Вот решил спросить.
Кто нибудь знает эффективные способы защиты от троянов, а главное способы их удаления (кроме форматирования харда).
Если имеются ссылки на полезные ресурсы плиз!
Самый лучший способ - это по лохонутости не подцепить чего нибудь, а то никакой антивирус не поможет. Вот здесь про руткит, который почти год никакой антивирус не ловил.
http://www.computerra.ru/focus/359295/ _________________ Я виступаю за створення українського розділа на форумі Ельтерруса. Якщо ти "за" - додай цей рядок у підпис під повідомленнями у профілі.
Кстати, уважаемый Iar! Кажется существуют вирусы, которые поражают и linux, существует же lin-версия антивируса Касперского.
Отвечу я =))
1- вири под *nix есть, но по большей части распространяются методом "дай посмотреть", т.к. платформы разные, и то что запустилось в ubuntu намертво встанет в Mandriva или наоборот.
2- при грамотном разделении прав (ну или при разделении по умолчанию) вири дальше папки Home не пройдут, а в ней они работать не смогут.
3- Антивирусы (каспер, аваст и т.п.) под *nix нужны для проверки почтовых серверов и вообще файлов которые потом пойдут на Win машины.
4- под *nix могут сработать виндовые вири, если вы активно используете wine и виндовый софт в нем, но опять же, дальше этого самого виндового софта они не пройдут, да и т.к. wine это не полноценная винда, то у меня заведомо троянчик, запущенный ради интереса- в панике завопил про не найденные dll и вообще "куда я попал" =)) _________________ P.S. Звание "Предпоследней сволочи" я буду отстаивать до посинения, а последней сволочью будет тот, кто попробует мое звание оспорить!!
Вирусы бывают для всех платформ, и даже для автомобильных компьютеров (неск. новостей на эту тему пробегало в СМИ). И если для Линуксов вирусов сейчас значительно меньше, чем для Виндовс, то это - дело времени: Линукс все больше распространяется (сейчас и в Российских школах начал внедряться).
И глупо говорить, что для Юникса (и др. ОС) вирусов нет или почти нет. При неграмотном администрировании (да и при некот. др. случайностях) вирус можно словить и в Линуксе. И первые компьютерные вирусы появились именно для ОС Юникс еще в 1970-х г.г. Посмотрите, например в антивирусной БД Др.Веб (да и в любом др. антивирусе) - вирусы для Юниксов (в т.ч. и для Линукса) там присутствуют в должном количестве (в т.ч. руткиты и трояны). В Юниксах также используются скриптовые языки (Перл, в частности), а также развитый конмандный шелл-язык.
Виндовые вирусы для Юникса практически не страшны, т.к. Вин-программы всегда исполняются в изолированной среде (в песочнице или виртуальной машине). _________________ Жизнь прекрасна, если не вспоминать о прошлом и не думать о будущем.
Проблема вирусов под виндовс и почти полное отсутствие ее под *nix в раздаче прав по умолчанию и работе отдельных программ.
Во всяких юниксах народ с самого начала приучен к грамотной раздаче прав и написанию программ, которые эту грамотную раздачу учитывают. В результате практически все дистрибутивы юникс-подобных систем относительно вирусобезопасны.
В винде же другая картина. В десктопных версиях настройки безопасности по умолчанию - можно все. Это разбаловало разработчиков программ, в результате многие популярные продукты, расчитанные на конечного пользователя просто не могут работать без прав администратора (что приводит к проблеме с установкой и использованием подобных продуктов на последних серверных версиях, где безопасность по умолчанию настроена по человечески). Но большинство начинающих пользователей имеет дома ХР, используя ее с правами администратора, со всеми отсюда вытекающими.
Что характерно, даже Microsoft Word без прав администратора иногда взбрыкивает. Я уже не говорю о софте для записи дисков, разных программах, которые любят хранить настройки в папке, где установлены (Program Files) и т.д.
В Висте сделаны определенные выводы, но там явный перебор. Безопасность приобрела параноидальных характер, что заставляет ее отключать к чертовой бабушке и работать по старинке (к чему склоняют и требования к системе многих популярных программ, нарушающие требования безопасности). _________________ Тот, кто еще в пути, уже в пути.
Много пользовался Касперским - монстр, не люблю его, много ложных срабатываний, что не есть гуд. Нортон - дырявый как сито. BitDefender Вызвал уважение, но последнее время и он, как и Касперский, потяжелел.
Сейчас на все машины ставлю пакет из NOD32 + Antivir + BlackIce (firewall, но не на все железо идет, в качестве альтернативы как firewall использую NetLimiter или Agnitum)
по поводу 12111 - у меня небыло ничего такого, помню, что-то там спрашивал Лимитер о каком то подлкючении, так как аська уже была настроена и все права прописанны, то я просто запретил доступ и все, не появился контакт, хотя я его здал, начитавшись "ужасов" об этом контакте _________________ Мы, пацифисты, народ простой. Предупредительный выстрел в голову и шесть контрольных в затылок. (С)
по поводу 12111 - у меня небыло ничего такого, помню, что-то там спрашивал Лимитер о каком то подлкючении, так как аська уже была настроена и все права прописанны, то я просто запретил доступ и все, не появился контакт, хотя я его здал, начитавшись "ужасов" об этом контакте Smile
Он не у всех, только у 99% (кажется)... _________________ Весь мир - театр, а люди в нём - актёры...
Жизнь - это спектакль и важно не то как долго он длиться, а будут ли в конце аплодисменты...
NOD32 + Antivir + BlackIce
А что такое "Antivir"? Это не NOD32?
Скорее всего имеется ввиду Avira Antivir, вроде как бесплатный антивирус
Он самый Avira Antivir (avira.de), хорошо уживается с NOD-ом и дополняет его, всю мелкую заразу отстреливает, ну а если не справится то там уж и NOD подключается. Правда autorun прохлопали, точнее Antivir определил его но было уже поздно, пришлось вручную выковыривать
Авторан - зло, посему подлежит запрету на всех драйвах, в особенности на вставляемых (я пользуюсь TweakUI XP для этого, чтобы ручками не лазить). _________________ Все будет так, как должно быть, даже если будет иначе
А чем авторан так не нравится? Отлично работает, автоматически монтирует устройство, рефрешит KDEшный десктоп, запускает плейер, конфигурируется. Никаких нареканий.
http://autorun.sourceforge.net/ _________________ If I sit the way other people do, my reasoning ability drops by 40 percent.
В висте много проблем, но с автораном они, похоже, подумали и сделали более по человечески.
Теперь оно всегда спрашивает, что делать (по крайней мере поначалу), а не бросается выполнять всякие подозрительные исполняемые файлы с флэшки. _________________ Тот, кто еще в пути, уже в пути.
Зарегистрирован: 12.05.2011 Сообщения: 2564 Откуда: Украина, Киев(точный номер вселенной не скажу)
Добавлено: Сб, 24 Мар, 2012 20:27 Заголовок сообщения:
Цитата:
Данная DLL никогда не существует в виде файла на диске и присутствует только в памяти компьютера.
Крутой вирус. При множестве зараженных файлов у себя на компе, только один неизвестный вирус создал файл типа .dll.new.
А руткит (зараженный загрузчиком) у меня видимо один валялся в драйверах с декабря по сентябрь. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Нет. Если бы пароль на самом деле изменился, вход "на автомате" не сработал бы
А ВК после бана и смены пароля легко заходил браузер через куки. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
вири под *nix есть, но по большей части распространяются методом "дай посмотреть
Угу. Их даже можно, при большом желании запустить! Только сначала нужно соответствующим образом настроить iptables, SELinux и вручную запустить его через sudo.
*задумался*
Точно! А не попробовать ли мне позапускать win-трояны в виртуалке под вайном? Этакая компьютерная энтомология, буду наблюдать как бедняжки стараются что-то сделать во враждебной среде. Записки о наблюдении за всей этой фауной, если хотите, выложу сюда же _________________ Когда боишься того, что ты можешь увидеть за дверью, биться о стену, наверное, безопаснее.
Жаль, что я удалил себе драйвер один. Как по Вашему, если кинуть в папку system32/drivers/ .sys файл, который заражен загрузчиком и не дает себя найти не самому лучшему антивирусу, он что-то начнет делать? _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Я как бы подозреваю, что Symantec Antivirus (http://img149.imageshack.us/img149/7792/kkhl1.jpg) будет получше, чем AVG будет.
А теперь история. Появилась у меня как-то проблема на ноуте (где стоит AVG) - броузеры не заходили в инет. При этом при заходе из под user я легко просканил D&S/Chef и нашел в нем secupdat.dat с вирусом BackDoor.Graybird - все нормально удалил и все стало работать. Потом внезапно себе сохранил с десктопа логи Symantec Antivirus и нашел в нем 2 вещи:
1) secupdat.dat с вирусом Trojan.Ascesso (почему-то отдельные сайты дают не такое название в терминах Сумантека) в Documents and Settings\sysadmin\ (так там называется юзер);
2) тот же файл, тот же вирус, та же дата обнаружения - в D:\WINDOWS\system32\.
Внезапно вчера обнаружил этот факт и провел такой фокус на ноуте - искал в WINDOWS\system32\ все файлы *.dat и натравил на них AVG. И - о чудо - нашел таки его там. Причем с нахождением вирусов в C:\Windows\System32 у меня всегда проблемы на ноуте - видимо они круче, чем AVG. А Сумантек про этот вирус говорит "Injects code into services.exe", где как раз в папке этой по даным одного сайта:
Если services.exe находится в подпапках C:\Windows\System32, тогда рейтинг надежности 65% опасности. То есть хоть я и не нашел никаких .exe с вирусами (там таких файлов около 400), но что-то таки нашел.
И вообще видимо часто у людей есть secupdat.dat с каким-то BackDoor (в терминах AVG) есть и там, и там. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вопрос по червям и троянам:
В системе сидит какая-та зараза,не удаляется ни одной из программ.Называется Trashes.
Начал искать вручную где сия пакость находится-нашёл=удалил.Пара-тройка дней нормально и опять он,отсылал описание и тд и тп в службы поддержки разных кампаний: Касперский/Нортон/Нод/Авира и Аваст и Веб.Толку ноль,систему осталось только снести разве что...
Суть вопроса:Как мне убрать это из системы,чтобы не пришлось сносить всё?
И может или есть ли такие черви иль трояны что и в этом случае могут остаться?
Кархайм какой у Вас антивирус (весьма важный вопрос)? Где конкретно нашли пакость (именно знаете где, но антивирус удалить не может или даже ручками удалить нельзя?)?
Кажется один раз переустанавливали XP, но не помню почему.
Наиболее надежный способ найти вирус сильно спрятанный - это запустится с LiveCD со свежими базами. По идее, если в системе спрятан вирус, то он может периодически подгружать новые вирусы или сами Вы из инета загрузите. У меня 2 раза появлялись вирусы в C:\Documents and Settings\<user_name>\Local Settings\Temp и Local Settings\Temporary Internet Files. Не знаю, связанно ли это с тем, что в системе висел драйвер с вирусом типа Dropper .
Кому-то больше везет: my regular AVG scan found a "hidden driver".
Как найти драйвера плохие: в папке WINDOWS\system32 найдите все файлы *.sys и попытайтесь их все просканировать. Если количество просканированных файлов и сканированных совпало - то все возможно хорошо. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
VICTOR
Виктор давай на ты,мне не сто лет чтобы на вы
По вирусу:стоял Каспер 2012.Он ничего не нашёл что странно.После ставил все те что описал в первом своём посте.
Толку ноль,после чего плюнув на всё полез ручками в системные файлы.
Нашёл сначала в папке WINDOWS,думал всё...потом вылез опять,полез снова искать и нашёл там же + ещё он размножился,часов 5 где-то провозился с этим делом.Вроде удалил всё что нашёл,но понятно что найти всё нереально вручную.Хотя даже в скрытых папках и файлах искал.
Ни одна из программ ничего поделать не может,они его банально не видят.
Кстати в чём прикол этой заразы не сказал:Копируется сама на видео файлы и документы.Причём,при заражении видео создаёт: Ярлык корзины+ещё каких то 4 файла с цифровым обозначением
Я за столько лет пользованием интернетом и встречами с вирусами такое вижу впервые.
Даже у знакомого (он в Сбербанке работает и больной на голову по этим делам)спрашивал что и как делать,он тоже ничего не смог подсказать.Даже программы хитрые притаскивал какие то чтобы найти и удалить...Эффекту ноль.
Получается что вирус или троян или червь удаляется вручную если найти,но спустя какое то время он снова у системе.
Склоняюсь к мысли снести винду,не ключом так ломом
Склоняюсь к мысли снести винду,не ключом так ломом
Я бы все же сделал так:
1) есть ли у Каспера специальный режим поиска руткитов и используется ли он при стандартном сканировании? Например у AVG (с 12-ой версии) быстрый поиск руткитов (несколько тысяч объектов, а не 100 тысяч файлов, как при полном) входит в запланированное сканирование (как опция). Если режим поиска руткитов (отдельный или в общем сканировании) есть но не включен - включите и смотрите, не будет ли синих окон
2) если ничего из этого нет или есть синие окна - либо делай как я в прошлом посте писал, либо делай так:
- в WINDOWS\system32\drivers выводишь колонки "дата создания" и "дата изменения" и сортируешь по первой;
- самые подозрительные файлы - те у кого эта дата сильно свежее остальных, для них смотришь, есть ли у них описание (например - что это - вполне легальный драйвер от AMD на системе Core Duo+GeForce );
- если нет описания (и скорее всего - дата изменения равна дате создания, то есть по этой дате они могут не быть самыми новыми), то на файл нужно натравить антивирус;
- если сканировать не удалось (количество сканированных файлов меньше, чем ты выбрал) - то это подозрительно, но это может быть вполне честный драйвер, например - Daemon Tools, использующий драйвер минипорта SCSI, но мне вышло его нагло переместить в другую папку (руткит этого точно не даст);
- потом нужно перезагрузить винду и зайти с LiveCD (если есть) или другой оси (если есть);
- переместить в другую папку подозрительные файлы (естественно - не в папку WINDOWS), если это не вышло (ось диска не хочет удалять "важный системный файл") - ищите другой диск;
- загрузится опять в винду обычную; //если у тебя не прошел изначально вариант "запустится с LiveCD со свежими базами"
- сканировать антивирусом все эти подозрительные файлы;
- если в каком-то нашел вирус, вылечился, а сам файл не удалился - пошли другу на мыло, попроси скопировать в папку system32/drivers/ (это была шутка);
- если в каких-то файлах нет вирусов - тогда думай, если есть - удаляй драйвера к черту эти;
3) если пункт 1 выдавал синие окна - запускай заново поиск руткитов;
Идеальный случай - если ты примерно знаешь, что вирус появился где-то с d1.m1.y2 по d2.m2.y3 - ищешь все файлы, измененные в этом диапазоне. Собственно основные места обитания:
- Documents and Settings\sysadmin\... (корень и папки Local Settings\Temporary Internet Files, Local Settings\Temp, Application Data - включая Local Settings\Application Data и другие места, где найдешь);
- C:\Temp\ (где имеется в виду диск, где винда);
- собственно C:\WINDOWS\System32\, так же WINDOWS\Temp\ и всякие .exe в самом корне C:\WINDOWS\. _________________ Четыре планеты Веги совершенно безжизненны...
В две тысячи сто двенадцатом году начал эксплуатироваться на трассах Земля — Сириус, Земля — Фомальгаут.
http://www.astronet.ru/db/msg/1222187/sect33.html
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы