Опять вирус

  1. Биржа фриланса
  2. Форум фрилансеров
  3. Общение
Роман К.
6970 сообщений
#14 лет назад
Цитата ("Natalya56"):
Цитата ("voron_76"):
Народ, ну нельзя же быть такими доверчивыми... Ни один нормальный "хакер" не будет атаковать со своего родного адреса.
Этот "русскоговорящий бельгийский хакер" сидит где-нибудь в Урюпинске через мобилу с купленной на раз симкой.

Поясните, не поняла вас. Я пользуюсь услугами этого провайдера и купить то что Вы пишите не возможно.

Есть такая штука - называется "прокси-сервер". Когда Вы работаете через него, то все системы, с которыми Вы будете соединяться, будут определять не Ваш реальный адрес, а адрес этого прокси-сервера.
Поэтому то, что где-то фигурирует некий IP, вовсе не означает, что взломщик сидел именно на этом адресе.
Марина Грамович
464 сообщения
#14 лет назад
А ко мне на днях с немецкого ай-пи ломились...
Вообще, я поняла (не без помощи, конечно, доброжелателей и злопыхателей), что более-менее спокойно можно жить, только приняв все возможные меры безопасности, предлагаемые вебманями. То-есть, код активации - на телефон, ключи - в E-Num, блокировка по IP.
Сергей Б.
2268 сообщений
#14 лет назад
Цитата ("marinesko"):
код активации - на телефон, ключи - в E-Num, блокировка по IP.


Да-дад... А код активации на телефон в самый нужный момент нужно по часу ждать, пока придет.
Блокировка по IP - один сплошной геморрой если IP динамический.
Марина Грамович
464 сообщения
#14 лет назад
Цитата ("owlteam"):
Да-дад... А код активации на телефон в самый нужный момент нужно по часу ждать, пока придет.


Не знаю, мне всегда мгновенно приходит. На мыло точно так же может с задержкой приходить, если уж на то пошло.

Цитата ("owlteam"):
Блокировка по IP - один сплошной геморрой если IP динамический


Мне кажется, там что-то предусмотрено и для динамических ай-пи. Но я не спец, конечно, могу ошибаться
Наталья Э.
2099 сообщений
#14 лет назад
Цитата ("voron_76"):
Есть такая штука - называется "прокси-сервер". Когда Вы работаете через него, то все системы, с которыми Вы будете соединяться, будут определять не Ваш реальный адрес, а адрес этого прокси-сервера.
Поэтому то, что где-то фигурирует некий IP, вовсе не означает, что взломщик сидел именно на этом адресе.


Английская версия сайта.

Сори, но я не понимаю вас, покажите на сайте где есть такая возможность использовать «прокси-сервер»
Кирилл Г.
164 сообщения
#14 лет назад
Цитата ("owlteam"):
Цитата ("marinesko"):
код активации - на телефон, ключи - в E-Num, блокировка по IP.


Да-дад... А код активации на телефон в самый нужный момент нужно по часу ждать, пока придет.
Блокировка по IP - один сплошной геморрой если IP динамический.

ага
Алексей К.
3 сообщения
#14 лет назад
А знаете что меня сразу развезло и я помчался с ноута контроль восстанавливать? В испорченном кипере слово было Реквезиты, именно так РеквЕзиты
Кирилл Г.
164 сообщения
#14 лет назад
А если его lsass.exe еще в сервис паке нашел?! Норм?
Роман К.
6970 сообщений
#14 лет назад
Цитата ("Natalya56"):
Цитата ("voron_76"):
Есть такая штука - называется "прокси-сервер". Когда Вы работаете через него, то все системы, с которыми Вы будете соединяться, будут определять не Ваш реальный адрес, а адрес этого прокси-сервера.
Поэтому то, что где-то фигурирует некий IP, вовсе не означает, что взломщик сидел именно на этом адресе.

Английская версия сайта.
Сори, но я не понимаю вас, покажите на сайте где есть такая возможность использовать «прокси-сервер»

А при чём здесь сайт? Сервер может находиться на любом из адресов, принадлежащих этому провайдеру (как и любому другому). В том числе - нелегально, на взломанной машине.
Марина Грамович
464 сообщения
#14 лет назад
Цитата ("owlteam"):
Блокировка по IP - один сплошной геморрой если IP динамический.


Цитата:
устанавливается НЕ конкретный адрес клиента, а диапазон (подсеть)
обычно при динамическом IP меняется не весь адрес, а последние два байта
то есть 192.168.5.10
192.168. остается все остальное меняется
и при этой блокировке мани пускают.
Светлана Д.
10 сообщений
#14 лет назад
Есть вопрос)
Мне это сообщение, с архивом и битым фото прислал постоянный заказчик-посредник, типа посмотри будем ли что делать...
ну естессно архив я открыла тока после клика на картинку и вопроса заказчику открылось ли у него, он сказал: нет, но после того, как кликнул на .lnk картинка стала видна, я чет подумала, что не хочу больше никуда кликать. Потом он сказал, что антивирус его - nod заактивничал "и при этом очень часто проверяет файл webmoney.exe"... после пропал )

