Pull to refresh

Comments 139

UFO just landed and posted this here
Хм, сейчас погуглю что это такое…
UFO just landed and posted this here
Авторанеры — это не проблема :-)
UFO just landed and posted this here
Как минимум третий вариант решения проблемы. Правда, не совсем понятно как это работает.
UFO just landed and posted this here
UFO just landed and posted this here
«This hack tells Windows to treat AUTORUN.INF as if it were a configuration file from a pre-Windows 95 application. IniFileMapping is a key which tells Windows how to handle the .INI files which those applications typically used to store their configuration data (before the registry existed). In this case it says „whenever you have to handle a file called AUTORUN.INF don't use the values from the file. You'll find alternative values at HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist.“ And since that key, er, does not exist, it's as if AUTORUN.INF is completely empty, and so nothing autoruns, and nothing is added to the Explorer double-click action.»
отсюда э

Огромное Вам спасибо за подсказку насчет «MountPoints2». У меня раньше при попытке дабл кликом открыть примонтированный диск, вылетало какое-то сообщение о неправильной попытке установки. Никаких autorun.inf на диске небыло. Сейчас поискал в реестре, и на третьем шаге заметил, что только у этого диска в реестре есть параметр Autorun. Все потер и теперь замечательно открывается.
UFO just landed and posted this here
Не путайте классы программ :-) Cureit — полноценный антивирусный движок с базами, а AVZ — утилита для анализа системы, как я понял. Ну а ClamAv (если вы его имели в виду) по сравнению с вэбовским движком просто младенец.
UFO just landed and posted this here
ClamWin на движке ClamAV. У них качество детекта пока плоховато :-(
UFO just landed and posted this here
Тесты — ловля сверического коня в вакууме :-( Для тестирования — вирустотал и свежак, который реально встречается в природе.
UFO just landed and posted this here
Наше руководство так вообще решило выйти из участия в VB100.
UFO just landed and posted this here
UFO just landed and posted this here
Да CureIt вообще-то бесплатный… Другое дело что это средство для олднократной проверки.
UFO just landed and posted this here
Avz вспомнили, а ссылку дать забыли.

www.z-oleg.com/secur/avz/download.php

Если чуть подробнее, avz — инструмент для разностороннего анализа и администрирования системы, который чрезвычайно полезен опытным пользователям, но некоторые его возможности пригодятся и новичкам.

Что делать новичку с avz?

1. Скачать
2. Обновить базы (в меню «файл» есть соответствующий пункт)
3. Установить драйвер расширенного монитора процессов (меню AVZPM)
4. Закладка параметры поиска — Все включаем, все на максимум
5. Закладка «типы файлов» — отключаем проверку архивов (очень долго, а трояны в незашифрованных архивах почти не встречаются).
6. В «методике лечения» справа — выбираем что делать с найденной заразой на свой вкус. Мой вариант — удалять все (сомнительные он все равно не тронет).
7. Запускаем проверку.
8. Когда проверка закончится, нажимаем кнопку с очками справа окна. Он выдаст список обнаруженных подозрительных объектов. Их изучаем вручную или отправляем для тестирования по соответствующим адресам (см. главный пост).
9. Если удалить файл не удается, используем «файл->отложенное удаление файла.
10. После всего этого запускаем „файл->мастер поиска и устранения проблем“, выбираем „системные проблемы“ и „все проблемы“, потом „пуск“, ставим все галочки кроме „автообновления системы“ (это — по желанию) и внизу „исправить выбранные проблемы“.
11. „Файл-восстановление системы“, ставим все галочки, кроме тех, у которых написано „опасно“, и говорим „выполнить“.

Предупреждаю сразу — штука опасная, использовать с осторожностью, все подозрительное не удалять, т.к. на максимальном уровне эвристики часто бывают ложные срабатывания.

Если интересно, могу сделать отдельный пост, или даже серию постов, про более тонкие возможности avz (а их действительно много).
От себя добавлю: выполнять скрипты для AVZ — опсано! Они могут быть вовсе для других случаев, по аналогии действовать вредно :-)
сделайте, будет интересно
А я свою Флешку отформатнул в ntfs, создал там Autorun.inf (там мона прогу на запуск поставить), Total Commander'ом запретил изменение этого файла.

