Вирус
 

Друзья, нужна ваша помощь.
Сегодня зашел в интернет - и обнаружил, что на компьютере завелся вирус. Антивирусная программа Касперского виснет и не хочет включаться. В качестве стартовой страницы обнаружился сюрприз - открывается какой-то мерзкий порнографический форум. Он же добавился в избранное.
Никаких сомнительных программ я не запускал, писем не получал...
Загрузил программку Red Organizer, она нашла неск. подозрительных файлов за сегодняшнее число. Не без труда, но я их стер, кроме одной (размером 0 байт, никак не стирается). Но Касперский так и не включился, значит - что-то не так.
Помогите пожалуйста, что делать? Мерзкое ощущение, кроме того не знаю, безопасно ли пользоваться почтовым ящиком, форумом где я зарегистрирован и т.д.

Вирус
 

Не факт, что вирус. А трояна мог подцепить вполне. Я бы что сделал.

1. Стереть всё лишнее из "избранного"
2. Вернуть на место нужную стартовую страницу, просто руками в настройках.
3. Снести нафиг касперского
4. Сходить на www.drweb.ru и взять там нормальный антивирус. Поставить, провериться.
5. Сходить на www.zonelabs.com и взять там файрвол (ZoneAlarm просто, поскольку plus и pro версии потребуют денег). Ставишь и смотришь, какие программы с твоего компьютера желают до интернета прогуляться. Думаю, узнаешь много нового. :)
6. Сходить на www.lavasoftusa.com и взять там AdAware. Запускаешь, смотришь, сколько шпионских модулей наловил. Может, и немного, но в любом случае не помешает.

Ну и дальше по ситуации.

Вирус
 

Jacky
ты считаешь, что доктор Веб лучше Касперского? Плиз, объясни (те) мне популярно, какой лучше и почему, потому что у меня вот недавно тоже была неприятная ситуация с вирусами, и теперь последний доктор Веб с _новейшими_ базами (чуть ли не за позавчерашнее число) говорит, что все нормально, а я точно знаю, что где-то какой-то виряк сидит. Но Веб его, очевидно, не находит, а сносить и ставить другой антивирус спонтанно неохота. Тем более что вирус безвредный -- периодически пытается записать себя любимого на дискету и всё.

Вирус
 

heilig
Во-первых, ДрВеб существенно меньше тормозит, чем последние версии Касперского. Он лучше обновляется (Касперский просто достал постоянной перегруженностью серверов обновления, а если не ставить центр управления, чтобы хоть немного уменьшить тормоза, то еще и после каждого "сервер недоступен" приходится вручную жать ОК -- что бесит. И наконец, насколько я помню, на нескольких последних тестах VirusBulletin веб показал лучшие результаты.

Новейшие базы -- это сегодняшние + "горячее обновление". Кстати, версия ядра какая? 4.31b?

В чем это выражается? Ты документы (например, вордовские тексты) не открывала прямо с дискеты? В этом случае ярлыки копируются в Пуск -- Документы и естественно, когда система лезет обновить список (ну вот хочется ей так) -- конечно, идет обращение к дисководу. Почисти этот список и посмотри, будет ли продолжаться эта фигня. Или просто вставь дискету в дисковод, дай "вирусу" записать все, что он хочет и посмотри, какие файлы создадутся. И пошли их в саппорт ДрВеба с припиской "я думаю, это вирус, но веб его не обнаруживает, симптомы такие-то" -- сделаешь доброе дело, причем скорее всего они тебе еще и ответят, вирус это или не вирус.

Вирус
 

Jacky
да, 4.31b. А что такое "горячее обновление"? Я его там не нашла.

я -- нет, не открывала, но я на всякий случай все поудаляла из Пуска, посмотрим :)


А вообще ситуация получилась интересная, сейчас я вам опишу, а вы мне скажите -- это правда так могло быть или это была какая-то разводка РОЛа.

