forum.boolean.name

forum.boolean.name (http://forum.boolean.name/index.php)
-   Болтовня (http://forum.boolean.name/forumdisplay.php?f=25)
-   -   Словил баннер (http://forum.boolean.name/showthread.php?t=18198)

MadMedic 20.05.2013 18:53
Словил баннер
 
Вложений: 1
Шарясь на просторах сети в опере на вин7 словил баннер-блокировщик. Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение что приложение Java изолировано от сети и передо мной осталась висеть картинка рабочего стола, а над ней собственно баннер примерно следующего вида и содержания. Будучи человеком несколько осведомленным, с мобильника залез на сайты доктора вэба и кашперского, но на мой введенный номер (79170195098 ) они сказали что кода разблокировки нету. Я несколько приуныл и решил потыкать ручками. На нажатие Win+L система блокировалась, а потом вновь являлся баннер, перезагружаться в сейф моде было лень. На нажатие Ctrl+Shift+Esc на мнгновенье открывался диспетчер задач, после чего исчезал.
Зажал Ctrl+Shift+Esc секунд на десять, баннер завис, а диспетчер задач остался. Процесс назывался 120032691.exe. После его убийства и запуска explorer.exe все вернулось на свои места. Единственным следом, оставленным в системе явилась строчка в автозапуске c:\users\boss\appdata\local\temp\120032691.exe.
DrWeb CureIt больше ничего не нашел.
Такие дела..

den 20.05.2013 19:05
Ответ: Словил баннер
 
Если это рабочий номер хозяина вируса, то создай несколько объявлений на авито и укажи там этот номер ^_^

ingko 20.05.2013 19:25
Ответ: Словил баннер
 
Цитата:
Сообщение от MadMedic (Сообщение 259661)
Шарясь на просторах сети в опере на вин7 словил баннер-блокировщик. Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение что приложение Java изолировано от сети и передо мной осталась висеть картинка рабочего стола, а над ней собственно баннер примерно следующего вида и содержания. Будучи человеком несколько осведомленным, с мобильника залез на сайты доктора вэба и кашперского, но на мой введенный номер (79170195098 ) они сказали что кода разблокировки нету. Я несколько приуныл и решил потыкать ручками. На нажатие Win+L система блокировалась, а потом вновь являлся баннер, перезагружаться в сейф моде было лень. На нажатие Ctrl+Shift+Esc на мнгновенье открывался диспетчер задач, после чего исчезал.
Зажал Ctrl+Shift+Esc секунд на десять, баннер завис, а диспетчер задач остался. Процесс назывался 120032691.exe. После его убийства и запуска explorer.exe все вернулось на свои места. Единственным следом, оставленным в системе явилась строчка в автозапуске c:\users\boss\appdata\local\temp\120032691.exe.
DrWeb CureIt больше ничего не нашел.
Такие дела..
Ну, да... Обычно они еще могут заражать собой Explorer.exe, но, думаю, в Семерке это не такое простое дело...

SBJoker 20.05.2013 19:41
Ответ: Словил баннер
 
Если сидеть под админом да с выключенным UAC то всё что угодно.

ABTOMAT 20.05.2013 23:38
Ответ: Словил баннер
 
Цитата:
Сообщение от MadMedic (Сообщение 259661)
Avira совершенно никак не отрегировала, Comodo firewall выдал сообщение...
...а UAC ты естественно выключил сразу после установки Винды
Грузись теперь в safe mode и вилкой чисти, других способов пока особо не придумали.


St_AnGer 21.05.2013 00:36
Ответ: Словил баннер
 
Безопасный режим с поддержкой командной строки тебя спасёт. ТАм запустишь explorer (ну или если по православному - прям из cmd и почистишь все лишнии файлы). Сноси/чисти папку Temp в пользователе своём, проверяй Program Files и ProgramData на наличие подозретильных папок (с именами VTrusah, Mazilla, Opira и т.д.) и сноси всё лишнее. В реестре надо поправить ключ запуска explorer.exe, точно не помню где находится, но при наличии интернета нагуглить не трудно.

Nex 21.05.2013 05:02
Ответ: Словил баннер
 
Практически все баннеры можно убить через диспетчер, главное настойчиво долбить по трем святым клавишам и пытаться успеть убить процесс прежде чем закроется диспетчер. :-D
Есть еще один вариант. Если на компе имеется второй пользователь, то можно "сменить пользователя", зайти под другим пользователем и через диспетчер убить процесс.

ARA 21.05.2013 05:51
Ответ: Словил баннер
 
Не гарантирую что нижеприведённый сайт тоже не лохотрон :D
http://virusclose.ru/key/number/9170195098
Возможно подойдут коды:
1. 936406
2. 847832
3. 963442
4. 808384
5. 846871
6. 830325

ingko 21.05.2013 13:23
Ответ: Словил баннер
 
Цитата:
Сообщение от SBJoker (Сообщение 259667)
Если сидеть под админом да с выключенным UAC то всё что угодно.
Нет, я про xp говорил... А все UAC-и обходятся на раз, если заразить системный процесс.

Nex 21.05.2013 13:30
Ответ: Словил баннер
 
Цитата:
Сообщение от ingko (Сообщение 259714)
Нет, я про xp говорил... А все UAC-и обходятся на раз, если заразить системный процесс.
Что бы заразить системный процесс надо обойти uac..

Dream 21.05.2013 14:38
Ответ: Словил баннер
 
а я на днях поймал гдето троян. Сидел себе никого не трогал. запустил IE9 зашел на почту. зыкрываю эксплорер. тут бац - выскакивает сообщение типа изменения в msconfig - "Перегрузить?". ну я быстренько нажал отмена, открыл конфиг увидел в автозапуске какойто непонятный файл в Roming. зашел удалил его. и всё ок. UAC включен

DStalk 21.05.2013 15:30
Ответ: Словил баннер
 
На правах холиварчика: :)
Виндопроблемы-виндопроблемушки

ingko 21.05.2013 21:10
Ответ: Словил баннер
 
Цитата:
Сообщение от Nex (Сообщение 259717)
Что бы заразить системный процесс надо обойти uac..
Не обязательно совсем

jimon 22.05.2013 04:58
Ответ: Словил баннер
 
Цитата:
Сообщение от ingko (Сообщение 259747)
Не обязательно совсем
расскажи нам как ты ломал пентагон и почту гейтца

impersonalis 22.05.2013 11:43
Ответ: Словил баннер
 
Быть может ingko намекает на уязвимости вроде переполнения буфера, позволяющие выполнить некий шелл-код? Да - UAC обходить не надо (например известнейший kido активно юзал уязвимость в доверенном процессе svchost), но:
1) формально это не заражение
2) такие ошибки долго не живут и исправляются обновлениями ОС

Так что, присоединюсь к ДядеДиме

ingko 22.05.2013 15:56
Ответ: Словил баннер
 
Цитата:
Сообщение от impersonalis (Сообщение 259788)
Быть может ingko намекает на уязвимости вроде переполнения буфера, позволяющие выполнить некий шелл-код? Да - UAC обходить не надо (например известнейший kido активно юзал уязвимость в доверенном процессе svchost), но:
1) формально это не заражение
2) такие ошибки долго не живут и исправляются обновлениями ОС

Так что, присоединюсь к ДядеДиме
Что значит долго не живут? Майкрософт, как правило реагирует (выпускает заплатки) на дыры через 2 недели, после обнаружения. Так что времени, вполне достаточно.

Потом, сколько у нас всяких пиратских сборок, сколько кряков поверки подлинности, которые надо запускать в безопасном режиме и исключительно от рута. Какой там UAC поможет??? :rolleyes:

ABTOMAT 23.05.2013 09:55
Ответ: Словил баннер
 
Цитата:
Сообщение от ingko (Сообщение 259801)
Потом, сколько у нас всяких пиратских сборок, сколько кряков поверки подлинности, которые надо запускать в безопасном режиме и исключительно от рута. Какой там UAC поможет??? :rolleyes:
Кто юзает пиратские сборки — сам себе дуралей.
Насчёт кряков — вполне можно допустить использование "проверенного" (поюзаного миллионами людей) кряка, чаще всего их на всю винду несколько штук, таким образом можно свести наличие вируса в кряке к минимуму.

ingko 23.05.2013 13:45
Ответ: Словил баннер
 
Цитата:
Сообщение от ABTOMAT (Сообщение 259841)
Кто юзает пиратские сборки — сам себе дуралей.
Насчёт кряков — вполне можно допустить использование "проверенного" (поюзаного миллионами людей) кряка, чаще всего их на всю винду несколько штук, таким образом можно свести наличие вируса в кряке к минимуму.
Ти серьезно сейчас? :-D Возьми любой кряк или кейген и пропусти его через Virustotal... Уйму интересной информации получишь. :-)

h1dd3n 23.05.2013 18:30
Ответ: Словил баннер
 
what?
crack заменой файла выдаст ровно столько же на вирустотале сколько и оригинал.
кейген вообще ничего выдавать не должен.
патчеры в которые патчат в памяти могут агрить на себя вирустотал, но там будет что-то вроде MEMORYPATCHER_OMG_NONONO_SHITSHITSHIT а на деле это не опасно.

ABTOMAT 23.05.2013 19:34
Ответ: Словил баннер
 
Цитата:
Сообщение от ingko (Сообщение 259843)
Ти серьезно сейчас? :-D Возьми любой кряк или кейген и пропусти его через Virustotal... Уйму интересной информации получишь. :-)
Ты хочешь послушать мой рассказ? Ну, держи:

Делал это в ту пору, когда искал годный кряк. Хорошо, взял свой любимый кряк для Винды 7:

https://www.virustotal.com/ru/file/8...097d/analysis/

Мнения антивирусов разделились. Показатель выявления: 15 / 45 — как-то жиденько. Начнём с того, что понятие "вредоносная программа" весьма неопределённо. Кто-то считает, что это такая программа, которая вредит юзеру, а кто-то — что та, которая мешает корпорациям извлекать сверхдоходы. Microsoft, естественно, считает угрозой, ну, оно и понятно: кряки угрожают их деньгам, тут выявлением угроз и не пахнет. За ним ещё несколько антивирусов обругали. Причём антивирус "Sophos" так и назвал его: "RemoveWAT", непонятно, где тут вредоносность, ведь это как раз то зачем я пришёл. Вообще мне так думается, что многие антивирусные компании заносят в "чёрный список" абсолютно все кряки, даже не разбираясь, это очень удобно: автор не взбугуртит, так как программа сама по себе незаконная, во-вторых разбираться долго не надо: крякает — заноси в список, в-третьих, есть такое мнение, что авторы антивирусов имеют денег с авторов софта, к которому прилагается этот кряк.

Ну, ладно, смотрим мнение более авторитетных антивирусов:

Comodo — ОК
DrWeb — ОК
Panda — OK
Kaspersky — ОК

Голосование юзеров тоже в пользу кряка.
Далее — проверим "Авастом" свежеустановленную "Семёрку" с этим кряком. ОК, я этого сейчас не делал, но делал это около года назад, можете мне поверить, можете сами повторить, если не верите. Так вот, антивирус, материвший этот кряк, совершенно ничего не нашёл на кряченной системе (что является основанием для недоверия к нему как к антивирусу, кстати).

За более чем 2 года на трёх компах с Вин 7 с тем кряком не было ни одного заражения. Олсо, антивирусы не использую в принципе. Включённый UAC + постоянно обновляемый софт + прямые руки = безопасность, стремящаяся к 100%. Раз в полгода системы проверялись свежим CureIT "на всякий".

Вообще говоря я считаю антивирусы как класс — шарлатанскими программами. Судите сами, антивирусы:

1. Требуют постоянно денег за свою работу (за редким исключением)
2. Результата не гарантируют (идите и почитайте EULA любого антивируса, если не верите), т.е. в случае заражения при обновлённых базах вам лишь скажут: "Бывает..."
3. Сами решают, что считать вредоносным, а что нет на основании ими же выработанных критериев, проверить достоверность которых тоже невозможно. Кроме того явные угрозы могут просто-напросто игнорировать, например, из-за их малой распространённости (например, они существуют только в отдельно взятом университете). За примером далеко ходить не надо.

В этом свете недавний антивирус Бабушкина "Иммунитет" — вполне себе хороший антивирус. Денег требует исправно, видимость деятельности создаёт, безопасность не гарантирует — всё как у "взрослых" !

Вообще когда людям говорю, что сижу без антивируса, на меня смотрят как на дурачка и говорят: ну, как же? Те же люди с удовольствием отключают UAC. Почему-то в общественном сознании прочно закрепилось несколько мифов, не знаю, как их оттуда выковырять теперь:

1. Кругом и всюду вирусы.
2. Винда вирусами кишит, а на Линуксе и особенно на Маке их нет совсем.
3. Антивирус — панацея от вирусов.
4. UAC предназначен исключительно чтобы докучать юзеру, кидать окошки, требовать пароль админа и вообще нинужен.

А если посмотреть на *.nix'ы, то мы увидим корень явления: в никсах с бородатых времён действует система разграничения полномочий юзеров, вледствие чего любая программа имеет ровно столько прав, сколько ей необходимо. Поэтому даже в случае выполнения бинарного кода через переполнение буфера такой вредоносный код сделать ничего не сможет, что выходит за рамки прав заражённой программы. То есть по сути *.nix-систему невозможно заразить через браузер, через почтовик, через IM-клиент. Отсюда и имеем отсутствие необходимости сидеть с резидентным антивирусом в никсах (к коим относятся системы на ядре GNU/Linux и MacOS). И вот с выходом Висты такая же система (вообще-то, ещё в NT, но "в массы" пошла именно с Висты) была представлена и на Винде. Вот она, благодать! Ах нет, все плюются. В том числе UAC был обосран и Яблофагами с Линуксоидами, у которых всё это есть уже с давних пор. И если уровень компетенции первых понятен, то вторые либо толсто троллят, либо, видимо, тоже не знают матчасти.

Так что отключать UAC, включая антивирус — это многое говорит о человеке.


Такие вот дела.

ingko 23.05.2013 19:50
Ответ: Словил баннер
 
Господи, чем вам Windows Loader плох? :-D Virustotal, кстати, на его счет молчит ;)

ABTOMAT 23.05.2013 19:54
Ответ: Словил баннер
 
Не знаю, чем плох, я вообще сижу на лицензионной Windows 8 (не шутки). Ты сказал "возьми любой кряк" и я взял...

ingko 23.05.2013 20:40
Ответ: Словил баннер
 
Цитата:
Сообщение от ABTOMAT (Сообщение 259868)
Не знаю, чем плох, я вообще сижу на лицензионной Windows 8 (не шутки). Ты сказал "возьми любой кряк" и я взял...
То-то и оно... :) 99 % с троянами.


Часовой пояс GMT +4, время: 08:48.

vBulletin® Version 3.6.5.
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot