистите антивирусником.
Единственное неудобство в том,что как и всех операторов приходится долго ждать."

[Tr@n$]

так не все короткие номера принадлежат одному оператору...

[МегаVольт]

В легкую выдирал все баннеры кроме тех, что и в безопасном режиме грузятся. Сам никогда их не ловил. И запомните-никакой антивирус вам не поможет если руки растут не из того места=)
Советую ставить Anvir Task Manager+ Reg Organizer.

[Digger]

так не все короткие номера принадлежат одному оператору...

А можно ли определить, какому оператору принадлежит короткий номер? Ведь заражение порно и другими баннерами чужих компов и вымогательство денег за разблокировку - по сути наказуемые деяния. И теоретически, у тех операторов, с чьих коротких номеров разводят юзеров - должны быть проблемы с законом.

[Tr@n$]

можно, в интернете есть данные, надо только порыться.

[Garikk]

И теоретически, у тех операторов, с чьих коротких номеров разводят юзеров - должны быть проблемы с законом.

Теоретически, только практически они сдают номер в аренду. А Арендующий-его уже занимается противоправными деяниями. А арендующий обычно фирма-однодневка.

просто если следовать вашей логике, и повесить на операторов ответственность, то получится идиотский прецендент, по которому можно засудить магазин стройматериалов за то что топором купленным у них убили человека.

[tchikow]

А я эти баннеры при удалении себе в коллекцию собираю - уже больше десятка накопилось, а если приплюсовать загрузчики и установщики баннеров, то более трех десятков. Никакой антивирус против них не поможет. Слишком оперативно их изменяют. Пробовал отправлять их в несколько антивирусных компаний - дольше всех продержался McAfee - отвечал и присылал экстренные обновления для антивируса, но где-то после 58 файлов вариантов наверное подумали, что над ними издеваются и замолчали.
Есть методика для корпоративных сетей с блокированием запуска исполняемых файлов из всех временных папок, запрет добавления новых исполняемых файлов в ключевые папки Виндовс плюс запрет добавления служб и программ в автозапуск, но последнее уже писатели обошли и добавляют не в ветку CV\RUN\, а в \WinLogon\Userinit\ в итоге без первых двух ограничений получаем баннер и в защищенном режиме плюс он блокирует клавиатуру и мышь. Для удаления приходится грузится с LiveCD или с Hirens BootCD или чего-то подобного.
Но есть простейший способ не заражаться данной пакостью. Приносит ее на машину и устанавливает Ява модуль, внедренный на сайт (Sus/JavaRuHu-A или Exploit.Java.Agent) Их тоже антивирусы практически не ловят. Проверка модулей через ВирусТотал давала результат 1-5 из 41.
Достаточно в браузерах Опера - Инструменты-Быстрые настройки снять галку "Включить плагины", Файрфокс - Инструменты-Дополнения-Плагины отключить Яву и т.д. Кое-что отображаться не будет, но и порнобаннеры ловить перестанете.

[NEX]

где вы их цепляете? ума не приложу.

[Инкубус]

Народ, не забывайте обновлять винду, флешплеер и Adobe Reader, и никогда не пользоваться IE

И соответственно не устанавливать разный левый софт. Тогда и порнобаннеров не будет. Эта дрянь-же через дыры в этих программах лезет. Флешплеер особенно подвержен.

+100

вчера притащили еще одного страдальца с вышеописанными мной симптомами, помучаю

порнобанеры, это фигня, словил как-то вирус который хотел денег поиметь, качал "моделист конструктор", загрузился в безопасном режиме и почистил реестр. гемора конечно много, но винда цела.