Опять вирус

Цитата ("voron_76"):

Если из-за каждого трояна переустанавливать винду - проще её каждый день из чистого образа восстанавливать (хотя это не самая плохая мысль).

Ну наконец-то. Первый дельный совет из 240 постов. Ставится виртуальная машина. На нее ставится вебмани. И вот оттуда используется. Но для тех, кто щелкает на все, что под курсор попадется - это слишком сложно.

Цитата ("webvanich"):

Цитата ("deeforgotten"):

Хм.. мне не приходил вирус.. подозрительные письма вобще обычно не открываю..
а вот в процессах "wmagent" был.. Следует лечиться?

Удалите из автозагрузки вручную, перезагрузите комп

далее?

Цитата ("Lisio"):

Цитата ("voron_76"):

Если из-за каждого трояна переустанавливать винду - проще её каждый день из чистого образа восстанавливать (хотя это не самая плохая мысль).

Ну наконец-то. Первый дельный совет из 240 постов. Ставится виртуальная машина. На нее ставится вебмани. И вот оттуда используется.

Всё б так просто. Помимо тупых троянов есть ещё куча других угроз.
На самом деле, схема такая (вычитал в интервью с Джоанной Ратковской): ставится несколько виртуальных машин. В той, где идёт работа с деньгами, режется всё, кроме собственно программы и доступа к её сайтам. В другой, где идёт работа с почтой, блогами, тем же Веблансером, условия помягче, но тоже лишняя активность блокируется. В третьей работает обычный браузер, которому разрешено всё. Эта машина раз в неделю восстанавливается из чистого образа. Всё это хозяйство работает на линуксе в качестве хост-системы. В этом случае не нужен ни антивирус, ни даже файрвол (у Джоанны нет ни того, ни другого) - но мозги, разумеется, нужны.

Сейчас обкатываю эту схему на практике, с покупкой нового винта попробую реализовать в рабочем режиме.

:!:

Osteomed <***>

Здравствуйте.
Извините я вам прислала не правильную ссылку.
Вот ссылка :
Крестина Людмила Сергеевна.

--------------
Здравствуйте.
Мне нужно сделать дизайн cайта , на несколько страниц.
Тема - медицина. Вот старый сайт :
Надо полностью переделать дизайн сайта.
Вот некоторые картинки и описание, что именно я хочу видеть на сайте,
скачать тут :
Меня интересует стоимость работы и сроки выполнения.
Крестина Людмила Сергеевна.


блин ... а у меня просто не было времени посмотреть проект и не качал из-за лени ..

трындец ...

лень иногда помогает оказывается

Цитата ("new_generation"):

не могу скачать, пожалуйста, бросьте кто-нибудь по скайпу (natalia_lukaniuk). Огромнейшее спасибо!!

Те, кто не может скачать CureIt с сайта Доктора Веба (он у них в последнее время тупит по вечерам - видимо, не справляется с нагрузкой), могут скачать отсюда: ссылка

Залил только что, версия вчерашняя, этого зловреда ловит (проверял).

Цитата ("Lisio"):

А по поводу ADS, могу со 100% уверенностью заявить, что вы не способны создать такой архив, распаковав который я заражусь вирусом.

Да, Вы правы. Я просто хотел запугать пользователей, чтобы были осторожней. Такое возможно только при распаковке SFX архива. Но и без ADS в этом случае можно обойтись, заразив SFX архив джойнером.

Цитата ("Lisio"):

И с 200% уверенностью не сможете вложить в него .txt, кликнув на который я опять же заражусь вирусом.

Про такое я даже и не сочинял =)

Я просто хочу сказать, что пользователям интернета не стоит думать, что если в архиве нет исполняемых файлов (по расширению), то они не украдут их пароли от WM.
Необходимо соблюдать осторожность. Lisio, не все такие параноики, как Вы и я, которые видят вирус с закрытыми глазами. К сожалению, невозможно придумать лекарство от вируса, который создадут только завтра. Следовательно, и антивирусы не всегда смогут обнаружить свежий вирус. Любой эвристический анализатор можно обмануть, просто на это потребуется больше времени и изощрений.

Цитата ("Lisio"):

Цитата ("voron_76"):

Если из-за каждого трояна переустанавливать винду - проще её каждый день из чистого образа восстанавливать (хотя это не самая плохая мысль).

Ну наконец-то. Первый дельный совет из 240 постов. Ставится виртуальная машина. На нее ставится вебмани. И вот оттуда используется. Но для тех, кто щелкает на все, что под курсор попадется - это слишком сложно.