В общем, 15 числа днем я спокойно заходила со своего основного аккаунта, и все было нормально. Потом я ушла. Вернувшись через несколько часов, я уже с этого аккаунта зайти не могла. Просто не пускали меня и все, даже в личный кабинет -- посмотреть, в чем дело-то, безо всяких объяснений. Я подумала, что может быть, это опять какой-то роловский глюк и остаток дня пользовалась другим аккуантом, с которого заходила спокойно. Потом ночью я чего-то разозлилась, и решила все-таки позвонить в суппорт. Молодой человек уточнил, с какого номера я подключаюсь и могло ли быть подключение с другого номера. Когда я ему сказала, что с другого номера согласованных со мной подключений быть не могло, он мне сообщил, что, оказывается, при подключении с моего домашнего номера была засечена попытка несанкционированного сканирования портов (их, как я поняла), и поэтому они заблокировали все подключения _с_этого_номера. И задал глупый вопрос -- как я могу это объяснить. Получив очевидный ответ, милостиво согласился на то, что такую фигню мог проделать какой-то вирус. И предложил мне следующее: они открывают мне ограниченный доступ -- на их сайт и на сайт Касперского. Я должна скачать с их сайта антивирус Касперского, ключ к нему (за который они просят 1$), потом с сайта Касперского обновления, просканить комп, записать все обнаруженные вирусы, после чего позвонить им и сообщить названия. И если они посчитают, что эти вирусы могли им просканировать порты, то они мне открывают полный доступ. Говорю им, у меня, мол, не Касперский, они мне отвечают, что их это мало волнует, и они работают только с Касперским. Ну думаю, подождем тратить время на диалапе и доллары :), откуда они узнают, чем я сканировала и насколько свежие у меня базы :) Короче, просканировала своим доктором Вебом с достаточно старыми базами. Нашла двух виряков в разных местах. Один -- троян. Второй -- Win32.HLLW.Goalweb.2. Позвонила им, молодой человек полчаса никак не мог понять, что же второй за вирус, но в итоге сказал, что доступ открыл. Снова пытаюсь подключиться -- снова не пускают. Пытаюсь раз десять -- с тем же результатом. Снова звоню в суппорт, попадаю на этого же парня. Он меня уверяет, что фильтр снят, а потом, посмотрев попытки подключений, говорит, что я ошибаюсь в пароле и шустренько предлагает его поменять. Ну ладно, поменяли. Дальше все было нормально.
Что осталось за гранью моего понимания в этой истории:
1. Зачем он уточнял, могли ли быть подключения с другого номера, если сканирование портов они засекли с моего?
2. Если они, по их словам, запретили все подключения с моего домашнего номера, то почему я без проблем заходила под другим логином и паролем с этого же номера?
3. Почему, если это был вирус, он при подключении с другим логином и паролем никуда не лез и ничего не сканировал?
4. Потом я залезла на viruslist, посмотрела, что это за вирусы были. Ни про тот, ни про другой не было сказано, что они могут сами куда-то лезть и что-то сканировать. Почему тогда они мне доступ открыли, если эти вирусы такого сделать не могли?
5. Я с этим паролем уже около двух месяцев сидела. И каждый день несколько раз набирала его вручную, ибо никогда нигде галки "сохранять пароль" не ставлю, -- и не ошибалась. А тут десять попыток -- и все с ошибкой? Фигня какая-то. Кроме того, если ошибаешься с паролем, то обычно они советуют сначала попробовать еще раз, внимательнее, а тут он мне лихо сразу менять его решил.

Ну и что вы думаете по этому поводу?

Вирус
 

А что такое троян и чем он отличается от вируса?

Вирус
 

heilig
База с именем drwtoday.vdb и датированная, как правило, текущим числом. Потом все это входит в регулярные базы типа drw43110.vdb

Так, теоретически -- всё может быть. В любом случае для тебя положительный момент тот, что выловила пару вирей и обновила антивирь. НО я чувствую, судя по описанию ситуации, что файрвол ты так и не поставила (или не настроила). А зря.

Philosof
В общем случае вирус пытается что-нибудь испортить (стереть файлы, форматнуть винт), а троян крадет разную информацию (пароли) и отправляет хозяину.

Вирус
 

Jacky
и как ее получить? Просто нажать "Обновление"?

не складываются у меня с ним отношения. Три раза ставила, три раза сносила -- не работает, а как настраивать -- я не понимаю, а разбираться негде -- на ру-борд меня то пускают, то не пускают, регистрироваться там по десять раз уж надоело и вообще... :(

Вирус
 

heilig
Если у тебя есть лицензионный ключ -- то да. Все установленные базы можно просмотреть в окошке "о программе". Правый клик мышкой на паучке в трее (если, конечно, висит резидентный spider guard) и в меню выбрать "О программе". На текущий момент у тебя должны быть установлены основная база, обновления 1-12 и today. Если нет ключа, обновление работать не будет. В этом случае велкам на фтп, забираешь нужные базы и руками распаковываешь в ту папку, где у тебя установлен дрвеб, начиная с самых старых.
ftp://ftp.dialognauka.ru/dsav/russian/add-on/

Небось тоже там им порты сканируешь?
Поставь попробуй zonealarm, его особо настраивать не нужно, только на закладке firewall передвинь бегунки (если это не так по умолчанию) в положение high. Ну, а дальше просто смотри на сообщения и разрешай/запрещай доступ программам в интернет в зависимости, что за программы.

Вирус
 

Значит почтовым ящиком и всякими сайтами, где пароль нужен, лучше пока не пользоваться?

Вирус
 

Jacky
да, есть ключ и все эти базы.


done. Большой тебе dankon. :)

Вирус
 

Philosof
Если троян поработал, то может уже какая-то информация и ушла. Другой вопрос, что будет делать с этой информацией хозяин троянца: понятно, что от пароля/логина на доступ в интернет из России мало толку, скажем, в Китае.
Вообще сам факт того, что тебе подменили стартовую страницу и записали в избранное какую-то пургу, еще не значит, что кроме этого случилось что-то еще. Может, этим все и ограничилось. Поэтому лучше просто сделай, как я написал выше. Если не хочешь менять касперского на дрвеб, просто переустанови его с нуля, с дистрибутива. Ведь все равно не запускается? Может быть, переустановка поможет. А все остальное рекомендую все-таки сделать и потом уже на всякий случай поменять важные пароли.

heilig
Nedankeble. :)

Вирус
 

Значит так...
1, 2, 3 сделал сразу.
Dr. web установил, но он ничего не обнаружил.
ZoneAlarm установил. В разделе "Outbond protection" он подсчитывает количество программ, которых он проверил, я так понимаю? Но звенеть ничего не звенит, об утечке информации он ничего не говорит.
А вот AdAware вчера нашел 6 штук и потер. А сегодня утром - 4. Но я не уверен, что это шпионы, он там указал какую-то штуку от Media Playerа например.
Но вирус есть. Я нашел несколько подозрительных файлов и стер. Но все к сожалению не получается.

