Опять вирус

Мне тоже пришло письмо от людмылы сергеевны. А там ссылка не троян.

Как интерресно такие умные люди (способны самостоятельно написать троян,
а это я скажу не лёгкая задача) так наивно его рассылают?

Любой дурак поймет, что если файл txt по своей структуре exe, его ни кто
запускать не будет, а посмотрит что внутри.

Вот лутше бы свой ум и энергию не на написание троянов тратили, а на составление
нужных и хороших программ. И законно и прибыльно.

Цитата ("Colvacne"):

lsass.exe и его настройки set.dat

я его нашла, но он не удаляется! что делать?
кстати, авторские права на него: © Microsoft Corporation. All rights reserved. - что-то не похож он на вирус.

Цитата ("mms-c"):

Мне тоже пришло письмо от людмылы сергеевны. А там ссылка не троян.
Как интерресно такие умные люди (способны самостоятельно написать троян,
а это я скажу не лёгкая задача) так наивно его рассылают?
Любой дурак поймет, что если файл txt по своей структуре exe, его ни кто
запускать не будет, а посмотрит что внутри.

Ваш эгоцентризм бесподобен в своей наивности. Почитайте хотя бы эту ветку - и Вы поймёте, что "дураков", которые этого не поняли, вполне достаточно, чтобы оправдать эту "наивную рассылку".

Цитата:

Вот лутше бы свой ум и энергию не на написание троянов тратили, а на составление
нужных и хороших программ. И законно и прибыльно.

Да ну? Расскажите, какой "нужной и полезной программой" можно за пару дней "поднять" несколько тысяч долларов?

Цитата ("boat"):

Цитата ("Colvacne"):

lsass.exe и его настройки set.dat

я его нашла, но он не удаляется! что делать?
кстати, авторские права на него: © Microsoft Corporation. All rights reserved. - что-то не похож он на вирус.

На сарае сами знаете, что написано, но там почему-то дрова.
Как удаляется, я написал на 24-й странице.

Если переустановить винду, это поможет?

Цитата ("laj"):

Если переустановить винду, это поможет?

Поможет. Только зачем? Зверь удаляется элементарно и быстро.

Я на всякий случай переустановила, но всеравно как-то боязно

Цитата ("mao-11"):

Кстати, вопрос (опять же к voron_76 и другим понимающим людям): у меня при загрузке всем известного архива промолчали и нод (я вообще думаю сменить антивирус, а то нод перестал меня устраивать...), и брэндмауэр виндовс. Никогда файрволлами не пользовался, но теперь задумался. Может проконсультируете по поводу того, какой файрволл использовать?

Любой эвристический анализатор должен перехватывать приложения, которые пытаются перехватывать нажатие клавиш. У меня фаервол сразу ругнулся, антивирусы не использую. Если Вы заблокируете перехват клавиш, то троян ничего не сможет украсть. Фаервол от Agnitum.

P.S.: а про брендмауэр виндовс, уж и не смешите Он нужен, только в тех случаях, когда нужно дать виндовый NAT. В остальных случаях он беспомощный дилетант.

Цитата ("AlexsimA"):

Моя почта помешает письма в Карантин, предварительно проверив Доктором Вебом.Там и Людмилы Сергеевны письмо лежало

Все всегда бывает в первый раз. Ваша почта людмилу сергеевну убрала в карантин только из-за подозрительности на спам! Предлагаемая вами система НЕ усложнит жизнь вредителям, но существенно усложнит жизнь простым фрилансерам и заказчикам.

Приходит вам письмо с файлом с расширением *.doc, с ярлыком MS Word и названием "ТЗ на сайт". Вы его кликаете, а там MZ внутри, который и крякает вашу систему. При этом можно замаскировать себя так, чтобы внутри файла был реальный вордовский файл, который извлекается и запускается ворд с документом, похожим на ТЗ. Или можно открывать через ОЛЕ ворд на вашем компе и вставляет туда некий текст, похожий на реальный документ. Все. Вот такая приблизительная схема. Вы вроде как читаете что-то похожее на ТЗ, а вредоносное ПО тем временем делает то, что ей нужно.

Цитата ("LSD-Team"):

Цитата ("mao-11"):

Кстати, вопрос (опять же к voron_76 и другим понимающим людям): у меня при загрузке всем известного архива промолчали и нод (я вообще думаю сменить антивирус, а то нод перестал меня устраивать...), и брэндмауэр виндовс. Никогда файрволлами не пользовался, но теперь задумался. Может проконсультируете по поводу того, какой файрволл использовать?

