Опять вирус

Цитата ("mao-11"):

Не прошло и двух месяцев, как началась новая рассылка, но теперь у соседей. Мне пока такое письмо не приходило, но есть скрин. Так что берегись, народ...

А что такого? Depositfiles - нормальный и широкоизвестный файлообменник. Так что сам по себе факт рассылки ничего не говорит - там действительно может быть ТЗ.

voron_76

Нет, там опять та же история, это уже обсуждается у соседей, вот скрин одного из сообщений.
Так что, ничего не изменилось кроме имени-фамилии и названия сайта

Цитата ("mao-11"):

voron_76
Нет, там опять та же история, это уже обсуждается у соседей, вот одно из сообщений:

Раз ярлык - значит, да, троян.

Цитата ("owlteam"):

Цитата ("LSD-Team"):

Цитата ("owlteam"):

Про сисадминов и вирусы (видео): ссылка

ололололо! спасибо, хорошее видео)) Молодцы ребята.

Мораль в том, что сисадмин пал смертью храбрых... )))

))))

Ребята, подскажите: проверился я доктором и он мне выдал , что файл host возможно был изменен и я его помещаю в карантин, на что я нажал ОК. Затем решил посмотреть что там на изменено в нем, глянул..там столько ссылок на другие ресурсы на которых я ни разу не был и даже и не знал. Может я зря паникую?! Возможно стоит глянуть файл host, который еще не в карантине?

Цитата ("OlderSergeant"):

Ребята, подскажите: проверился я доктором и он мне выдал , что файл host возможно был изменен и я его помещаю в карантин, на что я нажал ОК. Затем решил посмотреть что там на изменено в нем, глянул..там столько ссылок на другие ресурсы на которых я ни разу не был и даже и не знал. Может я зря паникую?! Возможно стоит глянуть файл host, который еще не в карантине?

Возможно, что и не зря. Стандартный файл hosts должен содержать только этот текст:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

#

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии 

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

#      102.54.94.97     rhino.acme.com          # исходный сервер

#       38.25.63.10     x.acme.com              # узел клиента x


127.0.0.1       localhost

Туда, конечно, могут дописываться и разные полезные строки, но это встречается редко. Так что попробуйте оставить только строку 127.0.0.1 localhost (всё, что начинается с # - это комментарии, они роли не играют). Если никаких проблем с доступом к стандартным сайтам не появится - значит, модификация была ненужной или даже вредной.
Хотя - если файл модифицирован активным зловредом, простое редактирование файла поможет ненадолго.

Цитата ("voron_76"):

Цитата ("OlderSergeant"):

Ребята, подскажите: проверился я доктором и он мне выдал , что файл host возможно был изменен и я его помещаю в карантин, на что я нажал ОК. Затем решил посмотреть что там на изменено в нем, глянул..там столько ссылок на другие ресурсы на которых я ни разу не был и даже и не знал. Может я зря паникую?! Возможно стоит глянуть файл host, который еще не в карантине?

Возможно, что и не зря. Стандартный файл hosts должен содержать только этот текст:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

#

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии 

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

#      102.54.94.97     rhino.acme.com          # исходный сервер

#       38.25.63.10     x.acme.com              # узел клиента x


127.0.0.1       localhost

Туда, конечно, могут дописываться и разные полезные строки, но это встречается редко. Так что попробуйте оставить только строку 127.0.0.1 localhost (всё, что начинается с # - это комментарии, они роли не играют). Если никаких проблем с доступом к стандартным сайтам не появится - значит, модификация была ненужной или даже вредной.
Хотя - если файл модифицирован активным зловредом, простое редактирование файла поможет ненадолго.

Да у меня там столько строк..щас я его почикаю. voron_76, Вам как всегда спасибки за помощь!!! А лежит он в system32 ?

Как-то странно..два файла хоста и без расширения и что за формат ion такой??? Просветите...

Цитата ("OlderSergeant"):

А лежит он в system32 ?

System32/Drivers/etc/
Если ещё не почикали, скиньте его содержимое сюда.

Цитата ("OlderSergeant"):

Как-то странно..два файла хоста и без расширения и что за формат ion такой??? Просветите...

А файл hosts - он без расширения и идёт. Второй - скорее всего, переименован антивирем, чтобы не пересекались.
Descript.ion - это обычный текстовик, в котором раньше хранили описание к DOSовым программам. Сейчас, по-моему, часто идёт с кряками к программам. Что там может быть заразного - даже не представляю... Но раз Веб его прибрал - нехай, полезного там обычно тоже ничего нет.

Вирус говорит? фигня ваш вирус

IE8
иногда показывает, иногда меняет текст, иногда в углу (правый верхний) иногда по центру.
вот это че? вирус? странным тогда, хорошо что я IE только для отладки сайтов .юзаю, ибо Гейтс зло.
Кто такое уже видел? есть идеи, как избавиться.

Закрывая галимый IE, увидел это. (на баннеры не кликал). Откуда ? поп-ап

Цитата ("avtorkoda"):

Вирус говорит? фигня ваш вирус
иногда показывает, иногда меняет текст, иногда в углу (правый верхний) иногда по центру.
вот это че? вирус? странным тогда, хорошо что я IE только для отладки сайтов .юзаю, ибо Гейтс зло.
Кто такое уже видел? есть идеи, как избавиться.

Не то чтобы вирус... Сталкивался я с такой фигнёй (правда, не на восьмёрке): это устанавливается плагин (или расшерение, или как они там называются), который показывает банер. Установился, видимо, на каком-то сайте. Точного алгоритма, как удалить, не дам, поскольку с ИЕ вообще не работаю, но, я думаю, найдёте.
По поводу второго окна - тут вообще всё банально: некоторые сайты открывают такие окна в фоне, никак не извещая пользователя.

avtorkoda, по моему похоже...
Цитата:

Скачиваете вы себе файлик, а он в самораспаковывающемся архиве. Запускаете exe'шник, открывается вроде WinRar (очень похожее окно на вид), распаковываете себе файлик и забываете. Но через время со всех дыр начинает лезть реклама, которую непонятно как отключить потому что не ясно, откуда она вообще взялась.

ссылка

Цитата ("dam"):

avtorkoda, по моему похоже...
Цитата:

Скачиваете вы себе файлик, а он в самораспаковывающемся архиве. Запускаете exe'шник, открывается вроде WinRar (очень похожее окно на вид), распаковываете себе файлик и забываете. Но через время со всех дыр начинает лезть реклама, которую непонятно как отключить потому что не ясно, откуда она вообще взялась.

ссылка

Не, я эту адварь видел - ничего общего. Она больше похожа на СМС-вымогателей - такое же неснимаемое окно во весь экран.

Просто признаки похожи, по описанию статьи...
Жаль, что не помог

Залез в надстройки, нашел гада
плюс, отключил попутно ВСЕ надстройки IE гребанного, и что - а то
IE просто летает! сразу при запуске доступен для работы (раньше тупил, даже при открытии новой вкладки, Подключение... и ждем секунд 5.....

Цитата ("avtorkoda"):

Залез в надстройки, нашел гада

Во-во, это я и имел в виду...

Цитата ("voron_76"):

Цитата ("OlderSergeant"):

А лежит он в system32 ?

System32/Drivers/etc/
Если ещё не почикали, скиньте его содержимое сюда.

Цитата ("OlderSergeant"):

Как-то странно..два файла хоста и без расширения и что за формат ion такой??? Просветите...

А файл hosts - он без расширения и идёт. Второй - скорее всего, переименован антивирем, чтобы не пересекались.
Descript.ion - это обычный текстовик, в котором раньше хранили описание к DOSовым программам. Сейчас, по-моему, часто идёт с кряками к программам. Что там может быть заразного - даже не представляю... Но раз Веб его прибрал - нехай, полезного там обычно тоже ничего нет.

Я его почикал..у мя спайбот стоит, наверное при установке он туда сам ссылки по на прописывал, что обновления искать когда надо, хотя я потер файл, он все равно обновления скачивает..короче истина где-то там. Меня щас другой вопрос интересует. Проверил я вчера доктором пк на вирусы, он мне выдал картинку выше, я удалил, еще раз проверил и усе в норме, но больше интересует путь какой-то интересный!?? Просветите серость..

Это путь к папке с резервными копиями файлов, которые использует служба восстановления виндовс. Туда файл могла положить эта служба, либо сам вирус, если он умеет управлять правами доступа NTFS (по умолчанию доступ к папке имеет только SYSTEM). Скорее всего первое.

Если Вы еще не удалили этот зараженный файлик, то скиньте мне на почту в запароленном архиве, я его поковыряю и выпишу рецепт.

Цитата ("LSD-Team"):

Это путь к папке с резервными копиями файлов, которые использует служба восстановления виндовс. Туда файл могла положить эта служба, либо сам вирус, если он умеет управлять правами доступа NTFS (по умолчанию доступ к папке имеет только SYSTEM). Скорее всего первое.

Если Вы еще не удалили этот зараженный файлик, то скиньте мне на почту в запароленном архиве, я его поковыряю и выпишу рецепт.

Могу как-нить попасть в эту папку? Эхх, я их уже загрыз.