Вирус
 

Philosof
Сам по себе ZA ничего проверить не может. Он показывает там количество программ, которые хотели выйти в интернет. По каждой из них он должен был спрашивать тебя (выводя окошко запроса) и уже ты должен был разрешить/запретить выход однократно или постоянно. В этом, собственно, суть защиты от троянов. Если ты запускаешь Outlook Express -- то конечно доступ нужно разрешить. Если вдруг за обновлениями решил слазить, скажем, Windows Media Player -- смотри, нужны ли тебе эти обновления и соответственно разрешай/запрещай. А вот если вдруг в инет ни с того ни с сего полезла какая-нибудь программа load.exe которую ты в первый раз видишь, вот тут, конечно, нужно запрещать и разбираться. Полный список программ можно посмотреть в разделе program control и там же будут видны права, которые ты им выставил (разрешен доступ/запрещен).

А это такие мелкие шпиончики. :) Паролей не крадут, но могут пересылать всякую информацию о твоем компьютере куда следует.

Каким образом ты определяешь подозрительные файлы?

Вирус
 

Jacky
Возьми старую версию, новые базы и радуйся.
У меня стоит Касперский много лет. Один раз только я серьезно повердила машину вирусом и по незнанию убила систему не без участия Касперского, но это была скорее моя ошибка, чем его.

Philosof
Вирус - это, как правило, кусок кода, который сам по себе существовать не может. Часто он собой заменяет один из системных файлов. Или перезаписывает кусок кода в нем. Тогда получается, что файл заражен, а удалить его нельзя - он системный, и без него система погибнет. Вылечить в таком случае тоже нельзя. По крайней мере антивирусы не всегда это умеют. Вот на такого виря я нарвалась в свое время, забыла уже, как его завут, klez что ли, мне уже LoveSun все старые названия перебил (это относительно недавний вирь).

А троян - это самостоятельная программа, способная существовать сама по себе.


heilig
Ессно, если будешь по 10 раз региться с одного компа никто тебя не пустит. Выдели один логин и запроси пас, с доступом там сейчас все нормально. Только ящик почтовый на мейл.ру не держи.

И вообще, что значит "не складываются отношения"? И почему ЗонАларм то? Поставь Autpost - милое создание. Сложноватое, но привыкнешь. Зато, если поставить 2.х, будет знать всю интимную жизнь своей машины :)

Philosof
И Инетернетом тоже - от него пасы тоже класс, как воруются.

Если у тебя есть возможность вынуть винт и подмонтировать его к другой (чистой) машине - то ты легко найдешь у себя на винте зараженные файлы, запустив антивирус с другой машины.

Но мне кажется, было гораздо проще. Примерно так: ты гулял по Инету, где-то кликнул, например, по баннеру, попал на порносайт, там тебепредложили поставить что-то ты не понял что, но нажал ОК, поставилось нечто, которое постоянно ломиться на этот сайт.

Какая у тебя версия системы?

Сделай так:
пуск - выполнить - regedit - f3 - и в посике набери или имя сайта, или адрес сайта, или имя того, что у тебя в автозапуске прописалось - попробуй. Все, что найдешь, полагаю, можно смело удалять.
Если не найдешь ничего, найди ключи (для Win2000, но наверняка и для остальны примерно то же самое):

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
и
HKEY_USERS\S-1-5-21-удалила_как_приватную_инфу\Software\Microsoft\Windows\CurrentVersion\Run

Возможно, во втором случае у тебя будет нечто типа:

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run

и посмотри, что же прописалось в автозапуск. Ищи похожее на этот сайт или на программу, запускающуюся и ломящуюся на этот сайт и удаляй.

Поставь программу http://forum.ru-board.com/topic.cgi?...5&topic=0079#1 TauScan , поставь последние базы к ней (она сама это умеет делать) и проскань машину на трояны.
Еще рекомендуют (либо либо) http://forum.ru-board.com/topic.cgi?...5&topic=4334#1 pestpatrol


Пока троян есть, менять пасы нет ни малейшего смысла. Потом - конечно.


Ага. Системы. На отфроматированный винт. :) Злая шутка.

Philosof
Ну, если фаер ничего не нашел, то скорее всего это не то чтобы вирус, а как я описала выше.


Добавлено

heilig

Тебе в общем-то рекомендую то же самое, за исключением того, что тебе не надо в авторане ничего искать.

Антивирь с последними базами - скан
Фаер (только смотри, чего разрешаешь то)
Таускан - скан

Тогда будет ясно.