Я сразу удалила этот архив, залезла в process list, ничего странного не обнаружила и отправилась гуглить, надыбала эту темку.
На всяк поудаляла вообще все временные файлы, и в винде, и в папке пользователя, и куки - чем черт не шутит)
Просканила нод-ом комп (точнее еще сканю), на С:\ ничего не нашел. Для спокойствия проверила утилиткой "ProcessExplorer" - никаких новых подозрительных процессов, описынных выше в теме я не нашла, ни файла "set.dat", ничего странного в папках юзверя и винды, еще изменила файл ключей кипера и записала в новое место.. благо я тока вывела деньги - у меня там 0.0, но все равно стрем. Папок типа
\Documents and Settings\имя пользователя под которым вы работаете\Application Data\Options
\Documents and Settings\имя пользователя под которым вы работаете\Application Data\Export
нет, скрытых тоже

По ходу дела даже грохнула процесс lssas или как там его, проверила, что системный - перегрузилось через минуту

На данный момент ничего нового подозрительного не появилось в списке процессов, похоже комп я таки заразить не успела.
Спасибо всем, кто это все прочитал

Теперь соббсно вопрос - ЧТО мне еще сделать, чтоб успокоицо?
Виталий Я.
659 сообщений
#14 лет назад
Мда ) думал меня обойдет стороной ))
Сегодня пришло такое-же )
Сергей З.
2 сообщения
#14 лет назад
Тоже получил такое письмо. Антивирусы не видят. При запуске создаёт 234.ехе, затем lsass.exe (в озвученных ранее папках) и, наконец, rundll32.exe в папке RECYCLER, то есть в корзине на системном диске. После чего этот rundll32 прописывается в реестре в автозагрузку, что запускает его каждый раз после загрузки Windows. В "диспетчере задач" он, как и троянский lsass.exe, виден запущенным от имени пользователя, НО, помимо него может быть и настоящий rundll32.exe, запущенный тоже от имени пользователя. И в диспетчере задач их не различить. Это сможет сделать только программа которая показывает где лежит ехе-шник, которому принадлежит данный процесс. Например какие-либо другие диспетчеры задач или же Outpost.
Если такой файл найден в RECYCLERe, для проверки реестра можно запустить regedit (Пуск - Выполнить, написать regedit и нажать ентер). В запустившейся оболочке через меню "Правка - Найти" открывается окно поиска, через которое можно поискать "RECYCLED\rundll32.exe". У меня нашло два результата, один из которых стоял как раз в автозагрузке. Удалил, но систему всёравно решил восстановить, чтоб не рисковать. Кошелёк спасли Outpost и то что пользовался лайт версией кипера под фаерфоксом.
Роман К.
6970 сообщений
#14 лет назад
Цитата ("seele085"):
Теперь соббсно вопрос - ЧТО мне еще сделать, чтоб успокоицо?

Выпить водки.
Этот зверь запускается только файлом .lnk, поскольку у исполняемого файла "неправильное" расширение и винда его открывает "неправильно". При этом, этот зверь - обычный троян, т.е. самостоятельно в систему не внедряется. Т.е. если Вы не запускали файл .lnk, то зверь в систему не внедрился. Можете успокаиваться.
Марина Грамович
464 сообщения
#14 лет назад
Мне вот тут подсказывают, что обсуждая этот вирус на форуме, открытом любому желающему, мы только подсказываем хакерам, какие ошибки исправить и что учесть
Роман К.
6970 сообщений
#14 лет назад
Цитата ("marinesko"):
Мне вот тут подсказывают, что обсуждая этот вирус на форуме, открытом любому желающему, мы только подсказываем хакерам, какие ошибки исправить и что учесть

А смысл? Этот зверь и так работает более чем хорошо. Больше половины обсуждающих всё равно общих выводов не сделают и в ближайшее время на чём-то подобном попадутся снова.
Роман К.
6970 сообщений
#14 лет назад
Цитата ("osuneko"):
и, наконец, rundll32.exe в папке RECYCLER, то есть в корзине на системном диске.

Странно. У меня этого файла там нет.
Светлана Д.
10 сообщений
#14 лет назад
Цитата ("voron_76"):
Цитата ("seele085"):
Теперь соббсно вопрос - ЧТО мне еще сделать, чтоб успокоицо?

Выпить водки.
Этот зверь запускается только файлом .lnk, поскольку у исполняемого файла "неправильное" расширение и винда его открывает "неправильно". При этом, этот зверь - обычный троян, т.е. самостоятельно в систему не внедряется. Т.е. если Вы не запускали файл .lnk, то зверь в систему не внедрился. Можете успокаиваться.


Спасибо
Я уже правда с перепугу и не помню, точно ли я не кликала не нем ((
Еще такой уже глупый вопрос - а если кликала,но не с распакованного архива, а прям из винрара - это что-то менят? ))
Роман К.
6970 сообщений
#14 лет назад
Цитата ("seele085"):
Еще такой уже глупый вопрос - а если кликала,но не с распакованного архива, а прям из винрара - это что-то менят? ))

Меняет. .lnk запускает собственно файл вируса. Если перед этим Вы его не просматривали (т.е. во временной папке его нет), то запускать будет нечего.
Светлана Д.
10 сообщений
#14 лет назад
Цитата ("voron_76"):
Цитата ("seele085"):
Еще такой уже глупый вопрос - а если кликала,но не с распакованного архива, а прям из винрара - это что-то менят? ))

Меняет. .lnk запускает собственно файл вируса. Если перед этим Вы его не просматривали (т.е. во временной папке его нет), то запускать будет нечего.

спасибо еще раз)
пойду все таки выпью че-нить, а то никак не успокоюсь... чая для начала
Первая
89101112
Последняя