Сударь, не всем так просто взять и поставить виртуальную машину. Некоторым такой гемморой не нужен. Думаете, абсолютно любой копирайтер или дизайнер в состоянии сам настроить на виртуальной станции интернет? Да и зачем вообще разбираться с NAT'ом или проксями тем, для кого это - лишняя инфа, когда можно просто придерживаться определенных правил. Это как предохранение в сексе, оно не всегда приятно, но без него может быть хуже.

Например можно заглядывать внутрь архива, и если там есть что-то типа .exe, .scr, .pif, .com, .bat, .lnk и тому подобные неизвестные расширения, которые не должны прилагаться в такого рода ТЗ, то открывать такой архив вовсе не стоит! Неужели труднее, чем ставить виртуальную машину? ИМХО, виртуальные станции - это хорошее решение для изучения вируса, но совсем не для того, чтобы понять, что архив содержит вирус.

Lisio, я уважаю Ваше мнение, сам люблю экспериментировать в виртуальных системах и не хочу сказать, что идея бредовая. Но пользователям нужно что-то попроще. Кстати не забывайте про лицензию такого рода ПО.

Цитата ("LSD-Team"):

Например можно заглядывать внутрь архива, и если там есть что-то типа .exe, .scr, .pif, .com, .bat, .lnk и тому подобные неизвестные расширения, которые не должны прилагаться в такого рода ТЗ, то открывать такой архив вовсе не стоит!

Сударь, Вы забыли предупредить этого чайника, что предварительно ему нужно включить показ скрытых файлов. А также объяснить, что файл с именем статья.txt.lnk - это ярлык, а не текстовый документ (а кое-кому - ещё и объяснить, что такое ярлык и почему он может быть опасен). А ещё - что иконка файла совершенно необязательно соответствует его типу. А ещё...
Я уж не говорю о том, что совершенно необязательно паковать зверя в архив: заразить машину можно и простым переходом по ссылке. И ещё кучей разных способов, от которых не существует универсальной и понятной чайнику защиты.
Бесполезно это, в общем... Слишком много людей работают с компьютером по принципу "нажми на кнопку - получишь результат". И если кнопка чуть-чуть изменится - они просто не догадаются, что результат будет тот же самый.

Спасибо, чуть уже не попалась, Касперский вовремя остановил. Это хорошо. Очень огромное спасибо.

Цитата ("voron_76"):

Всё б так просто. Помимо тупых троянов есть ещё куча других угроз.
На самом деле, схема такая (вычитал в интервью с Джоанной Ратковской): ставится несколько виртуальных машин. В той, где идёт работа с деньгами, режется всё, кроме собственно программы и доступа к её сайтам. В другой, где идёт работа с почтой, блогами, тем же Веблансером, условия помягче, но тоже лишняя активность блокируется. В третьей работает обычный браузер, которому разрешено всё. Эта машина раз в неделю восстанавливается из чистого образа. Всё это хозяйство работает на линуксе в качестве хост-системы. В этом случае не нужен ни антивирус, ни даже файрвол (у Джоанны нет ни того, ни другого) - но мозги, разумеется, нужны.

Сейчас обкатываю эту схему на практике, с покупкой нового винта попробую реализовать в рабочем режиме.

Какой для этого нужен комп? В принципе, если запускать виртуальную машину с кошельками только по необходимости, и работать в двух виртуальных виндах, то нормально. Но на таком компутере ничего, кроме шукания интернетов не поделать. Для работы все равно нужен будет еще один комп.

Но я думаю, что Жанна Рутковская себе может позволить процессоры с паравиртуализацией, и тогда будет пошустрей. Таки опять решение не для всех пользователей, и если уж выбирать между советами Рутковской или Lisio, проще и не менее надежно выглядит решение Lisio От потери денег защитит, а остальное - не страшно. Хотя свой UIN я бы тоже не хотел потерять

Цитата ("voron_76"):

Сударь, Вы забыли предупредить этого чайника, что...

Да, Вы все-таки правы Если не тренировать мозг, можно пропустить вирус... но это несправедливо, как и многое другое в этом чудесном мире.

Цитата ("LSD-Team"):

Lisio, не все такие параноики, как Вы и я, которые видят вирус с закрытыми глазами

Сама система webmoney не менее параноидальна, чем мы =)

Цитата ("LSD-Team"):

Некоторым такой гемморой не нужен.