Любой эвристический анализатор должен перехватывать приложения, которые пытаются перехватывать нажатие клавиш.

Это если эвристический анализатор не блокируется зверем. А у меня сильное подозрение, что в последнее время звери серьёзно обкатываются на популярных антивирях с целью обхода в том числе и эвристики. В итоге CureIt, который находит и удаляет файлы этого трояна на жестком диске, в упор не видит его в памяти.

Цитата ("voron_76"):

Это если эвристический анализатор не блокируется зверем. А у меня сильное подозрение, что в последнее время звери серьёзно обкатываются на популярных антивирях с целью обхода в том числе и эвристики. В итоге CureIt, который находит и удаляет файлы этого трояна на жестком диске, в упор не видит его в памяти.

Я конешно не знаю подробно, как работает CureIt, но знаю, что его не нужно устанавливать. Я сомневаюсь, что такой антивирус может установить драйвер ядра, а значит, скорее всего он работает из под ring3, следовательно, что прав у него не больше, чем у трояна, и обходить-то там нечего. А вот если обходить всякие касперские, ноды и аутпосты, которые ставят драйверы ядра при установке, и имеют дофига прав в системе, то тут уже необходимо хакерам уметь перехватывать нативные функции. А судя по почерку нашего вирусмейкера, который написал эту дрянь, ему еще нужно стопку книжек прочитать. Но лучше бы, эти книжки он читал уже в камере... ИМХО, так безопаснее

И я говорил про эвристический анализатор монитора, а не сканера. Ибо нужно просто отследить перехват клавишь, тогда ясно, что это вирус. А в КурИте нет монитора. А значит и функцию GetKeyState он не перехватит.

Цитата ("LSD-Team"):

А вот если обходить всякие касперские, ноды и аутпосты, которые ставят драйверы ядра при установке, и имеют дофига прав в системе, то тут уже необходимо хакерам уметь перехватывать нативные функции.

Или реализовать свои функции такими алгоритмами, которые эвристикой не определяются. И судя по количеству пострадавших, имевших в момент заражения на своём компе резидентный антивирус, мне это представляется вполне реальным.

Тоже отмечусь
И мне такое сообщение приходило. Скачал, KIS ничего не заподозрил. Сегодня же проверю весь комп на всякий случай.
Странно, теперь даже открытые контакты не доступы в профиле. Модераторы видимо позаботились на время эпидемии.

А вообще, разводил очень много стало, кто вирусы подкидывает, кто мошенничеством занимается, стрясая с людей деньги под видом разработчиков. Как с такими ублюдками бороться, не знаю.

Цитата ("sytrus"):

А вообще, разводил очень много стало, кто вирусы подкидывает, кто мошенничеством занимается, стрясая с людей деньги под видом разработчиков. Как с такими ублюдками бороться, не знаю.

А как Вы боретесь с градом, морозом, жарой, дождём?

Посмотрел здесь на линк (посилання) с вирусом и вспомнил, что KIS все-таки сразу отреагировал, а я еще ей ответ написал, типа "По ссылке находится троян!"

voron_76, зонтиком пользуюсь)) А вы?

Цитата ("sytrus"):

voron_76, зонтиком пользуюсь))

Именно. Вы защищаете себя, но не боретесь с явлением. С явлением бороться бесполезно.

Цитата ("voron_76"):

Цитата ("anna-lizunova"):

Подскажите,пожалуйста,стоит ли переустановить Windows XP?

Если из-за каждого трояна переустанавливать винду - проще её каждый день из чистого образа восстанавливать (хотя это не самая плохая мысль).
В данном случае бояться нечего. Процессу самого трояна антивирус запуститься не дал, так что всё должно быть в порядке.

Кстати, сейчас обнаружил у этого зверя забавный глюк. Вчера удалил всю папку temp - и сегодня при запуске он вылетел с ошибкой при попытке записать туда файлы.

Огромное спасибо за помощь!

Всю ночь гонялись за вирусом :o , все проверяли...СБ, кажется ничего не пострадало ....Тоже получила такое письмо, точнее два. Первое не открыла, D.Web взбунтовался, что может содержать вирус, не рискнула открывать, второе тоже не открыла, прямо на вирус было указано. Я наивная ответила этой тетеньке, все что думаю...письмо, разумеется, вернулось. Потом проверяла, файл был удален.