И теперь вставляя в зараженную машину флешка не заражается Autorun вирусами.
как именно стоит запрет на изменение? Просто ReadOnly в аттрибутах файла?
UFO just landed and posted this here
а проще сделать пробуй: (на любой фс) создаешь папочку autorun.inf, ставишь ей бит скрытности дабы глаза не мусолила и обо всяких авторанах забываешь навсегда.
Shift зажимаешь когда вставляешь флешку или диск, тогда отключается автозапуск. (Windows)
Вирус весит в памяти и всё равно засирает корень флешки, так что Shift спасёт на своей машине.
Статья интересная…
Вот интересно… Касперский тоже начнёт писать тут))?
Было бы интересно, конечно. Но у них уже есть свой блог :-)
последние пять лет работаю без антивируса, решил на днях ради интереса проверить Касперским, вирусов нет :) на самом деле антивирусы имхо нужны для домохозяек, а также для людей, много проводящим времени за порнушкой сомнительного качества.
От, скажем так, коммерческого вируса вас не спасет ни одни антивирь, ну а от остальных достаточно включать защиту от дурака и проблем не будет. Да и «коммерческие» вирусы пишутся далеке не для России и СНГ, а для несколько более развитых стран )
Ну не от всякой заразы можно еберечься… У каспера тоже есть недостатки, типа ложных срабатываний…
касперского я привел лишь в качестве примера
Чтобы отключить автозапуск, нужно в командной строке ввести gpedit.msc, далее зайти Политика «Локальный компьютер» -> Административные шаблоны -> Система -> Отключить автозапуск, выбрать вариант «Отключить автозапуск на ВСЕХ ДИСКОВОДАХ» и поставить свойство «Включен».

DrWeb не самый лучший антивирус, я раньше его использовал. Но после буйства одного особого опасного вируса поставил себе Kaspersky. CureIt — полезная программа, в первую очередь потому, что бесплатная и содержит свежие базы DrWeb.
Каспер тоже далеко не сахар: юзер шлет им чистый файл, который они находят, его там якобы «анализируют» и говорят да, это вирус который мы знаем. Ложные срабатывания на упакованных и модифицированных вручную файлах… Хватает у них проблем.
По крайней мере, судя по виденным мною тестам, Kaspersky находился в первой тройке, а DrWeb плелся где-то в конце. Для меня у Касперского один главный недостаток, с ним притормаживает даже мой неслабый комп.

Я лично сталкивался с 2 вирусами, на которые не реагировал DrWeb, но которые находил Касперский. Большего сказать не могу, потому что у меня было совсем немного вирусов. :)
Про тесты я тут уже кинул ссылку. А насчет того, что кто-то детектит, а кто-то нет — это всегда так будет. Я каждый день добавляю в базы детект для десятка файлов, которые каспер еще не детектит, и у них также…
Собственно, тесты тут не при чем… Если ваш антивирус не справляется со своей работой, но вы находите другой, который лечит вирусы успешнее, это естественная реакция — перейти на новый антивирус. Я пользовался DrWeb полгода, но против первого же попавшегося вируса он ничего не смог сделать. Так что, к DrWeb уже вряд ли когда-либо вернусь.
Ну сколько я видел тестов, там Каспера наоборот все опускают.
Вообще тестировщики Каспера не очень любят и порой предвзято относятся к нему.
Действительно, он тормозил раньше, но сейчас вроде как в новой версии побыстрей работает.
И вообще: антивирус — это хорошо, а антивирус и нормальная голова — лучше.
Нормальную голову ещё никто не отменял… :)

Да у меня старая версия Каспера (7.0.0.125), она тормозит (проц Core 2 Duo E6750), поэтому обычное состояние моего антивируса — отключенное. Включаю, только когда нужно какой-нибудь файл проверить с crack.am. :)
Раньше 3 года без антивируса как-то жил, но сейчас на всякий случай антивирь нужен… мало ли что
Ставь нового, он побыстрее малость…
Хотя у меня он тоже часто отрублен
Я думаю у пользователей хабра в основном вирусов нет, но вот бороться с вирусами им приходится часто, помогать друзьям, знакомым, так что статья полезная. +
Ну для этого, в общем, и писалось.
завуалировал, чертяка ))
Кто, интересно, первый напишет: «юзайте мак, и забудьте об этой херне» ;)
Линух. Но зараза есть везде, так что не панацея.
Живу без антивируса года 2 и никаких проблем. Из любопытства проверял недавно портативной версией, резульат — «чисто». Просто пользуюсь контентом из проверенных источников.
Если антивирус ничего не находит — не факт, что ничего и нет. Сколько Русток безнаказанно на компах жил, прежде чем его смогли найти…
Читал, антивирусы детектят щас примерно 30% от существующих вирусов.
Еще, говорят, не работать под Администратором очень помогает (правда, так же и очень затрахивает).
Цифры тут вообще не уместны, так как неизвестно общее количество заразы :-) А без админских прав — да, многое не работает.
юзайте линух (сори мак), и забудьте об этой херне
ну всЁ лучше чем не просто ноль )))
Важно отметить, что
— способ с удалением раздела MountPoints2 начинает работать после перезагрузки системы
— это нужно проделывать под каждым пользователем, или добавить bat-файл с нужными командами в автозагрузку всем пользователям
(не так изящно, зато надежно)
Нужно сделать набор файлов, который будет плодится как эти самые авторанеры, но при этом отключать автозапуск на компьютерах ;-)
Вопрос — есть системный файл, тот-же эксплорер. Допустим, его мы видим заражённым. И как его исправить, учитывая непонятки с установочным диском от M$?