Да я и не говорю про всех. Но для тех, кто тупо жмет на все экзешники, батники и скрипты - тем это ох как надо. А для тех, кто умеет это делать, лишняя пара минут дешевле.
А уж для тех, кто под иксам сидит, так вообще must have. Ибо не пашет вебмани под ними (вайн в принципе не пользую, может и пойдет с ним).

Цитата ("LSD-Team"):

Кстати не забывайте про лицензию такого рода ПО.

VirtualBox OSE. Халява. К тому же, под убунтой седьмая винда в vmware тормозит безбожно. Но под виндой, VirtualBox глючит больше. Такая вот загогулина.

Цитата ("LSD-Team"):

Какой для этого нужен комп? В принципе, если запускать виртуальную машину с кошельками только по необходимости, и работать в двух виртуальных виндах, то нормально. Но на таком компутере ничего, кроме шукания интернетов не поделать. Для работы все равно нужен будет еще один комп.

Подтверждаю. Ubuntu 9.10 (host) + Windows 7 (guest) сильно вешают систему на моем Phenom II x4 945 с 4GB DDR3. И AMD-V с Nested Paging не спасает. Попробую чуть позже на Fedora12, может быстрее будет работать.

Тоже приходило письмо - даже два раза.
В компах я не чайник поэтому сразу понял что, что-то ни так
Как только открыл архив там был тхт файл и ярлык типа "прочтите обязательно" - вот это и навело сразу на мысль что прислали вирус!
Открыл свойства ярлыка, ну и как ожидалось в нем прописано: запустить командную строку и открыть в ней текстовый файл - который разумеется exe.
Если это файл как раз открыть в блокноте, то он будет долго грузиться и покажет, что-то типа "исходного кода" ну там и будет надпись на инглише типа "бла бла бла Win32"

Будьте бдительны)

voron_76 Спасибо за советы и рекомендации, вроде все удалилось, файл Lsass (который со значком вебмани) больше не появляется после удаления и перезагрузки компа.
Вот если бы мы все (в том числе и я) не просто бегло проглядели ветку, а не поленились ее прочитать...

Кстати, вопрос (опять же к voron_76 и другим понимающим людям): у меня при загрузке всем известного архива промолчали и нод (я вообще думаю сменить антивирус, а то нод перестал меня устраивать...), и брэндмауэр виндовс. Никогда файрволлами не пользовался, но теперь задумался. Может проконсультируете по поводу того, какой файрволл использовать?

Сижу под вистой.
по глупости до прочтения темы отрыл архив. теперь но сам файлик текс.тхт не открывал. ярлык удалился свободно. файлик текст.тхт лежит на раб столе и не хочет удалятся (

Colvacne, спасибо за предупреждение.... только я его поздно прочитала
Черт меня дернул, никогда на такие вещи не покупалась, а тут... Уже открыла и разархивировала, мне предложение по копирайтингу пришло, и тут то до меня дошло, что оплошала, ндя...
Бум действовать по вашей инструкции очистки....

shapod, Моя почта помешает письма в Карантин, предварительно проверив Доктором Вебом.Там и Людмилы Сергеевны письмо лежало.

А мне прислали такое письмо, там было написано - вот правильная ссылка. Я бездумно (а как ещё сказать?) открываю, но пока ничего не произошло. Меня вывело на какой-то сайт, почти пустой, и всё...
Специально никакие архивы скачать не предлагали... Что это значит? :?:

Оставил вирус себе. Сегодня решил проверить NOD32 его детектирует, как Win32/Spy.Webmoner.NCJ троянская программа

Обновление от 22.01.2010
ссылка

Кстати указан, как (2) это значит вариант сигнатуры уже второй. Видимо первый был модифицирован, чтобы обходить Антивирусники.

А для тех, кто его повесил себе, почитайте, что я писал
ссылка

После этого, кошель был в порядке. Денег там правда было немного совсем, но делал платежи (телефон пополнял) всё в порядке.

Цитата ("Gelata"):

А мне прислали такое письмо, там было написано - вот правильная ссылка. Я бездумно (а как ещё сказать?) открываю, но пока ничего не произошло. Меня вывело на какой-то сайт, почти пустой, и всё...
Специально никакие архивы скачать не предлагали... Что это значит? :?:

Скорее всего, это значит, что на сайте было по-английски написано "файл удалён". Т.е. кто-то пожаловался на вирус и файл с хостинга убрали.