Я искал на диске, который делал тузлой bart pe. Там есть многие системные файлы в конечном образе, но хочется алгоритм вытаскивания любого с установщика виндовс.
Прислать в антивирусные компании, чтобы там сделали процедуру лечения. У вас на системе могут стоять всякие там багфиксы, сервиспаки и прочее, так что explorer на диске и в системе — это могут две большие разницы. А действительно есть зараженный эксплорер? ;-)
Нету. XD Но зато есть небольшая коллекция вирков. На всякий случай… Выловлены с флешек и прочего добра.

А вообще удобно прослеживать жалкие попытки так, как говорит товарищ Billiard, но добавив к этому прогу CORE FORCE…
В реальной жизни все шораздо проще!

Ставим AnVir Task Manager, который предупредит нас о тех паразитах, которые прописались или захотят прописаться в «автозагрузку».

А для очистви совести периодически сканим систему AVZ4.

Живых вирусов не видел уже лет 5… ))

PS: Чуть не забыл. Надеюсь, что открывать левые письма со спамом и фишингом мы уже научились?!
Автозапуск приложений может быть осуществлен из сотни, наверное, мест. И сомневаюсь, что есть тулзина, которые их все мониторит. Например, AppInit_DLLs предлагаемое средство проверяет? Если какое-то средство спрашивает «разрешить/запретить», то самым слабым звеном будет человек. Так что я считаю это не лучшей идеей.
А чтоб не сомневаться, поставь и попробуй…
Утилитка маленькая, но очень полезная!

А человек? Куда ж его денешь?
Для этого существует элементарная компьютерная грамотность.
Без нее все равно ни один антивирусный вариант не даст 100-процентной гарантии.

За много лет я перепробовал на себе и пользователях практически все известные антивиручы и остановился на самом простом варианте, который имеет следующие преимуства:

1. Простота (не грузит систему всяким непотребством)
2. Дотупность (бесплатность и простота использования)
3. Результативность (хорошие результаты в течение длительного времени)
На Linux дома она не встанет, а на работе мне антивирусы и иже с ними будут только мешать, так что не выйдет.

Открою, кстати, тайну: 100% гарантии не даст ни один антивирус. Если только компьютер не будет выключен ;-)
Именно! Антивирусы только мешают работать…
Это ясно всем, кто разобрался хотя бы в общих принципах.
А про гарантии — какая ж это тайна? Констатация факта и не боле того.
Реклама — это хорошо. Но вот почему ваш антивирус до сих пор не умеет лечить экзешники, зараженные примитивной Neshta.a — для меня загадка.
Извините за оффтопик.
Хм… А вот давайте на форум, создавайте тему про Нешту. Есть у меня смутные подозрения, что это как раз случай леченых файлов, на которые некоторые антивирусы (уж непонятно почему) реагируют как на вирусы. Я тут на днях такой вот Win.CIH видел. Вылеченный файл, разве что кусок вируса внутри, но он не активен. А остальные антивирусы ругаются…
Ок, напишу счас абузу :)
Но если нет такого «зараженного» файла, конструктивного разговора не будет, без файлов мы ничего сделать не можем.
А я не говорил, что он «зараженный». Он криво вылечен. Счас ребутнусь в винду, поищу зараженный экземпляр и попробую вылечить. В общем, скоро отпишусь. Спасибо за участие.
Давайте на форум. И сделайте где-нибудь копию исходного файла, а то будет сложно без него.
Слава Джобсу. Читаю и еще сильнее люблю свой мак.
Уязвимости и косяки есть везде, панацея — выключенный компьютер.
… завёрнутый в бинты и смазанный эпоксидной смолой
Джобс тут ни при чем, благодарите создателей UNIX
А кто ж мак не любит? Хорошая трава (ой, компьютер). Я Макинтоши тоже люблю, но считаю упоминание здесь о них (и о линухах) неуместным. Это всеравно что в теме про автомобили, говорить что велик лучше, ибо бензина на него не надо, права не нужны и т.п.
Если бы в названии или хотя бы тексте статьи было указано, что речь идет о Windows — тогда конечно. А не прочтя статью, вовсе не очевидно, что речь идет именно об автомобилях.
спасибо за инфу… полезно

хотя ни троянов ни вирусов давно не видел… только на работе сотрудники ловят…
на винде у меня стоит связка Stop!, SpywareTerminator, Comodo BoClean
ну а мак с eeepc на никсах… там проблем нет
Кстати CureIt сказал, что мой антивирь является вирусом… это как?
Давайте на форуме нашем обсудим?
а что с вирусом в файле printer.exe на флешке?
Старая известная зараза. Мы посмотрели, не видно там кода, чтобы флэшку лочить. Нужно ее разлочить, п ротом повторить заражение. А вот с разлочкой пока проблемы…
вобщем тебе ещё одну приносить надо :) свежезаражённую так сказать, без попыток вылечить :)
Хорошо пропиарил свой drWeb, но для полноты картины надо было бы и на других конкурентов ссылки дать — у всех есть бесплатные аналоги :)
И для надежности лучше всеми сканерами прогнать.
Вот например ссылка на онлайновый сканер от F-Secure: support.f-secure.com/enu/home/ols.shtml
А тут есть куча бесплатных программ для удаления частовстречающихся вирусов: www.f-secure.com/download-purchase/tools.shtml
конкурентов нужно знать :)
написал у вас на форуме…
тишина…
Это у меня сетка по непонятной причине минут на 5 вылетела :-(
Кстати, почему не кто не пишет про защиту от Comodo? Раньше да, были проблемы… даже винду переставлял… сейчас очень хорошо работает и, главное, все бесплатно
Ставил я её, какая-то она недоработанная.
ну пиши не пиши — вопрос удобства…
странно просто, что никто не пробует…

www.comodo.com/products/free_products.html
есть AntiVirus, Firewall, Anti-Malware и еще много чего…
постоянно обновляется, выходят новые версии…
если верить софтпедии очень хорош, но не идеален правда
www.softpedia.com/get/Antivirus/Comodo-AntiVirus.shtml

CureIt! кстати в софтпедии набрал меньше голосов, не в обиду :)
Читал в каком-то тесте буквально следующее: «такие экзотические продукты как DrWeb». У них там зарубежом совершенно другой софт имеет распространение. И китай — тоже отдельный разговор. Не пробуют — потому что не знают.
я же не спорю :) просто говорю об альтернативе

кстати, сейчас очень модно выдавать вирусы за антивирусы :)
много читал про это…
А я, блин, всю эту шайку вижу почти каждый день :-( Надо сказать спасибо коллегам — они существенно сократили количество недетектируемых файлов с этими ложными антивирусами.
кстати, было бы интересно список увидеть не антивирусов… есть такое?
Слишком большой список будет. Я как-то начал составлять, но там чуть ли не 10 названий за 3-4 дня получилось…
скиньте, если не жалко… а то люблю эксперименты ставить… мало ли :)
ну ессно ставить их не буду :)
вроде ничего знакомого не встретил :)
значит не ставил…

хотя как можно непроверенное ставить?
я сначала кучу форумов изучаю, потом только пробую
но так и не могу остановиться… все равно в поиске :)

хотя и Stop! радует — не напрягает систему, все время обновляется… ни разу не глючил…
Да, гугление по их названиям сразу дает понять, что они левые. Но у них стратегия распространения интересная: вылезает окно «Вы заражены, скачать защиту тут». И еще довольно интересная особенность у людей есть: если какой-то антивирус находит вирусы, там где другие не находят — он лучше.
это да… так ламерье и цепляет вирусы с троянами
Столько шума, столько человеческого труда создателей антивирусов, столько заработанных на этом денег, столько разочарований пользователей, столько портаченного людьми времени…
И все это по большей части из-за уязвимости продукта известных разработчиков. Такова жизнь?
Есть и другой путь!
Подавляющее большинство современной заразы использует дыру не в том самом продукте, а в пользователе. Программисты пишут программы, которые нормально работают только под админом, юзер из-за этого под админом и сидит. Вот и вся дыра :-)
UFO just landed and posted this here
Кстати забыли упомянуть о ручных средствах: Autoruns, Process Explorer («мега-продвинутый» диспетчер задач), Process Monitor (FileMon, RegMon). Скачать можно на http://technet.microsoft.com/en-us/sysinternals/default.aspx.
Находить и прибивать мелкую вирусню с помощью этих софтин проще простого.
А, точно, Process Explorer забыл… :-( Есть еще тулзина, которая по окну PID и имя файла породившего процесс выдает.
В Windows XP в комплекте идет программа tasklist. Тоже полезная вещь.
>которая по окну PID и имя файла породившего процесс выдает.
Через нее можна сделать например так: tasklist /FI «WINDOWTITLE eq Opera» /V
Через Process Explorer это делается через иконку с изображением цели.

UFO just landed and posted this here
О, а вот и альтернативно-одаренные набежали…
Для ручного убивания «заразы» очень помогает ProcessExplorerNT и Unlocker
главное не убить ничего лишнего
на моём опыте было убийство VirtuMonde — такой скажем поп-апер Not.A.Virus
первый раз с последствиями — убил себе winlogon
второй раз обошлось бсодом при перезагрузке после удаления, благо есть бекап :)))
Да, виртумоды — дрянь редкостная :-(
Лучше все таки использовать антивирус, чем ковыряться потом черт знает где :)
не всегда в даже самых новых базах есть новые тела руткитов, адварей и иже с ними, даже антивирус в связке с фаерволом и антишпионским ПО не даёт 100% гарантии :)
А я бы все таки рекомендовал для начала использовать AVZ вкупе с HiJack + обыкновенный таск менеджер, паралелльно с хорошим антивирусом, рекомендую юзать Avira… Сам в свое время писал кратенькую стетейку :-)
> За исключением довольно редких случаев, вирусы и трояны должны быть представлены в виде файла, поэтому ловля заразы — это ловля файла.

Автор ошибается. Сильно ошибается.
Автор имеет статистику: из нескольких сотен (если не тысяч уже) образцов заразы, прошедших через мои руки, только 1 (один) образец был загрузочным вирусом и тем самым был не в файле.

Мимо меня, возможно, проходит какой-то большой пласт не_файловых вирусов и троянов, поэтому хотелось бы примеров от вас.
А, есть довольно редкие трояны, которые скачивают файл и запускают его без сохранения на диск. А также бэкдоры, которые исполняемый код получают и выполняют без сохранения. Но это — единичные случаи.
А у меня самый лучший антивирус — Убунту =)
Могу предложить одну «одминскую» методику защиты Windows, которую я обычно применяю на машинах, на которые приносят всякие левые файлы (например, в типографиях/фотосалонах тачка, в которую тыкают все клиентские флэшки с фотками на печать). Может и для Интернета пригодиться. Одно важное НО: пользователь машины должен знать о такой настройке, обдумать свои ограничения хорошенько и полностью принять их, в противном случае беда будет хуже чем с вирусами (т.к. злодеем теперь окажется доброхот-админ).

Всё просто. В групповых политиках Windows запрещаем запуск исполняемых модулей из всех локаций, которые могут соответствовать смонтированным флэшкам. Теперь пока сам что-то на жесткий диск не скопируешь, не сможешь запустить даже намеренно.

Можно также обрубить запуск программ из Temporary Internet Files.

Да, еще одно ограничение получается — винда вроде должна быть XP Pro, щас не помню точно.
И еще, жду-не дождусь, когда лечилки от конкретного червя будут распространяться через ту же уязвимость и тем же методом, что и сам червь. И уязвимость за собой закрывать.
Делать что-то без ведома пользователей — зло!
позабавило:
«
Еще типовой вариант проявления заразы: вы по неизвестной причине используете IE и в нем начинает появляться всякая левая реклама, панели, кнопки…
»
А я вот например IE не ползуюсь, просто однажды в FF перестали грузится некоторые сайты, сначало подумал, что баг, а потом как-то случайно открыл IE, и о чудо! Сколько новых тулбаров, да и Избранное само закладками пополнилось. Я бы сказал, что проверять IE если есть подозрения на вирусы нужно, но отключившись от интернета.
Only those users with full accounts are able to leave comments. Log in, please.