Версия для печати темы

Автор: Griz 12.8.2003, 9:26

Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!!
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html

Автор: Роман 12.8.2003, 9:48

дА Гриз у меня тоже позавчера он был еле удалил...Чуть было систему собирался переустанавливать.

Автор: Figli 12.8.2003, 10:14

а я переустанавливала

Автор: Amadeus 12.8.2003, 10:30

Хочу червя.

Автор: Griz 12.8.2003, 10:39

Amadeus, если горишь таким желанием могу сбросить на мыло (экзешник) + тот самый htm (червь)... там как раз ссылка была на страницу (я ее себе на память оставил в отдельной папке - мож кому надо будет )

Автор: Yar-Com 12.8.2003, 10:42

нефиг по ссылкам левым жать...

Автор: Griz 12.8.2003, 13:14

А я и не жал... я ее сохранил Teleport`мо

Автор: Griz 12.8.2003, 14:26

Вернее нажал...
А уж потом сохранил...

Автор: Griz 12.8.2003, 16:01

Вести еще страшнее... Бешено начал гадить еще один червяк... W32.ElKern.4926
Прет через общие папки... Люди! Вырубайте компы!!!

Автор: Rioter 12.8.2003, 16:54

А у меня хуже - msblast.exe я не нашел, но система перегружается... Подозреваю Lovesun или нечто подобное. Их там целая компания подвалила. Все по одной дыре работают. Качайте апдейты с MS.
W32.ElKern.4926 - мутация какая-то от Klez. Вещь весьма неприятная. Если пролезла в сервисы - убивать только через сеть или вторую (чистую) систему удается. Есть вариант взять с SYMANTEC утилитку для чистки и следовать инструкциям.

Автор: Rioter 12.8.2003, 17:28

Worm.Win32.Lovesan
Вирус-червь. Распространяется по глобальным сетям, используя для
своего размножения уязвимость в службе DCOM RPC Microsoft Windows.
Ее описание приведено в Microsoft Security Bulletin MS03-026.
Червь написан на языке C, с использованием компилятора LCC. Имеет
размер 6КB, упакован UPX. Размножается в виде файла с именем
"mblast.exe".
Содержит текстовые строки:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and
fix your software!!
Признаками заражения компьютера являются:
Наличие файла "msblast.exe" в системном (system32) каталоге
Windows.
Сообщение об ошибке (RPC service failing) приводящее к
перезагрузке системы.


Размножение
При запуске червь регистрирует себя в ключе автозапуска:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
windows auto update="msblast.exe"
Червь сканирует IP-адреса, начинающиеся с "base address" и пытается
соединиться с 20 IP-адресами для инфицирования уязвимых компьютеров.

После этого червь "спит" в течение 1,8 секунды, а затем снова
сканирует 20 IP-адресов и повторяет этот процесс в бесконечном
цикле. Например, если "base address" является 20.40.50.0, червь
будет сканировать следующие адреса:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1.8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1.8 секунды
...
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и так далее.
Червь выбирает один из двух методов сканирования IP-адресов:
В 3 случаях из 5 червь выбирает случайный "base address"
(A.B.C.D), где D равен 0, а A, B, C случайно выбраны из диапазона
1-255. Таким образом "base address" находится в диапазоне
[1-255].[1-255].[1-255].0.


В 2 случаях из 5 червь сканирует подсеть.

Он определяет адрес локального компьютера (A.B.C.D), устанавливает
D в ноль и выбирает значение C. Если C - больше чем 20, то червь
выбирает случайное число от 1 до 20. Если C меньше или равно 20,
червь не изменяет его.

Например, если инфицированная машина имеет IP-адрес
"207.46.134.191", то червь будет сканировать адреса с
207.46.[115-134].0. Если IP-адрес - "207.46.14.1", то червь будет
сканировать адреса, начиная с 207.46.14.0.
Используя уязвимость в Microsoft Windows 2000/XP, отправляет на 135
порт выбранного IP-адреса команды эксплойта DCOM RPC и запускает на
удаленной машине командную оболочку "cmd.exe" на TCP порту 4444.
После этого червь, при помощи команды tftp get, через 69 порт
загружает себя на удаленную машину в системный каталог Windows и
запускает на исполнение.


Прочее
После заражения инфицированная машина выводит сообщение об ошибке
RPC service failing, после чего может попытаться перезагрузиться.
C 16 августа 2003 года червь запускает процедуры DDoS атаки на
сервер windowsupdate.com, пытаясь таким образом затруднить или
прервать его работу.

Взято у http://www.kaspersky.ru

Автор: Rioter 12.8.2003, 17:44

http://securityresponse.symantec.com/avcenter/FixBlast.exe

Автор: timonn 12.8.2003, 17:51

мдя, вот вчера я его и подхватил...как раз в контру хотел порубиться, а он мне весь вечер испоганил...даже не понял во сколько...но ничего...щас все ок

Автор: Sweety 12.8.2003, 19:43

не одни вы такие.... ч червячком...

Автор: Partizan 12.8.2003, 21:47

Предохранятся нада не только в сексе...

Автор: FETT 13.8.2003, 0:14

Блин скока лазею по инету ещё не разу никаких вирей не подхватывал и притом у меня нет никаких антивирусов.....где вы вечно всякую лабуду находите??

Автор: Partizan 13.8.2003, 0:52

постучи по дереву, сплюнь через плечо левое, в лицо заднестоящему..... и да прибудет с тобой сила

Автор: LM 13.8.2003, 1:35

Меня вот счас сижу, и зло берет какие вы все наивные меня неберет, ненадо лазить там где непросят, итд итп в таком же духе, у когото есть, а у когото нету. Как вот счас сидел я думал червь во первых точно есть у того, кого ВИНДА стоит ХР, во вторых у кого внутренний модем типа АККОРПА, дженирика. ЗЮКСЕЛЬ зараза он непропускает тем повезло, а у осальных беда, одним словом, вот что я вам скажу. Просто закрывайте порты прогами кто умеет, это точно помогает сам убидился, а вот насчет антивирусов ни какой найти неможет, как и было написано уже выше. Червяк есть и будет пока что то с ним не зделают. Вот я сидел и думал, может идея и глупаю но подумайте. Может на усинский Сервак надо поставить какието фильтры ну незнаю может там тоже спец.программы это уже вам веднее. Но вот эта табличка "завершение вашего компа произойдет через 1 минуту" уже проста достало по самое немогу...

Автор: Rioter 13.8.2003, 8:29

Качать заплатку для Виндов:
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe
http://download.microsoft.com/download/e/d/b/edb1ed43-ac1f-4329-8f6a-bf6111029390/Windows2000-KB823980-x86-RUS.exe

Закрывает дыры в RPC.

Автор: Griz 13.8.2003, 8:33

Fett, а с чего ты взял что твой комп чист если ты не пользуешься ничем? Хе-хе, батенька, так ведь почти все самые вредные и негодяйские "триппаки" сидят себе до поры до времени, а потом - грох винде, а ты все сваливаешь на "долбанный мракософт" (хотя он действительно такой )
Но ведь, инфу то жалко... А тем более сейчас все черви (по вчерашним данным аж 3 штуки свирепствуют на планете), никак особо не проявляются, ну кроме msblast который перегружает систему, а седня с утра передавали что 14 августа в 24-00 будет салют на всех машинах с Mraco$oft`овскими продуктами (Win`ы любые!!! и Офися). Так что...
Face-off, ну эт ты зря, червь подцепить можно где и как угодно, у меня даже ZoneAlarm и NortonGost ничего не нашли (они его просто пропустили).
Да, вот еще что кроме XP, вы забыли еще про W2000, NT, W2003)... а они тоже стоят у народа...


__________________________
Наберу червей я в банку и поеду на рыбалку

Автор: AV 13.8.2003, 8:38

->Да, вот еще что кроме XP, вы забыли еще про W2000, NT, W2003)... а они тоже стоят у народа

У меня 98 всегда и трава не расти. Вири, хвири, вирусы - папирусы. НИчего нет. Для профилактики раз в полгода проверяюсь. Все чисто, только папку с приаттаченными файлами в бате, естественно дезинфицирую. Потому как только там они стопочкой и лежат, ждут, балбесы пока я письмо открою.
Не открывать (удалать сразу) неизвестные письма. Не нажимать на неизвестные урлы, не принимать автоматом файлы по аське и линьки, неизвестно от кого.
Короче - человек сам себе все это колбасит. А потом лечится.

Автор: Griz 13.8.2003, 9:19

Я тоже когда на 98 сидел - траблов не было...
ХРень все гадит и портит, но... система работает веселее.
По этому я и ХР и 98 поставил (вчера как раз через нее в инет выходил).
AV, будь человеком напиши ip-шник и DNS для выхода на модемный пулл и телефон дозвона до провайдера (я умудрился потерять листок), или дай ссылку, пожалста!!!
А если совсем не затруднит то и ip для CS.
ЗАРАНЕЕ блаходарен!

Автор: Колька 13.8.2003, 11:33

Народ посмотрите на занятную ссылочку, мож кому и поможет(нам помогла).........

Ахтунг! Срочно качаем заплату распространяющуюся на все версии виндов (англ или рус)!
Дыра была известна уже давно, но кто то шустрый сделал вирь опираясь на эту дырочку
При обращении к svhost данная хрень вешает Вашу машину...

Вещь не приятная... Тем, кто сидит за firewall`ом бояться нечего, но в качестве профилактики.
http://download.microsoft.com/download/7/0/f/70f4eb2a-a663-4292-8ce7-581b1715bb51/WindowsXP-KB823980-x86-RUS.exe

Автор: HalfHuman 13.8.2003, 12:40

Автор: AV 13.8.2003, 13:11

Цитата из сообщения Griz:
Я тоже когда на 98 сидел - траблов не было...
ХРень все гадит и портит, но... система работает веселее.
По этому я и ХР и 98 поставил (вчера как раз через нее в инет выходил).
AV, будь человеком напиши ip-шник и DNS для выхода на модемный пулл и телефон дозвона до провайдера (я умудрился потерять листок), или дай ссылку, пожалста!!!
А если совсем не затруднит то и ip для CS.
ЗАРАНЕЕ блаходарен!

Автор: LM 13.8.2003, 14:17

Халф незнаю, незнаю про модем но вопервых я читал про ето то что Зюксель внешний червя этого непропускает, да и на деле уже заметил у меня у двух корешей такие модемы и у них проблем небыло с червячком. А вот насчет виндовса да там еще и 2000 гонит с NT насчет червя, точно прикрывайте дыры в ХР, а с него не слезу , имею ввиду Виндовс самый по моему лудший из всех ну ето уже не мне судить, просто скачайте патч как и я с сайта вроде все нормально.

Автор: Griz 13.8.2003, 14:29

AV,
понял ступил...Причем конкретно

Автор: Griz 13.8.2003, 14:33

Седня выхожу на поле битвы... Кто приходит?
Если никого не будет буду убивать сам себя статистику потрить

Автор: Rioter 13.8.2003, 15:07

Кстати, действительно странность есть... Все поимели червя и шатдауны, а я только шатдауны. Непонятки.
Если это другой червь, то какой? Вроде все чисто... Уже не перегружает. Хватило заплатки.
AV - не открывать незнакомые линки?! А зачем тогда Инет? ;-) А червяк кстати, ничего такого и не требовал. Сам себя рассылал пакетом, чем и был опасен.

Автор: Griz 13.8.2003, 15:15

Тявляблизорь смореть нада... 3 червя ходят по Еваропе и рубят окно в Россию

Автор: oXidizer 13.8.2003, 15:19

линк на патч для XP ENG prof/home

Автор: Rage 13.8.2003, 16:17

Win'98 рулез .... это я так.....вот млин..вам везёт...а у меня никогда ничего не было...никакиш вирей..и вормов...тока вот ещё бы не мои руки было бы всё нармуль..а то вечно млин из за них комп тупит

Автор: Rioter 13.8.2003, 17:19

Впервые вообще слышу о том, что червь зависит от момеда. По-моему чушь. Но у меня именно Zyxel Omni56k

Автор: Crash 13.8.2003, 17:47

Автор: AV 13.8.2003, 21:10

Автор: FETT 13.8.2003, 22:30

Цитата из сообщения Griz:
Fett, а с чего ты взял что твой комп чист если ты не пользуешься ничем? Хе-хе, батенька, так ведь почти все самые вредные и негодяйские "триппаки" сидят себе до поры до времени, а потом - грох винде, а ты все сваливаешь на "долбанный мракософт" (хотя он действительно такой )

Автор: Figli 14.8.2003, 8:45

http://www.utro.ru/articles/2003/08/13/222659.shtml

Автор: Роман 14.8.2003, 9:30

на XP не гоните виндовз нормальный если его по уму настроить............ну а для работы конечно лучше на мой взгляд 2000NT

Автор: Роман 14.8.2003, 9:34

Автор: MadMax 14.8.2003, 18:02

Ну... %) атаку червя выдержал!
Успел поставить патчик и заобно firewall.
Т.е. без потерь, а как остальные? Кто-нить "пострадал"?

Автор: GLENN 14.8.2003, 18:16

У меня эта сволочь в машину не смогла пробраться (Firewall и SP1 в XP стоят), так она пробовала создать себя, как пользователя от имени (!) .... Microsoft!!! Большой и толстый ...(нехорошее слово) ей по всей морде!

Автор: Griz 14.8.2003, 20:37

Жутко... ХРень себя НИКАК не оправдала!!!
Червь жестоко рулит!!! Думаю это не хуже WinChn95 (Чернобыль) себя проявит... Все ждем 16 числа и.... вырубаем кабели с сетевух...
ЗЫ
Вчера ко мне аж с .uk стучались через 135 порт по 15-20 пакетов в течении 1 минуты...
Слава Богу файрвол отсеял... А с Колмыка ваащеее труба была только 135,137,139 порты атаковали...
А вы: "Да фигня этот червь..." Ну-ну...
ЗЫ №2
А кто сказал что он толко на ХР? Неа... и на 98 тоже модификация есть!

Автор: oXidizer 15.8.2003, 10:17

А я из никогда стены и антивиры дома не ставил...
Раз в ..дцать месяцев проверку делаю и все чисто.
везет пока )) ...

а вот атаку блястера пережили практически вовремя заплатки поставили..

Автор: AK 15.8.2003, 13:45

Цитата из сообщения Griz:
Люди у кого стоит ХР!!!
Вчера вылез в инет и через 15 минут вылетелело сообщение об остановке системы (ака через 30 сек машина будет перезагружена из-за сбоя системы)...
Товарищи, будте бдительны это червь!!!
Исполняемый файл msblast.exe (7кб), висит в трее (вот наглый, гад!) и пускает себя после выхода в инет на портах 137 и т.п. менее 1024 порта!!!
Возможно это схвачено из аськи (я позавчера выходил и мне кто-то бросил мессагу со ссылкой (вот дурак, нафиг я ее нажал!)
Сам червь htm`овский.
Лекартсво одно - найти по поиску этот exe`шник и удалить его windowssystem32msblast.exe (я кстати его так и нашел, а только седня узнгал что это червь)
А так же выбить из реестра...
Ни один антивирус его не видит (хотя находит htm-червяка).
Подробности здесь http://www.livejournal.com/users/karimovru/172460.html

Автор: GLENN 15.8.2003, 13:53

Всё в порядке. XP рулит! Никаких проблем!

Автор: AK 15.8.2003, 15:31

Еще есть время для того, чтобы убить червяка на своей машине. Специалисты компании Symantec выпустили специальную утилиту, способную удалять из системы самого червя и устранять все последствия его пребывания. Никаких настроек пользователю производить не потребуется - после запуска утилита W32.Blaster.Worm Removal Tool самостоятельно обнаружит и уничтожит зловредную программу.

http://securityresponse.symantec.com/avcenter/FixBlast.exe

Автор: Griz 22.8.2003, 14:59

Мдя... только избавились от МСБляста как тут весщь занятнее появилась... W32.Welchia.Worm
Чъярьвяк настолько бысто расползся по сети (енот included), что переплюнул своего предшественника...
Мало того этот самый Welchia при заражении системки убивает сам BLAST !!! (при таком раскладе этот топ уже в Юмор можно помещать ) msblast всего лишь на 10... Почуствуйте разницу!!!
Вредности червя W32.Welchia (а мож и нужности) :

В дополнение к эксплуатации уязвимости DCOM RPC (порт 135) новый червь пытается использовать брешь WebDAV в системе IIS 5.0 (порт 80). Тело червя маскирует себя под файл DLLHOST.EXE, создает в системе процесс "WINS Client", копирует в систему TFTPD.EXE, маскируя его под именем SVCHOST.EXE. После этого червь принудительно завершает работу процесса MSBLAST.EXE, удаляет с диска его исполняемый файл, удаляет записи о нем из реестра, загружает и устанавливает с сайта Microsoft обновление системы безопасности DCOM RPC (если оно еще не было установлено). Затем происходит принудительная перезагрузка компьютера без предупреждения пользователя.

Червь не удаляет себя вплоть до наступления 2004 года (после чего червь самоуничтожится).

Червь засоряет своими поисковыми запросами сеть, что приводит к замедлению ее работы.

Червь открывает порт 707 для возможных атак извне (которые последуют до наступления 2004 года?).

Несанкционированная перезагрузка может привести к потере данных

(иточник Overclockers.ru)

Фикс червя:
http://www.symantec.com/avcenter/FixWelch.exe

Возрадуйтесь!!!

Автор: AV 22.8.2003, 15:14

Пострадавшие уже есть?

Автор: whale 22.8.2003, 15:25

Дык эта инфа у же была в новостях на усинск.ру

Автор: Griz 22.8.2003, 16:41

Угу... Читал - лажа...
Да, че там говорить сходите на сам симантек да прочитайте об энтой новой заразе...
AV, пострадавшие еще не появились (хотя я у себя на машине нашел энту дрянь)

Автор: Yar-Com 24.9.2003, 9:47

Заметил такую штуку, вирус не может пробиться но при этом все же вызывает ошибку RPC.

Автор: Griz 24.9.2003, 11:29

На 2000-ке тоже не перегружает, а кидает ошибку svchost. Тем неменее, даже с заплаткой борода продолжается, по крайней мере в ХР. (вирус не оседает, но машинку-то ребутит!!!) Если так дело пойдет, вааще 95`ый поставлю!

Автор: kom 25.9.2003, 7:19

Народ, а кто даст Serv2003 посмотреть-пощупать?
Куда-когда с болванкой подойти?

Автор: Yar-Com 25.9.2003, 8:03

у меня есть, я его решил в конторе поставить, сейчас разбираюсь с богатыми возможностями и т.д.

но одна проблемма, я дал на время человеку диск.

Автор: HalfHuman 29.9.2003, 0:38

Что за "богатые возможности"? Конкретно кто-нибудь может внятно объяснить - чего там хорошего-то?

А то про 2003 только восторженные крики слышу - без какой-либо конкретики ... типа клёва тама всё ...

Автор: AK 2.12.2004, 10:43

существенно участились случаи заражения компьютеров SpyWare программой, которая по моей классификации называется Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdvWare.WinAd).
Проявлением Spy.Winad является появление в памяти двух посторониих процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается. Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win98).
Все известные мне версии заложены в базы AVZ. Для ручного поиска нужно искать файлы с именами winad.exe, winadx.dll, winadx.inf, clientcom.dll, winclt.exe, syncroad.exe, winsync.exe, ccomm.dll и архивы с именем bridge-c*.cab.
Кроме того, Spy.WinAd создает CLSID 15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6 в реестре.

Будьте бдительны Я у себя эту ***ь и муть еле вывел...правда всего за 20 минут ручками... Проверяйте процессы...

Интересные факты:

Поковырявшись в реестре нашёл такую фихню в разделе HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallWindows AdControl:
UninstallString C:Program FilesWindows AdControlWinAdCtl.exe /Remove

Вот это найдено в инете:

Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют... )))))).
А если еще его прочесть....
Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ , и ещё,
что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
...ваще, офигеть...

И как убивать эту заразу:

Здраствуйте, сегодня я "ознакомился" с этим ненавистным AdTools.
Сейчас расскажу как это было.
Итак, я искал какой-то крэк-файл для моего любимого Flash'a,
и вдруг комп подвис. Ни одна страница не грузится (у меня dial-up),
а значок с двумя компами непрерывно горит, как будто что-то грузится и
мешает всему остальному. Я зашел в taskmgr (у меня WinXP), и нашел
там два странных процесса - WinAdTools.exe и WinRatchet.exe.
Они не завершаются, а после перезагрузки процессы снова работают.
Если я удаляю ключ запуска с виндой hklmsoftwaremicrosoftwindowscurrentversionrun WinAdTools, он появляется снова! Но я быстро снёс его, может мне такая "легкая" версия адтулза попалась, но он стерся сам с помощью "Установка и удаление программ", а дальше я покопался в реестре и вычистил остатки вируса.
Ещё, если "Установка и..." не помогает, попробуйте загрузится в safe mode
,adtools автоматически не запустится и его можно спокойно удалить.
Папки в которых он сидит я нашел только Program FilesWindows AdTools и
WindowsDownloaded Program Files, где сидит его CLSID. В реестре просто набирайте "ПоискAdTools" и сносите все ключи, понаделанные этим гадом.
После этого я Лавасофтом 6 проверял - ничего нет. Интересно, что это за стремный сайт windupdates.com с которого пришло это?
И еще, кто-нибудь знает, где мог успеть нагадить AdTools за 5 минут, пока я его удалял?
Я надеюсь он не спер мои пароли в инет...по крайней мере autoexec.nt у меня в порядке.

[ 22. Июнь 2005, 19:34: Сообщение отредактировано: Z@rRaZZa ]

Автор: HalfHuman 2.12.2004, 13:16

Солидная работа ... образцы прислать сможешь?
в запакованном виде под паролем, чтобы текст пароля в письме напрямую не был виден

Автор: HalfHuman 2.12.2004, 14:13

отбой ... кламав ловит такое ...

Автор: AK 2.12.2004, 15:18

Автор: HalfHuman 2.12.2004, 15:19

опенсоурс антивирус ... http://www.clamav.net/
который на mail.usinsk.ru почту чистит ...

Автор: AK 2.12.2004, 15:32

Автор: HalfHuman 2.12.2004, 16:13

вот народ ... если с исходниками значит только под *nix? 8-)
есть три вещи которые позволяют компилировать такой софт и на виндах - cygwin, mingw и Microsoft SFU ... ну либо под любым компилятором, если поработать напильники ...
А под винды к кламаву даже фронтенд приделали ...
http://www.clamwin.net/

Автор: Anonymous 17.2.2005, 15:04

Я сегодня также познакомился с веселым Adtools.
Кстати помимо всего то что написано я еще нашел файлы adtoolskeep в папке WindowsPrefetch
Короче снес все нафиг на винтах и в реестре все что содержит имя adtools.Ну надеюсьбольше я с ним не всречусь.Странно у меня Касперский 5.0.227
ничего не нашел

Автор: Zarrazza 22.6.2005, 18:35

Первый полноценный вирус для "1С:Предприятие"
--------------------------------------

"Лаборатория Касперского" сообщила о появлении вируса Tanga, который может быть действительно опасен для пользователей 1С. Эксперты назвали его первым полноценным вирусом, поражающим системы 1С. Однако для беспокойства пока нет никаких причин: данный вирус, получивший название Virus.1C.Tanga.a, был создан в академических целях и не содержит деструктивной функциональности. Создатель программы сам направил ее экспертам компании для изучения. Приводим далее цитату из пресс-релиза "Лаборатории Касперского":

"Tanga" распространяется в системе "1С:Предприятие7.7" посредством заражения пользовательских файлов, отвечающих за внешние отчеты и имеющих расширение "ERT". Одним из встроенных в такой файл-отчет макромодулей и является вредоносная программа. Метод размещения "Tanga" в инфицированных файлах во многом соответствует макро-вирусам, заражающим документы и таблицы пакета программ Microsoft Office. Зловредные модули располагаются в специальном блоке данных и активизируются при открытии файла-отчета. Подобно макросам Microsoft Office, они могут иметь автоматические именные идентификаторы, срабатывающие при различных действиях с файлом, например, его открытии. Для своего распространения "Tanga" в полной мере использует мощный язык модулей "1С". Он позволяет вирусу обращаться к другим дисковым файлам, включая и файлы-отчеты, подобные зараженным, и размножаться. Таким образом, данный вредоносный код является первой полноценной программой-инфектором, созданной для платформы "1С:Предприятие7.7" и записывающей свой код в служебные файлы системы формата "*.ert".

Для работы вирус использует специальную библиотеку "Compound.dll". В случае, если данный файл отсутствует в системе, вирус выполняться не будет. Механизм действия "Tanga" достаточно прост: при запуске зараженного ert-файла вирус проверяет наличие в системе файла "Compound.dll", затем последовательно сканирует все каталоги текущего диска в поиске файлов с расширением "ert". В найденных файлах проверяется наличие строки: Tango.ERT.2622. Если она найдена, то файл уже был заражен ранее, и повторной записи зловредного кода не происходит. В противном случае, вирус создает в файле модуль с именем "1C Programm text", в который записывает свой код.

Необходимо отметить, что автор этой версии "Tanga" проявил понимание сложности работы антивирусных экспертов, и сделал все для того, чтобы минимизировать время анализа кода и ущерб от его возможного распространения. Для этого создатель вируса лишил его каких-либо деструктивных функций, сделав программу безопасной даже в случае заражения, а также снабдил направленный специалистам "Лаборатории Касперского" экземпляр развернутым описанием на русском языке.

Автор: Anonymous 26.6.2005, 13:08

Автор: Zarrazza 26.6.2005, 13:23

ну слухи про то что касперы сами вирусы пишут в инете давно уже ходют. не знаю может пишут а может и нет. а вот некоторые факты знать стоит ... например шта касперы называют вирусы своими именами, а весь остальной мир своими... т.е. имена могут не совпадать... и тому примеров куча... во вторых представь себе такую картину... написали монгольские программеры себе калькулятор на монгольском языке и с монгольскими цыфрами и иероглифами... а другие монгольские вирусописатели написали под этот калькулятор вирус .... вот как ты думаешь слишком ли актуальным будет угроза такого вируса у нас в россии... и насколько быстро появится защита от этого вируса в базах того же касперского ??... ))) ... вот так примерно весь мир смотрит на нас с нашим вирусом для 1с... ... и обновления для такого экзотического вируса им до лампочки...

Автор: HalfHuman 26.6.2005, 17:43

имена дают те, кто нашёл ...
что потом делать, если такой же вирус под другим именем определён в других антивирусах - тут каждая контора решает сама .. одни переименовывают под большинство, другие оставляют как есть ...
что уж говорить, если даже drweb с каспером на один и тот же вирус по-разному ругаются ...
в одной стране договориться не могут, что уж говорить про весь мир ...
главное чтобы работало и вирусню ловило ... а как оно называется у конкретного производителя антивирей - не всё ли равно?

Хотя часто производители антивирусов в своих вирусных энциклопедиях пишут в вируслисте при отличиях в именах как какой антивирус как обзывает вирус ...

Автор: Anonymous 27.6.2005, 19:55

Фигня , те кто пытается продвинудь свой продукт, обычно быстро реагируют на новые напасти, для этого есть в антивирусах какая-то "евклидова примочка" - не помню как называется..., а-а-а! эвристический анализ . Ему пофиг какой вирусяка, на всяк случай убьет и определит любого...

Автор: MadMax 3.11.2003, 14:17

Народ объясните популярно - как зарегить NAV 2004?
Уже перепробавал кучу серийников, кейген есть, но вот куда этот сгенеренный кей вводить?
Единственное что NAV предлагает - так это ввести Product Activation Key. И ни какой из перепробаванных мной не подходит.
Нехорошо как-то получается.

Автор: AV 3.11.2003, 15:20

А это что? Ссылку дай.

Автор: MadMax 3.11.2003, 15:40

Norton Antivirus 2004
http://files.letoltes.com/biztonsag/NAV10ESD.exe

Автор: oXidizer 6.11.2003, 9:06

В Symantec'е перемудрили с активацией
dl // 03.11.03 13:56
Как признала сама компания, некоторые пользователи Norton Antivirus 2004 вынуждены вводить код активации после каждой перезагрузки системы, а через некоторое время просто получают сообщение о завершении пробного периода. Причины такого поведения пока неизвестны, для пользователей, испытывающих подобные проблемы, выпущена утилита Symantec Automated Support Assistant, собирающая информацию о системе для последующего анализа.

Напомню, что вся эта затея с активацией, которая некоторое время воспринималась софтверными фирмами как панацея против пиратства, в последнее время показала себя не слишком работоспособной - практически для всех популярных пакетов, включая NAV 2004, распространяются генераторы активационных ключей, а для некоторых пакетов обнаружены серийные номера, не требующие активации.
Источник: ComputerWorld

Автор: Anonymous 6.11.2003, 17:09

Куда вбивать понятно, в кряке два генератора, неизвестно сама процедура. где брать данные для второй строки?

Автор: AV 11.11.2003, 10:19

http://norton.antivirus.professional.2004.v10.0.0.109.activation.crack.cracks.lomalka.ru/CRACKS/N/O/Norton_AntiVirus_Professional_2004_v10.0.0.109_Activation_Crack.ru.html

Тут смотрели?

Автор: HalfHuman 10.11.2003, 18:09

http://www.usinsk.ru/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=561&title=HFNetChk - бесплатная утилита, диагностирующая систему на предмет установки/отсутствия патчей, критических обновлений.

Работает в сети.
подробности - HFNetChk.exe -?
Win NT, 2000, XP

Автор: Zarrazza 29.11.2003, 13:05

Spyware: что не запрещено - то разрешено?

Нередко в прессе встречаются упоминания о судебных процессах, связанных с особым видом программного обеспечения spyware - программных продуктах, основной задачей которых является скрытый мониторинг деятельности пользователя в Интернете. Если рассматривать этот вид программного продукта в целом, можно выделить клиентскую и серверную части, а именно: клиентская часть отслеживает активность пользователя и передает данные по Интернету серверной части, которая, в свою очередь, запрограммирована на принятие определенных действий, в зависимости от полученных данных. В связи с этим у юристов возникают вопросы о правомерности использования таких программ. Очевидно, что такие программные продукты не лежат на прилавках магазинов и вообще сложно найти такого пользователя, который добровольно согласится на установку spyware.

Одним из животрепещущих вопросов является сам процесс попадания клиентской части программного продукта в компьютер пользователя. Приобретя то или иной программное обеспечение, в процессе его установки на компьютер, одним из юридически ключевых (!) моментов является согласие пользователя на правила использования данного ПО (документ называется EULA - End User License Agreement). Обычно этот документ занимает несколько страниц, и читать его, как правило, недосуг - одно и тоже практически везде. После прочтения предлагается, в случае, если пользователь согласен, поставить "галочку" в определенном месте и продолжить установку. До тех пор, пока пользователь не согласится с условиями использования этого ПО, установка не продолжится. Так вот, в этом самом EULA содержится пункт, в котором прописано, что на компьютер пользователя, "в нагрузку", будет установлено нечто - клиентская часть spyware. Вот так и получается, что пользователь добровольно соглашается на установку spyware.

Другим животрепещущим вопросом является юридический окрас процесса передачи данных клиентской части с компьютера пользователя. На первый взгляд, клиентская часть spyware собирается сведения, возможно конфиденциальные, и передает неизвестно куда - в EULA не приведен алгоритм работы spyware. И это, заметьте, без явного согласия пользователя. Юристы апеллируют к той самой "галочке", которую поставили в процессе установки. Вроде бы все правильно, но что-то не то. Получается, что компьютером, через программное обеспечение, может управлять еще кто-то, кроме его собственника. Также из-за работы этих spyware понижается общая производительность системы.

Дискуссии на эту тему за последние несколько лет достигли такого накала, что обсуждение этих вопросов было вынесено в Конгресс США. В дискуссии, однако, принимает участие лишь одна сторона - законотворцы, которые пытаются сформулировать суть проблемы и принять соответствующий закон. Предпринималось много разных попыток, даже был разработан проект закона, который был принят в первом чтении, однако все формулировки были настолько расплывчатыми, что под них попадали даже "cookies" и утилиты обновления.

Представители Федеральной Торговой Комиссии (Federal Trade Commission) - организации, в компетенцию которой входит отслеживание подобных вопросов, заявили, что применение spyware не является нарушением каких-либо законов, в том числе закона об "individual privacy" - индивидуальной приватности (неприкосновенность частной жизни).

Одной из проблем, значительно осложняющей деятельности юристов является отсутствие четкой формулировки термина spyware - поэтому будет чрезвычайно сложно "оформить" spyware вне контекста общего законодательства о секретности.

Специального средства для борьбы с spyware, естественно, не придумано, однако частично решить вопрос поможет, например, старая добрая панацея - firewall...

Автор: Zarrazza 29.11.2003, 13:08

Будь бдителен на работе - за тобой следят!


Довольно интересный материал был опубликован в одном из недавних номеров информационного выпуска Washington ProFile. Этот источник проанализировал (и снабдил статистическими выкладками) сложившуюся ситуацию со слежением различными компаниями за действием своих сотрудников за компьютерами. Мы уже видим большой рост предложений от разработчиков, создающих программы для различного рода слежения за сотрудниками компаний. Проблема весьма щепетильная, и довольно сложная по ряду аспектов (в том числе и моральному). Предлагаем вашему вниманию некоторые наиболее интересные выдержки из материалов Washington ProFile...


Компании всегда подсматривали за своими сотрудниками, чтобы избежать потерь от краж и снижения производительности труда. Ныне на помощь работодателям пришли новые технологии и новые методы контроля наемного персонала. Новые технологии дали начальству возможность подслушивать телефонные разговоры сотрудников, читать их электронную почту, незаметно проверять файлы, содержащиеся в компьютерах сотрудников, и следить за тем, какие сайты посещают офисные работники.

В сентябре 1996 года, влиятельная общественная организация "Американский Союз по Гражданским правам" (American Civil Liberties Union) сообщила, что количество наемных работников, находящихся под постоянным электронным наблюдением со стороны работодателей за шесть лет увеличилось с 8 до 30 млн. человек. В 2000 году Ассоциация Американского Менеджмента (American Management Association) опросила более двух тысяч крупных компаний и выяснила, что 73% из них постоянно используют информационные технологии для слежки за своими сотрудниками (в 1998 году таких было 40%). Чем крупнее и богаче фирма, тем больше вероятность того, что она будет применять подобные методы менеджмента.

В некоторых компаниях специальная программа фильтрует электронную корреспонденцию, распространяющуюся между сотрудниками. Если программа обнаруживает "опасные" слова, такие как "забастовка" или "начальник", она автоматически пересылает это сообщение руководителю компании.

Несколько лет назад известная газета The New York Times уволила 23 сотрудника за то, что они обменивались "оскорбительными" шутками по электронной почте, используя внутреннюю компьютерную сеть газеты. Газета заявила, что увольнения были нужны для "сохранения не агрессивной рабочей атмосферы". Сотрудник Министерства Обороны США (US Defense Department) был уволен после того, как в государственном компьютере, который он использовал, были обнаружены порнографические материалы. Результаты слежки за сотрудниками не считаются незаконными и используются судом. К примеру, в 1995 году в одной из газовых компаний, входящей в корпорацию Chevron, разразился сексуальный скандал: менеджера обвиняли в назойливом приставании к его подчиненным - женщинам. На суде перехваченные электронные письма сотрудников были использованы как улики!

Почти нет законов, которые могли бы ограничить желание начальства шпионить за своими сотрудниками, так как телефон, компьютер и само здание являются собственностью работодателя. Это означает, что руководство компании не нуждается в разрешении сотрудников, чтобы предпринимать подобные действия. Несколько судебных процессов, инициаторами которых становились униженные наемные работники, показали, что работодатель обладает подобным правом. Суды выносили вердикты, гласившие, что на рабочем месте наемные работники не могут требовать обеспечения права на неприкосновенность частной жизни (в США для обозначения этого права используют термин privacy), и что работодатели имеют законное право контролировать и наблюдать за деятельностью своих рабочих. Конечно, существуют некоторые исключения из этого правила. В законодательстве некоторых штатов США существуют положения, которые обязывают работодателей уведомлять своих рабочих в том случае, если электронная почта находится под надзором руководства.

Согласно законодательству США, если сотрудник той или иной фирмы предпринимает противозаконные действия, используя оборудование компании - работодателя (например, рассылая со своего корпоративного электронного почтового ящика компьютерные вирусы), то компания тоже может быть привлечена к суду.

По данным исследования, проведенного ePolicy Institute, более половины компаний осуществляют контроль над электронной почтой своих сотрудников. 51% проверяют входящие e-mail сообщения, 39% - исходящие. 19% проверяют электронные послания, которыми обмениваются сотрудники фирмы между собой. Самый интенсивный период наблюдения за сотрудником происходит сразу до и после найма - компании должны отфильтровать шпионов до того, как они могут нанести ущерб.

Кроме того, существуют и "идеологические" террористы: к примеру, анархисты часто нанимаются в крупные корпорации, чтобы заразить корпоративные сервера вирусами или взломать их сайты. Из-за совокупности всех этих причин, компании наблюдают за своими сотрудниками всё пристальней. Исследование консультационной компании Elan показало, что 56% крупных компаний проверяют резюме предполагаемых кандидатов значительно дольше и тщательней, чем год назад. Многие офисные работники используют оборудование, принадлежащее компании и рабочее время не по назначению. Они рассылают личные письма по электронной почте, играют в компьютерные или азартные игры в Интернет, совершают покупки в интернет-магазинах и т.д. В США появилась целая индустрия по производству компьютерных программ (таких как SpyAgent и Web Sleuth), которые отслеживают подобных лентяев.

Жители США, имеющие домашний доступ в Интернет, тем не менее, пользуются сетью Интернет в личных целях и на своих рабочих местах. Исследование Мэрилендского Университета и маркетинговой фирмы Rockbridge Associates показало, что среднестатистический наемный работник в США тратит на личные интернет-нужды 3.7 часа в неделю. Если же у сотрудника нет домашнего выхода в Интернет, то он крадет у работодателя уже 6.5 часов в неделю. По данным компании Websense, 67% сотрудников американских компаний, имеющих на работе доступ в Интернет, пользуются им в личных целях. 78% обследованных компаний блокируют своим сотрудникам доступ к порно-сайтам, 47% - запрещают доступ к игорным сайтам...

Автор: Anonymous 10.12.2003, 5:33

Ad-aware 6.0 (3Мб) вычистит всех Spyware (рекламных шпионов). Удаляет компоненты ко всем ...

Автор: Partizan 4.12.2003, 20:24

есть.кому надо пишите и ли приходите в альфус с болванкой, размер около 40 метров..........
работает.

Автор: Rioter 6.12.2003, 1:42

А что такое Альфус?

Автор: Partizan 6.12.2003, 20:44

контора где я работаю...............
ремонт компутеов короче........

Автор: Zarrazza 8.12.2003, 9:44

тахир, модель т 180 ... такая?

Автор: Partizan 9.12.2003, 0:48

угу

Автор: Zarrazza 9.12.2003, 11:55

...за 1200 купишь? практически новый с синей панелькой...

Автор: Partizan 10.12.2003, 4:00

ДАДАДАДА

Автор: Zarrazza 29.1.2004, 9:05

Итак, время для анализа сложившейся ситуации с новым вирусом "Novarg", существующим в природе также под названием "MyDoom". Для начала - информация от Лаборатории Касперского:


Всего за несколько часов существования "Novarg" (также известный как "Mydoom") успел вызвать глобальную эпидемию, поразившую порядка 300 тысяч компьютеров по всему миру. Подобный взрыв активности вредоносной программы однозначно указывает на серьезную подготовку вирусописателей. Подготовка включала в себя создание распределенной сети зараженных компьютеров. При достижении критического числа машин в эту сеть была отправлена централизованная команда рассылки "Novarg". Такая технология уже была применена ранее в почтовом черве Sobig.F. Подробный анализ географии распространения позволяет говорить, что "Novarg" был создан в России.

Почему же возникла эпидемия? Вирус распространяется как по файлообменным сетям, так и по электронной почте. Он использует различные возможности для маскировки - различные названия писем, различные расширения файлов (bat, exe, scr, pif) вложений и т.п. В файлообменных сетях всё проще - вирус маскируется под дистрибутивы известных программ (Winamp, ICQ и т.п.). Типичный пример поставки вируса: письмо с сообщением о невозможности отображения содержимого в нужной кодировке и присоединённым файлом - якобы с сохранённым телом письма...

После запуска вируса он открывает Notepad с беспорядочным набором символов. Вместе с этим создаются файлы Taskmon.exe (носитель червя) и Shimgapi.dll (троянский модуль), которые регистрируются для автозапуска в системном реестре. После этого проистекает попытка дальнейшего распространения вируса с заражённой машины.

Лаборатория Касперского отмечает три основные особенности вируса:

Во-первых, червь устанавливает на зараженный компьютер прокси-сервер - модуль, который может позднее использоваться злоумышленниками для рассылки спама или новых версий вредоносной программы.

Во-вторых, на компьютер внедряется backdoor-программа (утилита несанкционированного удаленного управления), которая позволяет вирусописателям полностью контролировать зараженную машину. С ее помощью можно похищать, удалять, изменять данные, устанавливать программы и др.

В-третьих, в "Novarg" заложена функция организации DoS-атаки на сайт "www.sco.com". Функция активна в период с 1 февраля по 12 февраля 2004 года, в течение которого все зараженные компьютеры будут посылать запросы на данный web-сайт, что может привести к его отключению.

Относительно третьего пункта существует следующая информация: вчера компания SCO Group предложила награду в 250 тысяч долларов тому, кто поможет арестовать подозреваемого в авторстве вируса. Если учесть, что Лаборатория Касперского предполагает, что автор вируса - наш с вами соотечественник, то получается интересная картина...

Однако вернёмся к прозе жизни - та же Лаборатория Касперского уже выпустила бесплатную утилиту для определения вируса Novarg и удаления его из системы. Кстати сказать, этот инструмент - весьма полезен, так как предназначен для обнаружения и вычищения из системы и других вирусов, а именно: I-Worm.BleBla.b, I-Worm.Navidad, I-Worm.Sircam, I-Worm.Goner, I-Worm.Klez.a,e,f,g,h, Win32.Elkern.c, I-Worm.Lentin.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p, I-Worm.Tanatos.a,b, Worm.Win32.Opasoft.a,b,c,d,e,f,g,h,i,j,k,l,m,n,o,p, I-Worm.Avron.a,b,c,d,e, I-Worm.LovGate.a,b,c,d,e,f,g,h,i,j,k,l, I-Worm.Fizzer, I-Worm.Magold.a,b,c,d,e, Worm.Win32.Lovesan, Worm.Win32.Welchia, I-Worm.Sobig.f, I-Worm.Dumaru.a-d, Trojan.Win32.SilentLog.a-b, Backdoor.Small.d, I-Worm.Swen, Backdoor.Afcore.l-ad, I-Worm.Sober.a,c. Распакуйте программу и запустите исполняемый файл - сканирование пойдёт в режиме командной строки...
ftp://ftp.kaspersky.com/utils/clrav.zip

Автор: oXidizer 29.1.2004, 10:33

А теперь о самом вирусе:

-------------------------------------------------


I-Worm.Mydoom.a

Вирус-червь. Также известен как Novarg.

Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам, а также по сетям файлообмена Kazaa. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB.

Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Червь содержит в себе "бэкдор"-функцию, а также запрограммирован на проведение DoS-атаки на сайт http://www.sco.com 1 февраля 2004 года.

Часть тела вируса зашифрована.

Инсталляция
После запуска червь запускает Windows Notepad в котором демонстрирует произвольный набор символов:


При инсталляции червь копирует себя с именем "taskmon.exe" в системный каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"TaskMon" = "%System%taskmon.exe"
В отличие от одноименного системного файла Windows, файл червя всегда имеет размер 22KB.
Червь создает в системном каталоге Windows файл "shimgapi.dll", являющийся "бэкдор"-компонентом (прокси-сервер) и также регистрирует его в системном реестре:

[HKCRCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32]
"(Default)" = "%SysDir%shimgapi.dll"
Таким образом, данная DLL запускается как дочерний процесс "Explorer.exe".
Также червь создает файл "Message" во временном каталоге системы (обычно, %windirtemp). Данный файл содержит произвольный набор символов.

Для идентификации своего присутствия в системе червь создает несколько дополнительных ключей системного реестра:

[HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version]
Для этой же цели, в процессе работы, червь создает уникальный идентификатор "SwebSipcSmtxSO".
Рассылка писем
При рассылке зараженных писем червь использует собственную SMTP-библиотеку. Червь пытается осуществить прямое подключение к почтовому серверу получателя.
Для обнаружения адресов электронной почты, по которым будет вестись рассылка зараженных писем, червь ищет на диске файлы, имеющие расширения:

asp
dbx
tbb
htm
sht
php
adb
pl
wab
txt
и собирает найденные в них адреса электронной почты. При этом червем игнорируются адреса, оканчивающиеся на ".edu".
Содержание зараженных писем

Адрес отправителя:

[произвольный]
Тема письма выбирается произвольно из списка:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Тело письма выбирается произвольно из списка:
test

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment.

The message contains Unicode characters and has been sent
as a binary attachment.

Mail transaction failed. Partial message is available.
Имя вложения может иметь либо одно слово, либо быть составленным из двух отдельных, соединенных символом "_":
document
readme
doc
text
file
data
test
message
body
Вложения могут иметь одно из расширений:
pif
scr
exe
cmd
bat
Также червь может посылать письма с бессмысленным набором символов в теме письма, тексте письма и имени вложения.
Размножение через P2P
Червь проверяет наличие установленного на машине клиента Kazaa и копирует себя в каталог файлообмена под следующими именами:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
с расширением из списка:
bat
exe
scr
pif
Прочее
"Shimgapi.dll" представляет из себя прокси-сервер. Червь открывает на зараженной машине TCP порт из диапазона от 3127 до 3198 для приема команд. Функционал "бэкдора" позволяет злоумышленнику получить полный доступ к системе. Кроме этого, "бэкдор" может загружать из интернета и запускать на исполнение произвольные файлы.
В черве заложена функция организации DoS-атаки на сайт http://www.sco.com. Эта функция должна быть активирована 1 февраля 2004 года и будет работать вплоть до 12 февраля 2004 года. Червь каждую миллисекунду отсылает на 80 порт атакуемого сайта запрос GET, что в условиях глобальной эпидемии может привести к полному отключению данного сайта.

---------------------------------------------

http://www.viruslist.com/viruslist.html?id=144488783 статьи

Автор: Zarrazza 29.1.2004, 12:04

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама сообщает об обнаружении новой версии сетевого червя "Mydoom" ("Novarg") - "Mydoom.B".

На данный момент уже поступили сообщения о случаях заражения этой вредоносной программой. "Лаборатория Касперского" допускает, что для распространения "Mydoom.B" были использованы компьютеры, зараженные предыдущей версией червя (на данный момент их число достигает 600 000 единиц). Возможно, они получили централизованную команду начать рассылку "Mydoom.B". По этой причине не исключено, что в ближайшие часы начнется новая вирусная эпидемия, по масштабам многократно превосходящая "Mydoom.A".

Новая версия червя содержит минимум технологических отличий. Она также распространяется по электронной почте и файлообменной сети KaZaA. При e-mail рассылке используется другой набор текстовых строк для создания тела письма. Файл-носитель червя имеет размер около 28 килобайт и содержит текстовую строку "sync-1.01; andy; I'm just doing my job, nothing personal, sorry". "Mydoom.B" в период с 1 по 12 февраля проводит DDoS-атаку сразу на два веб-сайта: http://www.sco.com и http://www.microsoft.com.

Кроме того, червь модифицирует операционную систему таким образом, что пользователь зараженного компьютера не в состоянии соединиться с сайтами многих антивирусных компаний, новостными лентами, различными разделами сайта Microsoft и загружать данные из баннерных сетей.

Защита от "Mydoom.B" уже добавлена в базу данных Антивируса КасперскогоR.

Автор: Zarrazza 29.1.2004, 12:32

http://www3.ca.com/Files/VirusInformationAndPrevention/clnshimg.zip http://rusc.ru/files/FxNovarg.exe

Автор: AV 2.2.2004, 12:18

Утилита для нахождения и уничтожения этого вирусняка (с нашего файлового архива) - http://www.usinsk.ru/modules.php?name=Downloads&d_op=getit&lid=699

Автор: Zarrazza 16.2.2004, 15:32

.... гм исходники винды в инете.... кому нада могу дать ссылки и для инета и для осла.... гм вот какой впрос меня волнует последнее время... а не связаны ли последние атаки на сайт мелгкомягких с кражей исходников....???...

Автор: oXidizer 11.2.2004, 9:01

Новый ход автора "Mydoom": червь "Doomjuice" заметает следы и угрожает Microsoft

"Лаборатория Касперского", ведущий российский разработчик систем
защиты от вирусов, хакерских атак и спама сообщает об обнаружении нового
опасного интернет-червя "Doomjuice". Обнаруженный экспертами компании 9
февраля 2004 года вредоносный код на настоящий момент успел заразить
более 100 000 компьютеров по всему миру, и темпы его распространения
продолжают нарастать. По сведениям специалистов "Лаборатории
Касперского", "Doomjuice" написан автором наиболее разрушительного
вируса современности - "Mydoom", - и предназначен для сокрытия
обличающих его улик. Помимо этого, новый интернет-червь позволяет
организовать масштабную атаку на веб-сайт компании Microsoft. Для
осуществления этих целей используются компьютеры, зараженные "Mydoom.a".

Интенсивный рост числа зараженных "Doomjuice" пользовательских машин
объясняется механизмом саморазмножения червя. Он распространяется по
глобальным сетям, используя компьютеры, уже зараженные одной из версий
червя "I-Worm.Mydoom". Проникновение в компьютер производится через порт
TCP 3127, открываемый троянской компонентой "Mydoom" для приема
удаленных команд. Если зараженный компьютер отвечает на запрос червя, то
"Doomjuice" создает соединение и пересылает свою копию. В свою очередь,
установленная "Mydoom" троянская программа принимает данный файл и
запускает его на исполнение.

Запустившись, червь копирует себя в системный каталог Windows с
именем "INTRENAT.EXE", и регистрирует данный файл в ключе автозапуска
системного реестра для обеспечения активации вредоносной программы при
каждой последующей загрузке компьютера. Затем "Doomjuice" начинает
выполнение основной функции, заложенной его автором. Он извлекает из
себя файл с именем "SYNC-SRC-1.00.TBZ" и копирует его в корневой
каталог, каталог Windows, системный каталог Windows, а также в
пользовательские каталоги Documents and Settings. Данный файл
представляет собой архив TAR, содержащий полный исходный код
'"-Worm.Mydoom.a".

Цель описанной процедуры - распространить оригиналы "Mydoom.a" на
как можно большее число компьютеров. Благодаря этому станет невозможно
конкретного создателя самого опасного вируса современности. Ведь в
случае, когда исходные образцы кода "Mydoom.a" размещены на жестких
дисках десятков тысяч компьютеров по всему миру, доказать авторство
определенного лица становится фактически невозможно.

Кроме того, в "Doomjuice" встроена функция DoS-атаки на сайт
http://www.microsoft.com. До 12 февраля 2004 года она реализуется в "легком"
режиме: червь отсылает на 80 порт данного сайта один запрос GET,
повторяя его через произвольное время. Однако, начиная с указанной даты,
DoS-атака начнется в полную мощь, без перерывов. Учитывая огромный
массив зараженных "Mydoom" компьютеров, дальнейшее распространение
"Doomjuice" способно создать реальную угрозу бесперебойному
функционированию интернет-ресурса ведущего производителя программного
обеспечения.

'Помимо стремления запутать следствие в отношении выявления лиц,
причастных к созданию "Mydoom", массовое распространение оригинальных
текстов вируса может привести к возникновению мощной волны новых версий
этого зловредного кода. Располагая исходником "Mydoom.a", любой человек,
знакомый с принципами программирования, сможет создать клон этого
вируса. Поэтому вполне возможно, что в ближайшее время интернет ожидает
массированная бомбардировка репликантами "Mydoom", - сказал Евгений
Касперский, руководитель антивирусных исследований "Лаборатории
Касперского".


----------------------------------------
из рассылки касперского

Автор: AV 11.2.2004, 9:48

блин. когда же вирусяки и террористы успокоятся. Спокойно пожить не дают. Они все типа целенаправленно действуют против конкретных сил, а выходит как всегда - страдают обычные простые люди.

Автор: oXidizer 12.2.2004, 11:26

"Лаборатория Касперского", ведущий российский
разработчик систем защиты от вирусов, хакерских атак и спама,
сообщает о появлении новой версии интернет-червя
"Doomjuice" - "Doomjuice.b". Принцип
распространения данной вредоносной программы - тот же,
что использовался ее предшественником, обнаруженным 9 февраля:
http://www.kaspersky.ru/news.html?id=145604728. Червь производит
сканирование адресного пространства интернета в поисках
компьютеров, зараженных сетевыми червями "Mydoom.a" или
"Mydoom.b". Установив соединение с пораженной машиной
через открытый "Mydoom" порт 3127, "Doomjuice.b"
пересылает на нее свою копию, а троянская компонента
"Mydoom" запускает полученный файл.

В то же время, функциональное предназначение
"Doomjuice.b" сосредоточено исключительно на DoS-атаке
веб-сайта компании Microsoft, http://www.microsoft.com. Скопировав себя при
запуске в системный каталог Windows под именем
"REGEDIT.EXE", и зарегистрировав данный файл
в ключе автозапуска системного реестра, червь проверяет системную
дату. В случае, если текущая дата находится в промежутке между
8 и 12 числом месяца, - функция DoS-атаки
не запускается. Также червь не производит DoS-атаку
в январе.

Таким образом, "Doomjuice.b" будет осуществлять
DoS-атаку на сайт http://www.microsoft.com каждый месяц,
за исключением января, с 1-го по 8-е число
и с 12-го числа до конца месяца. Для проведения DoS-атаки
червь отсылает множественные запросы на 80-й порт сайта
http://www.microsoft.com.

При этом используется уникальная для данного вида вирусов технология
генерации обращения к серверу - строка созданного червем
запроса полностью имитирует формат запроса от популярного
веб-браузера Internet Explorer. Это исключает возможность блокирования
обращений от зараженных компьютеров, так как ни одно средство
сетевой фильтрации не сможет отличить запрос обычного пользователя
от инициированного червем. Данная функция значительно увеличивает
деструктивный эффект DoS-атаки червя Doomjuice.b. Если эта вредоносная
программа получит широкое распространение, дальнейшая жизнеспособность
интернет-ресурса компании Microsoft будет поставлена под серьезное
сомнение.

Процедуры защиты от "Doomjuice.b" уже добавлены
в базу данных Антивируса Касперского. Более подробная
информация о данной вредоносной программе доступна в Вирусной
Энциклопедии Касперского.
(http://www.viruslist.com/viruslist.html?id=144590011)

Автор: Griz 12.2.2004, 16:43

А я чес слово даже заинтересовался... Если !БУМ! будет лучше чем у msblast и все ж таки грохнут сайт M$, то куплю пиво и выпью за здравие товарысча вирусописатля!

Автор: Стрелок 10.5.2004, 1:10

Арестованный германской полицией 18-летний юноша сознался в создании компьютерного вируса Sasser, заразившего тысячи компьютеров по всему миру.
О признании молодого человека сообщил представитель полиции федеральной земли Нижняя Саксония Франк Федерау. Имя арестованного не раскрывается. В доме родителей юноши проведен обыск, и, по данным полиции, обнаружено множество улик, передает Би-би-си.

Как передает "Эхо Москвы", не исключено, что автора вируса удалось поймать благодаря тому, что к операции подключилось ФБР. В течение последней недели червь поразил миллионы компьютеров по всему миру. Вирус проникает в компьютер автоматически при соединении с Интернетом, атакует последние версии Windows и заставляет компьютер выключаться. Больше всего от нового вируса пострадали домашние компьютеры и небольшие фирмы, хотя серьезные проблемы испытали и некоторые крупные компании.

К примеру, в почтовой службе Германии были заражены около 300 тысяч терминалов: сотрудники оказались не в состоянии выдавать наличные клиентам. Жертвами червя стали также даже компьютеры Европейской комиссии. А несколько дней назад у авиакомпании British Airways в одном из терминалов лондонского аэропорта Хитроу отказала половина всех компьютеров на стойках регистрации пассажиров. Ранее эксперты антивирусных компаний высказывали мнение, что червь был разработан российскими программистами.
-------------------------------------------------

Между тем, компания Microsoft уже модифицировала свое программное обеспечение - устранила "дыру" в защите, через которую вирус проникает в систему. А также выпустила программу, которая уничтожает Sasser на уже зараженных компьютерах.

Aмериканская фирма Stretch (www.stretchinc.com) выпустила очень интересный
микропроцессор - можно сказать, даже микропроцессор нового поколения -
S5000. Этот процессор совмещает на одном кристалле RISC-ядро (S5 engine на основе
Tensilica Xtensa RISC) и область под названием Stretch Instruction Set
Extension Fabric (ISEF), представляющую собой массив программируемых
логических элементов. Таким образом, S5000 сочетает в себе классический микропроцессор
с FPGA. Зачем это надо? Очень просто - в то время, как микропроцессорное ядро
будет работать с фиксированным набором инструкций, ISEF можно
сконфигурировать для быстрого исполнения специфических для задачи вычислений. Фактически,можно сказать, что это сопроцессор, который можно запрограммировать (на уровне железа) для обсчета данной конкретной вычислительной задачи.
Программирование блока ISEF производится на языке C++, как и в случае с обычными FPGA.
Работает процессор на частоте 300 МГц, но за счет использования программируемой
области может при решении интенсивных вычислительных задач оставить за кормой и
гигагерцовые процессоры общего назначения. В общем, RISC-процессор и
реконфигурируемый DSP в одном флаконе - это страшная сила. Применять новый
процессор предполагается в различных встраиваемых приложениях - в медицине,
телекоммуникациях, обработке видео и т.д. Впрочем, если S5000 проявит себя
должным образом, то технологией могут заинтересоваться и крупные
производители процессоров - ведь накачивать в свои чипы бешеные гигагерцы им становится все труднее.
-------------------------------------------------
Ученые обнаружили еще одно полезное свойство зеленого чая. Оказывается, он
не только снижает содержание холестерина в крови и оказывает освежающее
воздействие на человека, но еще и чрезвычайно полезен для компьютерных
жестких дисков. Ученые из Аризоны получили от Национальной академии наук грант в размере $100 тыс. на поиск экологически чистых добавок для нанополировки покрытия
магнитных головок жестких дисков. Они обнаружили, что вещество таннин, которое в
высокой концентрации содержится в листьях зеленого чая, чрезвычайно эффективно
выполняет полировочную функцию и удаляет с поверхности головки различных
частиц мусора размером несколько нанометров, а также в три-четыре раза сокращает
время полировки. В экстракт, который использовался учеными из Аризоны, кроме
таннина, добавлялись и другие вещества из зеленого чая, но полный "рецепт" держится
в секрете. Если результаты, полученные учеными, удастся воспроизвести в промышленных
условиях, то индустрия сможет сэкономить сотни миллионов долларов, потому
что зеленый чай намного дешевле специальных химикатов.
-------------------------------------------------

Автор: Zarrazza 24.5.2004, 10:15

Хакер-предатель радовался зря: под подозрение немецкой полиции попали пятеро друзей 18-летнего автора Sasser, которые вместе с ним разрабатывали вирус Netsky. В их числе оказался и сам доносчик, хотя к нынешнему <червю> он вроде бы отношения не имеет. Это обстоятельство на руку Биллу Гейтсу. Он уже не хочет платить премию помогшему ему доносчику. <Если выяснится, что этот парень участвовал в создании вирусов, -- заявил представитель Microsoft в Германии Томас Баумгертнер, -- то он уйдет от нас с пустыми руками>.

Автор: AV 5.5.2003, 8:44

В связи с участившимися случаями появления быстро распространяющихся разрушительных вирусов обеспечение защиты в масштабах всего предприятия стало одним из обязательных условий успешного ведения бизнеса. Для обеспечения безопасности не достаточно одних межсетевых экранов и средств защиты шлюзов электронной почты. Для гарантии продуктивной и бесперебойной работы пользователей и всей информационной системы в целом необходима полная защита как файловых серверов, так и рабочих станций.

Symantec AntiVirus Corporate Edition предоставляет в распоряжение сетевых администраторов масштабируемое, кросс-платформенное решение для антивирусной защиты серверов и рабочих станций DOS, Windows и Netware.

ОСНОВНЫЕ ОСОБЕННОСТИ:

Управление антивирусными политиками для различных платформ с возможностью принудительного применения.
Обеспечивает защиту с минимальными временными затратами для мобильных рабочих станций с помощью функции роуминга файла с обновленными описаниями вирусов.
Предоставляет улучшенные средства защиты и мониторинга в масштабах всего предприятия с единой консоли управления.
Уникальный расширяемый механизм антивирусной защиты подключает новые описания вирусов, не требуя удаления или переустановки ПО.
Быстро развертываемая и автоматизированная защита от вирусов обеспечивается использованием файлов описаний меньшего размера и многопоточной автоматизированной установкой на серверы.
Имеется возможность управления логическими группами клиентов и серверов, обеспечивается улучшенная защита параметров настройки программы.
Обширный список поддерживаемых платформ теперь включает в себя Netware 6.0.
Централизованная масштабируемая консоль управления построена на базе лучшей в отрасли технологии MMC (Microsoft Management Console).
Поддерживает новейшие разработки,включая Microsoft Windows XP, Microsoft Terminal Server и Citrix MetaFrame 1.8 и XP,что позволяет предприятиям обеспечить непрерывную защиту от вирусов в ходе внедрения современных технологий.
Поддерживается центром Symantec Security Response - ведущей мировой исследовательской организацией в области Интернет безопасности и поддержки.
КЛЮЧЕВЫЕ ТЕХНОЛОГИИ

Технология Digital Immune System автоматизирует защищенную (по протоколу HTTPS) передачу подозрительных объектов в антивирусный центр компании Symantec и последующую доставку средств нейтрализации через Интернет. Мощная и надежная инфраструктура антивирусного центра Symantec эффективно об служивает огромное число пользователей, даже вовремя вирусных "эпидемий ".

Вместе с круглосуточно работающим центром Symantec Security Response - крупнейшей в мире исследовательской организацией в области противодействия вирусам Symantec AntiVirus Corporate Edition существенно сокращает время между передачей образца нового вируса и получением средств противодействия.

Используя новейшие технологии автоматического выявления и уничтожения макровирусов, система Symantec AntiVirus Research Automation (SARA) анализирует образцы, переданные в центр Symantec Security Response, и отправляет по электронной почте описание вирусов для противодействия новым вирусам.

Эвристическая технология Bloodhound компании Symantec выявляет неизвестные вирусы путем обнаружения вирусоподобных действий. Технология Bloodhound показала способность обеспечивать постоянную защиту от более 90% макро вирусов и более чем 80% новых файловых вирусов.

Приложение Symantec System Center обеспечивает выполнение с центральной консоли всех операций управления защитой, включая автоматическое обнаружение узлов сети, установку, настройку конфигурации и закрытие доступа, а также автоматическое выполнение запланированных задач, регистрацию событий, рассылку оповещений и противодействие обнаруженным источникам угрозы.

Технология передачи вирусных описаний (VDTM) является наилучшим способом быстрого распространения описаний вирусов. Просто поместите новый набор описаний на первичный сервер,и они будут автоматически переданы на вторичные серверы и компьютеры-клиенты. Кроме того, новый, более компактный формат файлов описаний позволяют еще больше ускорить этот процесс.

Технология NAVEX позволяет осуществлять быстрое развертывание и автоматическое обновление модулей обнаружения и восстановления для различных платформ в ходе регулярного обновления описаний вирусов. Без переустановки программного обеспечения или перезагрузки системы пользователи могут получать средства противодействия совершенно новым типам вредоносных программ, с которыми не удается бороться с помощью традиционных вирусных сигнатур.

Централизованная карантинная зона служит для хранения нейтрализованных вирусов и позволяет администраторам направлять все зараженные файлы, которые не удается исправить, в защищенную область на центральном сервере для дальнейших исследований. Таким образом, вирусы удаляются из основной вычислительной среды, а поскольку частные конфиденциальные данные перед отправкой из файлов, зараженных макро вирусами, удаляются, это поддерживает доверие к информационным технологиям.

Технология AutoProtect обеспечивает автоматическую защиту от вирусов в режиме реального времени, в том числе защиту от вирусов, распространяющихся при синхронизации с PDA (Personal Digital Assistant -карманный ПК).

Доступ ко всем параметрам клиентов можно заблокировать, чтобы пользователи не могли их изменить. В случае обнаружения вируса Symantec System Center автоматически запускает функции его устранения, а также отправляет оповещение администраторам.

http://files.usinsk.com/redirect.php?dlid=227 (60м.)

[ 05. Май 2003, 09:53: Сообщение отредактировано: Alex VlasOFF ]

Автор: Anonymous 17.5.2004, 22:18

Братцы! Помогите с ключиком Trojan Remover 6.2.3

Автор: MadMax 18.5.2004, 7:45

Нашел только этот (для 6.2.2), может прокатит:
Username: IWONA CZEKANSKA
Licence Key:00000G-Q1344A-XJMJC9-MCFC8D-BDJ489-1839FF-V5J176-F9T1G6-ACC8TG

Автор: AV 5.7.2003, 22:27

http://files.usinsk.com/redirect.php?dlid=266<Лаборатория Касперского> объявила о выпуске и начале продаж новой версии своих антивирусных продуктов, предназначенных для обеспечения защиты персональных компьютеров. <Антивирус Касперского Personal 4.5> и <Антивирус Касперского Personal Pro 4.5> быстрее, чем ранние версии, осуществляют проверку файловой системы и меньше нагружают компьютер при постоянной активности антивирусной защиты.

Одним из основных отличий усовершенствованной версии является включение в программу технологии iChecker. При помощи этой технологии программа производит антивирусную проверку только тех файлов, которые подверглись изменениям, что существенно повышает эффективность сканирования файловой системы. Основным рабочим компонентом iChecker является специальная база данных, в которой хранятся контрольные суммы всех проверенных незараженных файлов. При запуске антивируса осуществляет сравнение контрольной суммы файла с данными, хранящимися в базе. Совпадение данных означает, что файл был проверен и повторная проверка не требуется. При этом время, затрачиваемое на подсчет контрольных сумм файлов, значительно меньше, чем время антивирусной проверки.

Благодаря оптимизации механизма проверки файловой системы время старта операционной системы и приложений при активной постоянной антивирусной защите сокращается на 30-40% по сравнению с традиционными антивирусными решениями. При этом <Лаборатория Касперского> гарантирует проведение полной проверки всех файлов, находящихся на дисках защищаемого компьютера, при оптимизации длительности сканирования.

Примечательно, что в новой версии появилась функция лечения архивированных файлов формата ZIP. При этом обеспечивается эффективное восстановление оригинального содержимого ZIP-файлов вне зависимости от количества вложенных архивов.

Как стало известно CNews.ru, к осени <Лаборатория Касперского> планирует выпустить целую линейку новых версий продуктов, в том числе новую версию 5.0 антивируса для частных пользователей, а чуть позже планируется выпуск версии для корпоративных заказчиков. Основной упор в пятой версии будет сделан на новый усовершенствованный интерфейс.

Скачать http://files.usinsk.com/redirect.php?dlid=266

[ 05. Июль 2003, 23:30: Сообщение отредактировано: Alex VlasOFF ]

Автор: AV 6.7.2003, 14:17

...гм есть и такое... ... AntiVir-полная халява на персональную версию.... довольно шустрый и не грузит систему... что радует

http://www.avup.de/personal/en/avwinsfx.exe

Автор: ruslan_r 7.7.2003, 15:40

А скока весит?! Мне просто нуна че нить не особо грузящее систему...

Автор: Zarrazza 8.7.2003, 11:16

Ишшо вот есть... такой вот антивирус AVG Anti-Virus Free Edition... как видно из названия - халява.... гм тока нада типа написать о себе пару строк на буржуйском... гм говорят врать не хорошо.... ...
http://www.grisoft.com/us/us_dwnl_free.php ... себе не ставил и не тестил...

Автор: AV 8.7.2003, 12:40

Автор: Zarrazza 8.7.2003, 13:55

[quote]Цитата из сообщения Alex VlasOFF:
Поставь Касперского самого свежего, - действительно самый быстрый антивирус! Только что из печки.
[/quote][/quote]... гм а скока он стоит...?...

Автор: AV 8.7.2003, 14:23

Для тебя, как Модератора, бесплатно - http://www.usinsk.com/cgi-bin/forum/ultimatebb.cgi?ubb=get_topic;f=2;t=000130

Автор: Zarrazza 8.7.2003, 14:31

... гм таких адресов я тебе могу наслать курган...ты лучче скажи если иво юзал... подходят ли старые ключи к примеру от версии 4.0... а то фигли иво ставить если он не пашет...

Автор: Zarrazza 8.7.2003, 14:36

...к примеру http://downloads1.kaspersky-labs.com/beta/KAVWindows/KAVNTServer/Russian/kavntsvr45beta_rus.exe а http://downloads1.kaspersky-labs.com/beta/KAVWindows/KAVWorkstation/Russian/kavwinws45beta_rus.exe ... гм в паре должны работать мама не горюй... причем как видно весия и есть 4.5 ... тока толку от них без ключей...

Автор: AV 8.7.2003, 15:12

Така адресов это каких???? Я тебе дал адрес топика в форуме нашем. В котором описание нового продукта антивируса, плюс ссылка на сам антивирус, который лежит на усинских филезах. Таких ты мне адресов кучу навалишь чтоли?

Не хотел прямым текстом писать, да приходится - Там ВСЕ ВКЛЮЧЕНО!!!! КЛЮЧ ТОЖЭ!!! Блин. И все работает - сам проверял.

Автор: Zarrazza 18.7.2003, 14:37

Обнаружен новый троянец "Webber" (также известен под именем "Heloc"), основной функцией которого является рассылка спама с зараженного компьютера. "Лаборатория Касперского" уже зарегистрировала несколько инцидентов, вызванных действиями именно "Webber".

Новый троянец устанавливает на зараженный компьютер proxy-сервер, который позволяет злоумышленнику рассылать спам (да и любые другие данные). "Webber" распространился в Интернет благодаря массовой почтовой рассылке, которая состоялась 16 июля этого года. Разосланные письма имели тему "Re: Your credit Application", содержали текст на английском языке и вложенный файл "web.da.us.citi.heloc.pif". Имя файла похоже на Web-адрес, что в некоторых случаях может смутить пользователя и заставить его запустить зараженный файл. Если это все же произошло, "Webber" незаметно загружает с удаленного Web-сервера дополнительные компоненты и устанавливает их на компьютере. В качестве побочных действий "троянец" также пересылает своему "хозяину" список обнаруженных в кэш-памяти паролей.

Как сообщает "Лаборатория Касперского": "За последнюю неделю обнаружено уже 3 троянца подобного типа". И, действительно, уже имеется целый набор троянских программ, устанавливающих на зараженный компьютер proxy-сервер. Самый известный из них - Migmaf, который даже попал на страницы New York Times.

Более подробное описание "Webber" доступно в "Вирусной Энциклопедии" по адресу: http://www.viruslist.com/viruslist.html?id=2618152. Интересно само распространение троянца "Webber". Еще раз обратим ваше внимание на то, что это - не сетевой червь, а троянец, который не способен распространяться сам по себе. Для рассылки "Webber" использовались спам-технологии: или сам спамер сделал и разослал эту заразу, или кто-то воспользовался его услугами рассылки, или, что вероятнее всего, вирусописатель сам овладел спамерскими технологиями.

Интересна тенденция объединения вирусных и спамерских решений. Хотя мы привыкли опасаться, что созданная с помощью таких троянцев распределенная сеть может быть использована для DDoS-атак, новая напасть в лице спама не менее страшна. Спам используется для рассылки вредоносного кода, который дальше будет рассылать спам. Пожалуй, пришло время объединять и антивирусные решения с антиспамовыми (и установкой их на крупных пропускных пунктах Сети). Надеемся, такие продукты - не за горами...

Автор: Z@RrAZza 7.11.2005, 20:05

Sony использует хакерские приёмы для защиты данных!

Незаконные методы защиты информации от копирования, используемые компанией Sony были обнаружены инженером Марком Руссиновичем (Mark Russinovich) при использовании аудиодиска Sony, защищенного от копирования при помощи технологии XCP (eXtended Copy Protection). Диск SonyBMG, купленный Руссиновичем на Amazon.com содержал руткит (rootkit) - компонент, используемый хакерами для управления захваченными компьютерами и маскировки собственных действий. Как только информация о методах защиты от копирования дисков SonyBMG получила огласку, немедленно поднялась волна критики. При этом разработчиками было немедленно заявлено, что механизм маскировки данных не представляет опасности и ПО может быть легко удалено с компьютера пользователя. При этом на сайте Sony инструкции об удалении этого ПО, как и любая информация о нём, отсутствуют. В результате, SonyBMG выпустила специальный патч, который не удаляет защитное ПО, но делает его видимым системе и антивирусам. Свежевыпущенный патч же подвергся критике Руссиновича, который заявил, что при его установке есть вероятность краха системы. Также он обвинил авторов "хакерского" защитного ПО в непроффесионализме и нехватке опыта написания драйверов под ОС Windows. Теперь немного о том, что же вызвало такое недовольство казалось бы безобидной технологией защиты данных. Система скрытия кода, используемая в дисках SonyBMG, в случае попадания её "не в те руки" может привести к страшный последствиям! Ведь таким образом можно защищать не музыку, а любой вирус или вредоносный код. В общем, мы еще раз убедились в том, что интересы пользователей в наше время часто просто игнорируются. И ради лишней прибыли компании ничего не стоит поставить под угрозу информации на компьютерах большого количества своих клиентов.
источник thq.ru

Автор: iXPert 7.11.2005, 20:47

А вы ребята в курсе... Тут ходят слухи, что особо злые "пользователи ПК" научились, ваш код палить при помощи простого ПО и микрофона. Суть проста микрофон записывает удары по клавишам, а прога их анализирует, процент совпадения пароля ок. 80-90%

Автор: Z@RrAZza 11.11.2005, 21:03

Rootkit от Sony BMG взят на вооружение хакерами
Вы наверняка слышали, что подразделение Sony BMG Music Entertainment опубликовало информацию о своём механизме защиты авторских прав XCP - это DRM-компонент, предотвращающий несанкционированное копирование музыки. Этот механизм вызывал сбои на ряде пользовательских систем и специалисты Sony BMG Music Entertainment вынуждены были приоткрыть завесу над его функционалом. Как только информация стала доступной хакерам, последние стали использовать DRM-компонент от Sony BMG в своих злоумышленных целях, о чём и сообщает "Лаборатория Касперского", известный отечественный производитель антивирусных программ... "Лаборатория Касперского" сообщает об обнаружении первой вредоносной программы, использующей для сокрытия своего присутствия на компьютере широко известный rootkit от Sony. Как известно, компания Sony BMG использует для сокрытия и защиты своих программных DRM-компонентов rootkit-технологии. Наиболее неприятным последствием данной инициативы Sony является прямая возможность для вредоносных программ воспользоваться руткитом для сокрытия своего присутствия в системе, что и было зафиксировано аналитиками "Лаборатории Касперского".Backdoor-программа, получившая название "Backdoor.Win32.Breplibot.b", была распространена среди пользователей Интернет с помощью спам-рассылки. Зараженные письма привлекали интерес пользователей с помощью традиционных приемов социального инжиниринга, предлагая получателям запустить приложенный к письму файл, выдавая его за фотографическое изображение. Запуск данного файла пользователем активирует проникновение зловредного кода в систему. Утилита несанкционированного управления Breplibot.b представляет собой файл размером 10240 байт, упакованный UPX. При запуске зловредный файл копирует себя в системный каталог Windows под именем "$SYS$DRV.EXE". Это имя позволяет вредоносной программе быть скрытой посредством печально известного руткита от Sony. При этом сокрытие программы происходит лишь в том случае, если на компьютере функционирует DRM-защита, поставляющаяся на некоторых Audio CD Sony. "Лаборатория Касперского" предупреждает всех пользователей о появлении опасной вредоносной программы и рекомендует не открывать электронные письма от неизвестных получателей и не запускать приложенные к подозрительным сообщениям объекты. Процедуры защиты от Backdoor.Win32.Breplibot.b уже добавлены в базу данных "Антивируса Касперского". Также добавим, что итальянские власти (точнее, организация Association for Freedom in Electronic Interactive Communications - Electronic Frontiers Italy) при поддержке подразделения полиции по киберпреступлениям изучают правомочность использования технологии защиты XCP от Sony BMG Music Entertainment, считая, что этот функционал похож на Spyware...
источник фцентр

Автор: SerGant 18.11.2005, 22:42

Цитата(iXPert @ Nov 7 2005, 17:47)

Автор: Alexei 8.12.2005, 14:40

Люди что за такое происошло?


Короче сегодня попал вирус какой то,
Работает так: если сетевой кабель подключен то процессор забит на 100%, а если кабель отключишь то на 0%
Соответственно система висит....сеть забита.
Касперский 5.0.390 ненаходит ничего

Что теперь блин делать то?

Автор: Father 8.12.2005, 16:36

Цитата(Alexei @ Dec 8 2005, 14:40)

Автор: Limon 8.12.2005, 17:21

Во-первых, самая последняя версия антивируса касперского на сегодняшний день 5.0.388, во вторых, твоя проблема совсем не из-за вирусов/антивирусов, а в конфигурировании локальной сети и протоколов, уж слишком часто я с этим сталкиваюсь (с такой проблемой, как у тебя), судя по всем при подключении сетевого кабеля система напряженно начинает её автоматическую конфигурацию, а из-за отсутствия необходимых данных для этого частенько даже вещает весь комп. Напиши, что у тебя ещё находится в сетке: сетевые устройства, компы, модемы (кабельные и диалапные) и всё что может относится к "сетевым устройствам".

Автор: Alexei 9.12.2005, 14:44

Цитата(Limon @ Dec 8 2005, 14:21)

Автор: Limon 9.12.2005, 14:52

http://www.kaspersky.ru/productupdates?chapter=147083679

http://www.kaspersky.ru/productupdates?chapter=147083682

То, что у тебя установлено, это какая-то пиратка ломанутая.

Автор: Alexei 9.12.2005, 17:30

Цитата(Limon @ Dec 9 2005, 11:52)

Автор: Alexei 14.12.2005, 14:49

Люди скажите мне тогда, если 388 каспер это последняя версия пока. То почему же у меня 390?
Вот ссылка на фото.
http://www.usinsk.net/modules/coppermine/albums/userpics/10152/Kasper.jpg

Автор: Sancho 14.12.2005, 17:24

Ну как жаль, что мир не такой розовый и добрый... И не в цветочках... Ну насчет Касперского- я его использую, тока вериию чуть другую: Securiti Suite Ru. Про100 3 в одном: Kaspersky Anti-Xaker, Kaspersky personal pro и еще чет от спама... Ну на него грех жаловаться... Про100 монстер Ну много раз мя спасал, отражал атаки всякие, даже мя хакнуть 2 раза пытались-обеб***сь!!! На мой взгяд-лучшее.Ес кому надо- ссылочка.Правда 30ти дневная версия (пробная) Но я про100 раз в месяц переустанавливаю... Вроде нишьтяк...

Ну как жаль, что мир не такой розовый и добрый... И не в цветочках... Ну насчет Касперского- я его использую, тока вериию чуть другую: Securiti Suite Ru. Про100 3 в одном: Kaspersky Anti-Xaker, Kaspersky personal pro и еще чет от спама... Ну на него грех жаловаться... Про100 монстер Ну много раз мя спасал, отражал атаки всякие, даже мя хакнуть 2 раза пытались-обеб***сь!!! На мой взгяд-лучшее.Ес кому надо-ссылочка.Правда 30ти дневная версия (пробная) Но я про100 раз в месяц переустанавливаю... Вроде нишьтяк...
http://www.kaspersky.ru/trials?chapter=158515663

Автор: Pushistiy 14.12.2005, 20:31

А вобще кто нибудь кроме каспера что нибудь использует? сисадмины откликнитесь. кто чем сеть защищает от вирусяк?

Автор: Father 14.12.2005, 22:55

СисАдмины, как один используют Касперского, ну единицы ДоктораВеба... Все связано с лицензией...
Как Санчес, каждый месяц переустанавливать АнтиВиря, это изврат. Проще покупать Какой нить Хард и Софт или Чип и брать оттуда ключи.
В тестовом режиме некоторые используют NOD32, быстрый и надежный.
Доли процента используют Аvast, хитрая штука - требует настройки и регистрации за деньги...

Ну а я использую Panda Antivirus Titanium 2005, c Фаирволом, каждый день несколько вирусяк, точнее программ-шпионов. Антивирус неоднозначный. У мя, на Русской Винде, руская версия, при тестировании памяти, проц грузится до 65%. при тестировании винтов 40% - 60%. Обычно в памяти находится от трех до шести программ шпионов. Всегда одних и тех же, всегда с одного и того же места
В общем нормально все. Наверное NOD32 один из лучших на сегодня. Касперского ф топку...

Автор: Z@RrAZza 14.12.2005, 23:59

2Father за всех говорить не надо.
Существует два подхода к принятию решения использования того или иного антивируса. Во первых что ставить дома а что на работе.
Для дома таже панда вполне сгодиться, да и каспер неплох и дрвеб, и нод32 и дефендер. многие пользуют различные бесплатные антивири, благо их сейчас тьма.
Для работы совсем другое дело. я так понимаю вопрос был задан в этом направлении. Опять же для чего использовать. Если на серваки различные, типа почтовика, прокси или фаера, то выбор один. Очень сильно зависит от оси на которой поднят сервис. Практически идеальным решением для никс систем есть кламав. Можно пользовать дрвеба. Под винду к разным почтовикам проксям идут плагины с антивирями. Тут встретим и симантек и нод и макафи и писисилин и авг и виснетик и етраст. Если для установки на рабочие станции то пользуют корпоративные версии антивирей. это и симантек и нод и каспер. все зависит от задач и техники.

Автор: Alexei 15.12.2005, 9:21

Кстати 390 версия действительно есть...читайте внимательнее новости
390 это патч к 388 версии

Автор: Limon 15.12.2005, 11:51

Странно, у меня везде стоит русская 5.0.388, ежедневные обновления, но до 5.0.390 ещё ни одна не обновилась, возможно - это именно для буржуйской версии обновление.

Автор: Z@RrAZza 15.12.2005, 12:01

как предположение: выскажусь по поводу версий. посмотрите способ обновления, часто для того чтобы не блокиловались ключи убирают галку обновлять исполняемые модули.
2limon: насколько я знаю у каспера ежечасовые обновления, неужели не пользуешься?
пысы: лично у меня на ноуте давно уже стоит nod32 версия 2.50.26 ru. которым я очень доволен гораздо шустрее того же каспера. модульный. что для меня очень важно. ну и нет проблем с ключами. одна проблема часто падают сайты с обновлением. но если знаешь где брать то это не проблема

Автор: Alexei 15.12.2005, 12:30

Цитата(Limon @ Dec 15 2005, 08:51)

Автор: Limon 15.12.2005, 14:03

2 Z@RrAZza, обновление баз касперского происходит 1 раз в 3 часа, именно такое у меня и стоит (оно в принципе "по умолчанию"). "Тормознутость" - это не повод отвеграть хорошую программу, лично меня он устраивает во всём.

2 Alexei, я даже иногда вручную тыкаю обновление, т.к. именно модули, обновляются обычно таким способом, а спрашивает он только когда модуль уже загружен, типа "установить новый модуль или нет?".

Автор: Alexei 15.12.2005, 14:10

Цитата(Limon @ Dec 15 2005, 11:03)

Автор: Father 15.12.2005, 14:15

Цитата(Alexei @ Dec 15 2005, 14:10)

Автор: Limon 15.12.2005, 14:37

Щас попробую буржуйскую поставить и обновить полностью...

Автор: Pushistiy 15.12.2005, 14:45

Как правильно заметил Заразычь вопрос был задан с наклоном именно на работу. интересует кто чем защищает NT серваки 2000 и 2003. у самого стоит SAV но чё то у меня подозрения на его щёт имеются.

Автор: Alexei 15.12.2005, 14:56

Цитата(Pushistiy @ Dec 15 2005, 11:45)

Автор: Z@RrAZza 15.12.2005, 15:37

Автор: Limon 15.12.2005, 17:56

Пардон, конечно - ежечасно, я спутал и совершенно про другую программу сказал, что обновления 3-х часовое. Спасиба, что расставил все точки над Ё... ;-)

Автор: Pushistiy 15.12.2005, 19:15

Цитата(Z@RrAZza @ Dec 15 2005, 15:37)

Автор: Z@RrAZza 15.12.2005, 23:38

2мах есть конечно их полно например тот же нод32. отличная весчь могу запрезентовать сервачную версию и админскую консоль а чем тебя sav не устраивает? у меня есть 10й полный но тока англицкий.

Автор: Z@RrAZza 2.2.2006, 0:38

ЗАВТРА!!!

Завтра вы можете недосчитаться многих важных деловых документов! В понедельник "Лаборатория Касперского" сообщила о серьезной опасности, которую представляет недавно обнаруженный почтовый червь "Email-Worm.Win32.Nyxem.e" (также известный как Nyxem, Blackmal, MyWife, Kama Sutra, Grew и CME-24). Этот троянский вирус должен впервые активизироваться 3 февраля 2006 года и затем 3-го числа каждого месяца будет атаковать компьютер с целью обезоружить антивирусные программы и перезаписать (т.е. уничтожить) все файлы имеющиеся на компьютере со следующими расширениями:

# .doc (документ Word)
# .xls (таблица Excel)
# .mdb (база Access)
# .mde (база Access)
# .ppt (презентация PowerPoint)
# .pps (презентация PowerPoint)
# .zip (архив ZIP)
# .rar (архив RAR)
# .pdf (файл Adobe Acrobat)
# .psd (файл Adobe Photoshop)

Вирус Nuxem распространяется через интернет в виде вложений в зараженные электронные письма, а также файлов, расположенных на открытых сетевых ресурсах. По данным специалистов, на данный момент количество зараженных компьютеров вирусом Nyxem превышает несколько сотен тысяч. Их число продолжает расти, что заставляет говорить о серьезности масштаба распространения Nyxem. Обнаружить самостоятельно Nyxem в электронной почте довольно сложно - червь Nyxem представляет собой исполняемый в среде Windows файл размером 95 Кб, приложенный к письму с заголовком из заранее созданного автором списка, насчитывающего около 25 позиций. При этом текст письма с Nyxem и наименование приложенного файла также имеют около 20 разнообразных вариантов исполнения, что затрудняет оперативное обнаружение зараженного письма самим пользователем.

Nyxem virus

Активизация червя Nyxem производится пользователем при самостоятельном запуске (!) зараженного файла. Это означает, что в том случае, если вы НЕ запустите файл из архива, вирус Nyxem не попадёт на ваш компьютер. При инсталляции червь Nyxem копирует себя под несколькими именами в корневой и системный каталоги Windows, а также каталог автозагрузки, после чего регистрирует себя в ключе автозапуска системного реестра. Таким образом, при каждой следующей загрузке Windows Nyxem автоматически запускает вредоносный процесс.

Затем вирус Nyxem сканирует файловую систему пораженного компьютера и рассылает себя по всем найденным адресам электронной почты. Для отправления зараженных писем червь Nyxem пытается установить прямое соединение с SMTP-сервером. Параллельно червь копирует себя в доступные с пораженного компьютера сетевые ресурсы под именем Winzip_TMP.exe, таким образом увеличивая масштаб своего распространения за счет пользователей, загрузивших данный файл.

При этом Nyxem прерывает процессы, осуществляющие персональную защиту компьютера, и предотвращает их повторный запуск, оставляя атакованный ПК незащищенным. Располагая полным контролем над зараженной машиной, Nyxem также способен самостоятельно загружать свои собственные обновления из интернета, изменяясь в зависимости от воли автора.

Все антивирусные компании подчёркивают особую опасность содержащейся в Nyxem деструктивной функции. В соответствие с ней, червь регулярно сверяется с системной датой компьютера и в случае, если она соответствует третьему числу, через 30 минут после загрузки ПК уничтожает информацию в файлах наиболее распространенных форматов, замещая ее бессмысленным набором символов. Ведущие производители антивирусов уже сообщили об обновлении баз данных своих продуктов.

Автор: Father 2.2.2006, 10:02

Я готов к встрече, все самое нужное и ценное, снес сам
Ох уж этот Касперский...

p.s.Что-то не срабатывают исправления

Автор: Z@RrAZza 5.2.2006, 12:08

Цитата(Father @ Feb 2 2006, 10:02)

Я готов к встрече, все самое нужное и ценное, снес сам
Ох уж этот Касперский...

p.s.Что-то не срабатывают исправления

Автор: Father 10.2.2006, 8:28

Цитата(Z@RrAZza @ Feb 5 2006, 12:08)

Автор: Alexei 28.2.2006, 11:15

Кто нибуть использует антивирус Symantec? Если да то напишите свои отзывы. Если нет то какой антивирус вы считаете лучше и почему?

Автор: Z@RrAZza 28.2.2006, 11:42

я использую на работе. нормальный антивирь. из преймуществ суперский монитор. легкий и ничего практически не пропускает. из недостатков слабый сканер. в rar архивах не видит вирусов. из плюсов ловит спай и адваре не хуже а даже и получше многих спец программ. но не умеет их корректно удалять. вобщем нормальный антивирь.
кстати недавно поймал трояна. так ни каспер ни нод даже не встрепенулись. хотя трояну пол года как минимум.
для сравнения антивирусов советую http://www.virustotal.com/xhtml/index_en.html. онлайн проверка на вирусы(как у касперского), но используется очень много антивирей. сразу видно кто какой вирус ловит. очень наглядно показывает кто есть кто.

Автор: Que 28.2.2006, 13:01

Цитата(Alexei @ Feb 28 2006, 11:15)

Автор: Alexei 28.2.2006, 13:45

Все это я спрашиваю из-за того что решил убрать касперского и поставить Симантек. Каспер тоже нравитса...но подтормаживает он слабые компы просто сильно. Хоть у меня и мощный комп. Но хочу теперь проверить Симантек

Автор: Z@RrAZza 28.2.2006, 17:56

согласен с куём. однозначно лучшего антивируса нет. смотря для чего применять. сейчас тестирую к примеру clamav-devel for win32 не путать с clamwin. неплохой антивирь к примеру. но надо все ручками через консоль настраивать ловит то что к примеру тот же каспер пропускает.
опять же бренд брендом, а версия от версии отличается в корне. например нам не говорят что только две или три версии каспера прошли тестирование на соответсвие, не помню в какой то компании по сертификатам антивирей))) тот же симантек тоже не безгрешен. не все версии одинаково хороши(с) опять же смотря какая категория риска. от чего надо спасаться. одни лучше ловят новых червей bitdefender или nod. а другие троев симантек. у третьих лучший саппорт касперский. и т.д. )))
http://slo.ru/comments/99_0_1_0_C

Автор: Z@RrAZza 20.3.2006, 2:42

Rootkit на базе виртуальной машины

Специалисты лабораторий корпорации Microsoft и University of Michigan объединились для создания прототипов rootkit-программ, основанных на принципе работы виртуальной машины. Некая получившаяся модель rootkit-программы под названием SubVirt выискивает в системе уязвимости и успешно эксплуатирует их, устанавливаясь под операционными системами Windows и Linux. Если операционная система жертвы успешно скомпрометирована, то детектировать такой руткит уже практически невозможно. Его состояние вряд ли можно вычислить с помощью средств, имеющихся в арсенале программ из сферы компьютерной безопасности. Прототип SubVirt будет представлен подразделением Microsoft Cybersecurity and Systems Management Research Group на мероприятии IEEE Symposium on Security and Privacy, которое стартует 21 марта в Окленде, штат Калифорния. В настоящее время механизмы сканирования на предмет наличия в системе руткитов обычно сравнивают системный реестр и несоответствия API файловой системы, дабы выявить rootkit-программы на пользовательском уровне или на уровне ядра операционной системы. В том случае, если злоумышленный код хранит себя в таком месте, которое невозможно просканировать, указанная выше тактика - бесполезна. Реализовав SubVirt, исследователи полагают, что работа тех, кто пытается создать системы защиты от руткитов, будет существенно облегчена. В случае использования технологий виртуальной машины борьба с руткитами осложняется - код сидит на более низком уровне, чем операционная система, и при этом обладает скрытыми управляющими функциями. Собственно, так и строится гонка вооружений между теми, кто защищает пользователя, и кто его атакует - чем более низкий уровень доступен одной из сторон, тем большее преимущество она получает. В одном случае, пользователь получает инструмент детектирования злоумышленного кода, в другом - руткит хакера успешно избегает определения со стороны программной системы безопасности. SubVirt был реализован на платформах Linux/VMWare и Windows/VirtualPC. В случае если пользовательская система имеет не закрытую уязвимость, которая может быть использована злоумышленником для получения администраторских привилегий, руткит успешно устанавливается. В дальнейшем, как вы понимаете, рабочая пользовательская операционная система загружается в качестве "гостевой" во время старта компьютера, запускаясь из-под установленной виртуальной машины хакера. Исследователи лабораторий корпорации Microsoft и Университета Мичигана на базе руткита SubVirt реализовали фишинговый web-сервер, клавиатурный шпион, сканер файловой системы и механизм сокрытия руткит-технологии от взора антивирусных и анти-rootkit сканеров. Полученные технологии также позволили управлять перезагрузкой системы жертвы, выключением компьютера и отправлением его в "спящий" режим. Среди технологий защиты от программ вроде SubVirt указанная группа исследователей предлагает аппаратное детектирование, бросая взоры на таких лидеров отрасли, как Intel и AMD. Указанные представители hardware-отрасли должны будут реализовать чипы, которые станут хранить в себе системы проверки на наличие руткитов и детектировать вредоносный код на аппаратном уровне. Ещё одна схема гарантированной защиты - загрузка с надёжного источника вроде системного CD, дабы опередить старт виртуальной машины, запускающей вашу скомпрометированную ОС в качестве "гостевой". Без сомнения, опытный системный администратор и продвинутый пользователь - смогут заподозрить неладное в работе компьютера и отследить потенциальную опасность. Тем не менее, очевидно, что чем больше развиваются технологии руткитов, тем более критичным является оперативное "латание" дыр в операционных системах. Ведь если благодаря найденной лазейке в системе безопасности и невнимательному использованию firewall ваша ОС скомпрометирована так, что злоумышленник получил администраторские права - считайте, что вы уже проиграли битву и готовьтесь спасать данные и переустанавливать систему...

источник fcenter.ru

Автор: люда 27.3.2006, 20:57

Есть ли вирусы которые не найдет Касперский 4.0 ( антивирусная база 173182 шт.), если есть, то как их удалить, или выличить?

Автор: Z@RrAZza 27.3.2006, 22:24

конечно есть))) даже расширенная база не все ловит.
опять же использовать расширенную базу гемор. т.к. материться пратически на все. но как ни странно не ловит некоторых вполне реальных зверей.

как лечить да все просто. находишь антивирус который ловит это дело, смотришь описание, и описание лечения.

Автор: люда 28.3.2006, 11:36

Вроде же не рекомендуется ставить на комп несколько антивирусов, по крайней мере др.веб не рекомендует. Нужно по очереди их ставить-удалять что-ли

Автор: Que 28.3.2006, 12:17

Цитата(люда @ Mar 28 2006, 11:36)

Автор: MpaK 28.3.2006, 12:39

А укого есть Dr.Web с новым ключиком и сервером обновления, бесплатным разумеется?

Автор: Partizan 28.3.2006, 19:11

сканер есть DrWeb 4.33 , смотри http://partizan.usinsk.net/index.php?dn=down&to=open&id=22

Автор: MpaK 28.3.2006, 20:33

Да есть у меня ета фигня. Я говорил про полную версию. У меня раньше такая стояла, проблем вообще не было. Где-то полгода назад халява пропала и всё.

Автор: Acinonyx 11.4.2006, 22:34

у меня стоит Symantec AntiVirus
отличная вещь, вирусы лечит (а то стоял каспер с последними базами который лечить не мог и удалял зараженные файлы) систему практически не грузит, автоматически сканит все новые файлы
очень доволен им

Автор: RoveR 12.4.2006, 0:22

Цитата(Acinonyx @ Apr 11 2006, 23:34)

Автор: Alex0500 26.6.2006, 18:13

Кто разобрался с NOD32? Который выложен в на usinsk.net
После того как установлен антвирь и профиксен он работает. Но почему то эта админовская версия в которой заложен модуль зеркало обновлений не работает. А пишет что зеркало не сконфигурировано, и предлагает зайти туда то и туда то где везде появляется совет опять посмотреть там то. Вобщем замкнутый круг получается. Пробовал и в редакторе конфигурации настроить, но профиль настройки непонятно потом где привязать к программе. Вобщем неполучилось настроить зеркало. Кто знает как опишите.

Автор: Z@RrAZza 26.6.2006, 19:36

зеркало обновлений нужно для того чтобы другие пользователи могли обновляться с твоего компа. оно тебе надо? я думаю что нет, но если да то спрашивай подскажу как. кстати админская версия отличается от стандартной только вот этой функцией возможности создать зеркало обновления на своем компе.

Автор: Alex0500 27.6.2006, 6:59

Цитата(Z@RrAZza @ Jun 26 2006, 20:36)

Автор: Z@RrAZza 27.6.2006, 12:00

все просто. в меню выбираешь зеркало. в меню справа нажимаешь настройку. в новом меню ставишь галку создать зеркало обновления. потом рекомендую поставить галку на включить доступ к файлам через протокол http. потом тебе надо установить порт на который буду коннектиться клиенты. в выделении доступ к файлам обновления жмешь кноку дополнительно. и в самом низу выбираешь порт. по умолчанию это 8081. можешь выбрать другой. потом в том же выделении доступ к файлам обновления жмешь папка и выбираешь заранее созданную папку где будут храниться файлы. создание зеркала готово. теперь если у тебя есть файрвол то в нем надо дать разрешение на доступ к твоему компу по порту который ты выбрал.
потом надо у машин которые обновляются прописать адрес сервера обновления. в виде http://ip adress:port на этом все.

Автор: Alex0500 27.6.2006, 16:45

Цитата(Z@RrAZza @ Jun 27 2006, 13:00)

Автор: Z@RrAZza 27.6.2006, 22:56

хе у меня дома пускает
как у тебя сконфигурировано обновление? ты обновляешься с каких сайтов? какая у тебя версия, крякнутая триал или оригинальная?

Автор: Alex0500 28.6.2006, 6:58

Цитата(Z@RrAZza @ Jun 27 2006, 23:56)

хе у меня дома пускает
как у тебя сконфигурировано обновление? ты обновляешься с каких сайтов? какая у тебя версия, крякнутая триал или оригинальная?

Автор: Z@RrAZza 28.6.2006, 12:17

вообщето у меня не триал версия как у тебя. а коомерческая. т.е. не требует кряка. вероятнее всего в триал версии заблоктровано создание зеркала обновлений. отличие заключается в том что в моей версии нельзя обновляться с оф сайтов, без логин пароля. но в инете полно неофициальных сайтов с которых можно замечательно обновляться.
коммерческая версия тут _http://rapidshare.de/files/18458981/SN26R.rar.html за паролем в приват

пысы не вздумай обновиться без ключа с офсайта.

Автор: MpaK 3.10.2006, 20:28

Народ, подскажите, какой сейчас самый нормальный антивирус? У меня раньше Dr.Web стоял, но они прикрыли обновление халявное. Я в файлах смотрел, там последние антивирусы полгода назад скинуты. Есть что новое?

Автор: Father 3.10.2006, 21:14

Цитата(MpaK @ Oct 3 2006, 21:28)

Автор: MpaK 3.10.2006, 21:15

С обновлением проблемы нет?

Автор: Father 3.10.2006, 21:48

Цитата(MpaK @ Oct 3 2006, 22:15)

Автор: sa-12 4.10.2006, 6:15

Для Norton русификатор ни кто не видел.

Автор: Que 4.10.2006, 7:54

Цитата(MpaK @ Oct 3 2006, 20:28)

Автор: MpaK 4.10.2006, 14:29

Цитата(Que @ Oct 4 2006, 08:54)

Автор: Que 4.10.2006, 14:35

Цитата(MpaK @ Oct 4 2006, 14:29)

Автор: MpaK 4.10.2006, 15:35

Ладно, спасибо, попробуем.

Автор: Limon 10.10.2006, 9:30

http://usinsk.net/modules.php?name=Downloads&d_op=viewdownloaddetails&lid=2167&ttitle=#dldetails

Автор: Zetron 14.10.2006, 11:45

Цитата(Z@RrAZza @ Feb 2 2006, 01:38)

Автор: Limon 14.10.2006, 11:54

Цитата(Zetron @ Oct 14 2006, 12:45)

Автор: DarkMeSsa 14.10.2006, 15:05

слушайте подскажите какой лутше антивири поставить?
сейчас стоит Касперский 2006 но чё то он не оч подскажите пожалуста

Автор: Pok-H-PoL 15.10.2006, 12:29

Может кто подскажет или сталкивался с такой проблемой:
Стоит KAV 6.0
Где то подцепил червя Trojan-Proxy.Win32.Horst
Он во многих папках создает setup.exe и autorun.ini - каспер его находит - убивает а толку - он сцука опять появляется...Если выходишь в инет через некоторое время у тебя выскакивает ошибка после которой инет перестает пахать - помогает только перезагрузка... Поставил Аутпост - ошибка перестает выскакивать, но тогда страницы перестают открываться...
НОД32 - поставить не могу - он сервер WOWEmu глушит по полной....

Автор: Limon 15.10.2006, 13:20

Сними жесткий диск и полечи на чистой машине, Оутпост не разрешает выхода в инет, т.к. червь ломится в него, а он его блокирует вот таким образом.

Автор: Pok-H-PoL 15.10.2006, 17:50

Цитата(Limon @ Oct 15 2006, 14:20)

Автор: MpaK 15.10.2006, 18:51

Забей на WoWEmu.

Автор: Pok-H-PoL 15.10.2006, 23:15

Цитата(MpaK @ Oct 15 2006, 19:51)

Автор: MpaK 16.10.2006, 15:40

Dr.Web попробуй. У меня раньше стоял, проблем не было.

Автор: Limon 16.10.2006, 17:12

Проблема не в том что стоял-нестоял или хороший-нехороший, а в том, что нужно вычистить вирус, который уже заразил машину и не даёт нормально работать. Обычная установка антивируса может не помочь.

Вот тебе Portable NOD32 2.51

http://slil.ru/23258336

Работает без установки. Если подумать, то должно помочь.

Автор: Pok2 24.10.2006, 14:36

Цитата(Limon @ Oct 16 2006, 18:12)

Автор: Father 24.10.2006, 15:09

Цитата(Pok2 @ Oct 24 2006, 15:36)

Cпс за прогу, но не помагло Как был червь так и останется, похоже тока форматом от него можна избавиться

Автор: хисэм 24.10.2006, 15:47

Новый троян устанавливает на компьютер антивирус

Компании, специализирующиеся на вопросах компьютерной безопасности, предупреждают о появлении новой вредоносной программы, получившей название SpamThru.

Троян SpamThru используется злоумышленниками с целью организации массовых рассылок по электронной почте. При этом вредоносная программа имеет несколько характерных особенностей. После проникновения на ПК и активации SpamThru загружает из интернета пиратскую копию антивируса Касперского, который затем используется для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

Другая особенность SpamThru заключается в использовании специального протокола Р2Р для обмена информацией между инфицированными узлами и центральным сервером, сообщает eWeek. В случае если управляющий сервер по каким-либо причинам будет отключен от сети, злоумышленники могут быстро установить новый.

Вредоносная программа SpamThru способна поражать компьютеры, работающие под управлением операционных систем Windows. Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

источник compulenta.ru
http://security.compulenta.ru/291614/

Автор: Z@RrAZza 24.10.2006, 15:50

Цитата(Pok2 @ Oct 24 2006, 15:36)

Cпс за прогу, но не помагло Как был червь так и останется, похоже тока форматом от него можна избавиться

Автор: хисэм 24.10.2006, 16:48

Предлагаю кому-то одному качать, а потом выкладывать. Гораздо разумнее.
Как качну обновления на КАВ выложу.. деньжат просто маловато, ночью будет стоит 9р за обновление = ну эт примерно. т.е. 9Мб

Автор: Father 25.10.2006, 5:43

Цитата(хисэм @ Oct 24 2006, 17:48)

Автор: Father 25.10.2006, 15:08

JS/Exploit-ActXComp trojan - вот такого сегодня отловил. Поставил на машину Оперу, а Ишака упрятал - хрен найдут
и до кучки вот таких Sality и Jeefo . Инфицированных файлов больше тыщщи
Все из разряда шпионов и перехватчиков... Отловил McAfee (вроде так) и Nod32, запущеным из под ERD_Commander-а (вроде так)
Осталось ощущение, что ещё кто-то есть... Убить все, что ли?
p.s. Больше ни чего не убивал, все работает тока контра требует KEY (или ключь)

Автор: AkeJIJIa 25.10.2006, 20:31

Хм..скачав Dr.Web 4.32 с файл архива, я что то не обнаружил Лиценз-Кея...

Автор: DPAKOH MAO 25.10.2006, 21:12

кароче у мня проблеммы с интернетом .....очень долго конектит и ваще чета тормази он....
Нашел на диске D файл 00007E00-CE5DCE5D удалить его невозможно .......нет доступа....... касперский нифега ненашел.....
на диске С нашел еще Volume{52C8E4FE-B853-42c1-9528-92978438BBF3}_Backup Volume{52C8E4FE-B853-42c1-9528-92978438BBF3}
00007E00-CE5DCE5D удалить их также невозможно......
может кто знает что ета за фигня???? и ета... если форматнуть все вирусы удалятся???
И еще хачу спрасить как настроить винду чтоб при переименовывании файла отображалось его расширение .......
кароче чтоб отображалось имя файла например muzika на muzika.rar

Автор: Father 25.10.2006, 23:05

Цитата(DPAKOH MAO @ Oct 25 2006, 22:12)

Цитата(AkeJIJIa @ Oct 25 2006, 21:31)

Автор: хисэм 26.10.2006, 0:55

Дракон, стока нубовских вопросов я ещё не видел за один раз =))
жми F1 и вперёд!!! =D

Автор: DPAKOH MAO 26.10.2006, 7:55

Автор: Father 26.10.2006, 8:48

Цитата(DPAKOH MAO @ Oct 26 2006, 08:55)

Автор: WhiteWolf Ice 2.11.2006, 10:56

Ни к кому в аську не стучалась ЗЛАЯ АЛЕСЯ? Не добавляйте ее в список! Ето какой то злоумышленник. Говорит что типа "давай знакомитьсо; давай я те6е фотки на мыло скину" и кидает. А в письме заатаченные фотки какой то псевдо МАШИ. В итоге я чуть не подхватил троян. Слава богу что антивирусник стоит

ЗЫ : ни у кого такого не было?

Автор: хисэм 2.11.2006, 12:56

ты даже открыл ссылку ... ужос=))) я даже не читаю от подозрительных личностей, а сразу игнор...

Автор: Анфан Террибль 2.11.2006, 14:25

Ломилась эта алеся, но я ее в игнор сразу поставил

Автор: Иван ака Den (для краткости) 13.11.2006, 21:41

Подключение свободного инета

Тестирую одну прожку, сделал то что сделал, да здравствует лень...

Теперь по поводу Создания Подключения: аттачь как нистанно работает, проверял не раз и даже соединение устанавливается, использовал программулину писалку скриптов, забавная.

Freeware пусть буит, все кидаем на флешки

от модератора: файл удалил. кто качал тот идиот

Автор: Z@RrAZza 13.11.2006, 22:26

нет времени разбираться, правы сканеры или нет (смотреть скриншот), но баню на месяцок дабы не повадно более было.

Автор: WhiteWolf Ice 14.11.2006, 14:20

Цитата(Z@RrAZza @ Nov 13 2006, 22:26)

Автор: Flamin 14.11.2006, 17:26

Хм ты типа апять просто пофлудить зашёл? При чём тут это? Троян он и есть трян! тем более видов трояна куча и не только тырить пароли куча другого моно провернуть через него!

Автор: Гоблин 14.11.2006, 20:02

Цитата(Flamin @ Nov 14 2006, 17:26)

Автор: Flamin 15.11.2006, 13:17

хехе=) ну как бы не хорошая "программа"!=) это вырожаясь попросту вирус . . . странно что кто то ещё о нём не слышал=)

Автор: Z@RrAZza 15.11.2006, 15:45

небольшая справка для тех кто думает что это все шутки:

Создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК)


Статья предусматривает уголовную ответственность за создание программ для ЭВМ или их модификацию, заведомо приводящее к несанкционированному уничтожению, блокированию и модификации, либо копированию информации, нарушению работы информационных систем, а равно использование таких программ или машинных носителей с такими программами.

Статья защищает права владельца компьютерной системы на неприкосновенность находящейся в ней информации.

Под созданием вредоносных программам в смысле ст. 273 УК РФ понимаются программы специально разработанные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение операций, для которых эти программы предназначены, определенные в документации на программу. Наиболее распространенными видами вредоносных программ являются широко известные компьютерные вирусы и логические бомбы.

Для привлечения к ответственности по 273 ст. необязательно наступление каких-либо отрицательных последствий для владельца информации, достаточен сам факт создания программ или внесение изменений в существующие программы, заведомо приводящих к негативным последствиям, перечисленным в статье.

Под использованием программы понимается выпуск в свет, воспроизведение, распространение и иные действия по их введению в оборот. Использование может осуществляться путем записи в память ЭВМ, на материальный носитель, распространения по сетям, либо путем иной передачи другим лицам.

Уголовная ответственность по этой статье возникает уже в результате создания программы, независимо от того использовалась эта программа или нет. По смыслу ст. 273 наличие исходных текстов вирусных программ уже является основанием для привлечения к ответственности. Следует учитывать, что в ряде случаев использование подобных программ не будет являться уголовно наказуемым. Это относится к деятельности организаций, осуществляющих разработку антивирусных программ и имеющих соответствующую лицензию.

Данная статья состоит из двух частей, отличающихся друг от друга признаком отношения преступника к совершаемым действиям. Преступление, предусмотренное частью 1 ст. 273, может быть совершено только с умышленно, с сознанием того, что создание, использование или распространение вредоносных программ заведомо должно привести к нарушению неприкосновенности информации. Причем, цели и мотивы не влияют на квалификацию посягательства по данной статье, поэтому самые благородные побуждения (борьба за экологическую чистоту планеты) не исключают ответственности за само по себе преступное деяние. Максимально тяжелым наказанием для преступника в этом случае будет лишение свободы до трех лет.

Часть вторая ст. 273 в качестве дополнительного квалифицирующего признака предусматривает наступление тяжких последствий по неосторожности. При совершении преступления, предусмотренного ч. 2 рассматриваемой статьи, лицо сознает, что создает вредоносную программу, использует, либо распространяет такую программу или ее носители и либо предвидит возможность наступления тяжких последствий, но без достаточных к тому оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит этих последствий, хотя при необходимой внимательности и предусмотрительности должно и могло их предусмотреть. Данная норма закономерна, поскольку разработка вредоносных программ доступна только квалифицированным программистам, которые в силу своей профессиональной подготовки должны предвидеть потенциально возможные последствия использования этих программ, которые могут быть весьма многообразными: смерть человека, вред здоровью, возникновение реальной опасности военной или иной катастрофы, нарушение функционирования транспортных систем. По этой части суд может назначить максимальное наказание в виде семи лет лишения свободы.


замечу только что и за явное распространение треху можно схлопотать просто так. достаточно подать на чела в суд. поэтому пусть радуется бану на полтора месяца и думает что он делает.

Автор: Flamin 17.11.2006, 17:16

хех а мож его на 3 года в бан? как полагаетсо . . .

Автор: HalfHuman 17.11.2006, 17:55

Цитата(WhiteWolf Ice @ Nov 2 2006, 11:56)

Ни к кому в аську не стучалась ЗЛАЯ АЛЕСЯ? Не добавляйте ее в список! Ето какой то злоумышленник. Говорит что типа "давай знакомитьсо; давай я те6е фотки на мыло скину" и кидает. А в письме заатаченные фотки какой то псевдо МАШИ. В итоге я чуть не подхватил троян. Слава богу что антивирусник стоит

ЗЫ : ни у кого такого не было?

Автор: MpaK 17.11.2006, 23:04

У меня на mail ящик. Тоже ломилась.

Автор: Tarelki.N 27.11.2006, 13:04

Check up this:
http://



My picture:
http: //






от модератора: бан на месяцок. всем последнее китайское предупреждение. еще увижу ссылку на вирус баню навсегда.

Автор: MpaK 27.11.2006, 13:13

У меня Nod32 сразу в позу стал от твоей ссылки.

Автор: Tarelki.N 27.11.2006, 13:35

Цитата(MpaK @ Nov 27 2006, 13:13)

Автор: MpaK 27.11.2006, 14:18

Убери их нафиг, пока кто-то не скачал, а тебя не наказали.

Автор: WhiteWolf Ice 27.11.2006, 17:00

Цитата(HalfHuman @ Nov 17 2006, 17:55)

Автор: хисэм 27.11.2006, 17:47

Что значит ломилась???? в мыло или в асю? В любом случаи только идиот откроет письмо от незнакмого человека или посмотрит что написал некто в аське. СРАЗУ ДЭЛ! это же тривиально млин!
А вообще если достал спам в аське купите за 1.5$ 6-ти значник и не партесь

Автор: Hun 9.12.2006, 13:07

Кто-нибудь проблему ключей КАВ после обновлений 5 декабря решил?

Автор: Z@RrAZza 10.12.2006, 0:47

чота с усинского ящика вирусы пришли... письмо создано 5го декабря. понимаю что поздно пишу т.к. усинский ящик редко смотрю. но все равно будте бдительны.

Автор: Limon 11.12.2006, 10:19

Чё за вирус-то?

Автор: Z@RrAZza 11.12.2006, 12:16

data.zip > ZIP > data.txt.exe - Win32/Stration.SV червяк. по вирусной активности нода как раз 5го декабря и появился. описалава нету ни на каспере ни на ноде.

Автор: small 14.12.2006, 12:47

Люди,что делать подскажите.Завелась какая то гадость на компе,на харде чрезвычайно ценные данные.Короче,начал блокироваться доступ к различным папкам,файлам,дрова на принтер,видюху, мышку.Похоже на троян. В диспетчере устройств все железо видно,при попытке установить дрова пишет что нет доступа.Нортон антивирь ничего не нашел,НОД тоже ничего не находит,базы новые.Пробовал установить винду поверх старой,программа установки не смогла проверить хард.Начальство сказало,что если не сделать в ближайшие 2 дня расстреляют нафиг

Автор: Que 14.12.2006, 13:42

ну попробуй еще дрвеба, у них на сайте есть бесплатная, но полнофункциональная версия антивиря.

зы: хм, а может винт накрывается?

Автор: small 14.12.2006, 16:46

Не,винт рабочий.

Автор: sa-12 14.12.2006, 23:38

Недавно снес Norton AV и поставил avast! Antivirus - 13 шт. при первом же сканировании. Хотя Norton обновлялся автоматически, вот так флагман антивирусной индустрии. Конечно идеального антивируса нет, не знаю как дальше, но пока avast! Antivirus радует всем. Кто им пользуется? Какие впечатления?

Автор: Z@RrAZza 15.12.2006, 1:06

проверял разные базы с вирусами разными антивирями. аваст показал не лучший результат. я остановился на ноде.

Цитата(small @ Dec 14 2006, 16:46)

Автор: MpaK 15.12.2006, 12:33

У меня тоже Nod32 стоит, всем доволен. И не грузит систему совсем.

Автор: Asya 19.12.2006, 0:59

А мне Нод не оч нравится. При сканировании далеко не все находил, в отличае от аваста,который реагировал на малейшие изменения докум-тов. И версия последняя стоит, и правильно настроен, но для локального сканирования приходиться использовать аваст, тк по мне он более надежен в этом плане.

Автор: Father 19.12.2006, 1:08

Цитата(Asya @ Dec 19 2006, 00:59)

Автор: Z@RrAZza 19.12.2006, 13:39

Asya, по умолчанию в ноде стоит на сканирование не все галки.(смотрим скрин). но при выборе варианта скнирования есть кнопарь "глубокий анализ" так вот он дает нормальный скан. через контекстное меню тоже не все сканируется. так шта проверься еще раз нодом и убедись...

Автор: small 20.12.2006, 15:45

Вот так именно и получилсь.Поставили все галки,просканировали, и нашелся троянчик.Короче,он подменил параметры в реестре,запретив использование более половины устройств на компе.Реестр поправили утилитой и все щас ок.

Автор: Father 20.12.2006, 19:31

nod32 v2.70.12 есть...

Автор: Z@RrAZza 20.12.2006, 22:22

Father, он уже месяц как есть. но только пока английский и словацкий... русский обещали к новому году.

Автор: Father 20.12.2006, 22:50

Цитата(Z@RrAZza @ Dec 20 2006, 22:22)

Автор: Z@RrAZza 20.12.2006, 23:18

Father, когда выйдет русская я скажу.

Автор: Z@RrAZza 21.12.2006, 10:41

вышел русский нод 2.70

Автор: Father 21.12.2006, 11:19

Цитата(Z@RrAZza @ Dec 21 2006, 10:41)

Автор: хисэм 21.12.2006, 13:35

Эпидемии в сетях с кучай чайников не избежна. Года два назад в общаге студенческой из-за такой эпидемии половина машин пропала из сети на денёк^_^... до этого я не сидел в сети и о вирусах почти не задумывался, после установки антивиря, штук 700 у себя на машине убил, и в 99% был лэзимин. После того случия наверно только 1 раз заражался 1, -2мя вирусами .. больше заражений небыло

Автор: father 25.12.2006, 8:09

Вот

Автор: Z@RrAZza 25.12.2006, 9:17

слухов в инете ходит уйма. и то что эти тесты покупаются(нодом к примеру), и то что некоторые компании сами вирусы выпускают(каспер и панда) и якобы первые их ловят. так что лично я не верю всему что пишется в всяких там рейтингах.

в свое время сделал проще. пошастал по инету, и накачал баз вирусов. несколько штук. в каждой базе от сотни до нескольких тысяч вирусов. поднял виртуальную тачку. накачал разных антивирей. и проверил все. в результате проверки стал пользоваться нодом. вот такие пироги с котятами

Автор: father 25.12.2006, 10:05

К касперскому и у мя предвзятое отношение Хотя могу использовать, так как ежемесячно покупаю какой нить журнал с Этим антивирем. Очень долго использовал Панду, но начались проблемы с именем/паролем Я помучался с полгода и поставип себе nod32. Выбирал по принципу поставил и забыл...
В настройках требовалось обновление, ну и периодически (раз в неделю) запускаю глубокий скан)
Наверное это самый незаметный антивирь...
Сравнить его могу тока с дефрагментатором от O_o по манере не обращать на себя внимание... и эффективности... Относительно несложной установкой.

Автор: Z@RrAZza 25.12.2006, 12:39

father, нет лучшего антивиря. если бы был все сидели на нем подавно. у каждого свои плюсы и минусы.

расскажу о свих критериях выбора. первый критерий частота обновления баз. сразу в треш ушли такие как маккафи. обновление баз раз в неделю это даже не вчерашний а позавчерашний день. правда ходят слухи что они год назад перешли на ежедневное но по мне это фикция не более чем маркетинговый ход.

второе и немаловажное величина скачиваемых обновлений. сразу отсеялись такие как нортон. качать базы по 10 метров каждый день ну нет.

третье ключи. сразу ушли такие как битдефендер етраст антивир(платный) и т.д.

четвертое. наличие монитора. стразу отмел такие как антивир(бесплатный) и кламвин т.д. т.е. практически все бесплатные за малым исключением.

пятое модульность. т.е. возможность отключать или не устанавливать монитор. тут отпал каспер 5й.

шестое но важное. как ловит вирусы. т.е. в случае чего можно мирится с другими недостатками. сразу отмечу недостатки антивирей. лучше всех ловят нортон (корпоративный), каспер, нод, битдефендер. кламав (не путать с кламвином) т.е. лидеры они всегда лидеры етраст так и не запустил не нашел ключа. вторая очередь по качеству отлова это дрвеб панда писисилин аваст макафи. такие антивири как антивир ваще лучше не пользовать. а хваленый ф-секьюре на трех движках пропустил столько всего чтовпору за голову хвататься.

но тут же было замечено несколько глюков которые понизили рейтинги. это нортон он не сканирует в рар авивах я так подозреваю что и 7зип ему тоже не по зубам и кламав у этого вообще странный глюк не сканирует рекурсивно в папках с русским названием. глюк панды в том что если она криво встала то выдрать ее из операционки очень проблематично.

из лидеров оказались битдефендер каспер нод. битдефендер ушел в треш в связи с ключами. каспер ушел в треш в связи с отсутствием модульности и тормознутостью. остался нод. какие у него недостатки. их немного но они есть. все в нем супер за одним маленьким исключением. к новым троянам он равнодушен. если по поводу червей или простых вирусов у него эвристика работает на ура, то с троянами он "дружит" в помощь ему надо ставить сканер троянов и эта пара будет убивать все. и конечно у него не такой сканер как у каспера. тут он лучший. если можно лечить то ни один сканер не сравниться с каспером по поводу лечения. лечит он супер. я так и подозреваю что вычищает он получше других.

это все мои опыты по прошлому году. в этом году вышел и каспер новый и нод новый кламав и другие антивири обновились. поэтому надо тестить...

пысы если бы не рекурсия кламава не было бы ему равных...

Автор: Goga 6.1.2007, 12:42

Люди дайте кто нить нод=))Фазер я зайду=))
а у тебя ключи есть??и где ещё взять блокиратор баннеров=)?

Автор: father 13.1.2007, 13:26

NOD32, можно обновлять элементарным переписыванием(копированием) папки updfiles
которая обычно находится вот тут: C:\Program Files\Eset и весит ~6mb

Архивирование этой папки не приводит ни к какому сжатию (ну я RAR-архиватор пробовал) Если под обновлением архивами, полагалось это то да, можно Изначально папка обновлений пуста...
Выложу-ка я в обменник...

Автор: simich 5.2.2007, 20:31

Цитата(father @ Jan 13 2007, 13:26)

NOD32, можно обновлять элементарным переписыванием(копированием) папки updfiles
которая обычно находится вот тут: C:\Program Files\Eset и весит ~6mb

Архивирование этой папки не приводит ни к какому сжатию (ну я RAR-архиватор пробовал) Если под обновлением архивами, полагалось это то да, можно Изначально папка обновлений пуста...
Выложу-ка я в обменник...

Автор: Vox Dei 10.11.2007, 13:47

народ вобщем такой проблем:
притараканил себе на комп с флехи spyware - Winlogon Shell, коекак удалил, но
1. не могу редактировать реестр - типа запрещено админом
2. не фурычит "свойства папки" .
как усё вернуть

Автор: Z@RrAZza 10.11.2007, 14:15

Vox Dei,
могу еще на вскидку сказать где у тебя не работает.
не работает свойства папки. просто этого меню нет. и если были указаны показывать скрытые файлы то не показывает. сталкивался я с этим вирусом руками удалял. поставь тотал. через него можно обойти все запреты. ну чтобы вирус контузить.
как удалить.
в коне каждого диска будет куча файлов ауторанс. но не спеши их удалаять там в некоторых будет указано какие файлы он подгружает в резидентный мониторинг.
их надо найти и удалить из процессов. ежу понятно не стандартным таск менеджером.
потом удаляем все файлы ауторанс и все на что ссылается ауторанс.
если не удалим резидентные файлы из процессов после перезагрузки вирус опять будет на месте.
после того как удостоверимся что вируса нету.
в командной строке набираем mmc и вызываем консоль глобальных политик. в ней настраиваем доступ к реестру и показ всех пунктов меню.
если неохота заморачиваться можешь просто переустановить винду
пысы кстати это не твой адваре наделал а другая какаято шняга не помню как называется. но зело злая.

Автор: Que 10.11.2007, 14:43

Дополню Серёгу. Еще этот вирус прописывается в автозапуске системы, и имеет имя процеса одинковое с системной службой: "svchost.exe". Определить какой именно из svchost левый можно по пути процесса: "%WINDIR%\SYSTEM32\SCVHOST\svchost.exe", в Списке процессов ФАРа это легко увидеть. После того как убил процесс, надо удалить файл и поправить реестр по пути: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", в параметре "Userinit" удалить из списка строку: "C:\WINDOWS\system32\scvhost\svchost.exe"

И еще, вирусяка распростроняется через флэшки. Поэтому имеет смысл отключить автозапуск с них, это удобно делать через групповые политики: "gpedit.msc"

Автор: Z@RrAZza 10.11.2007, 15:27

Автор: Vox Dei 10.11.2007, 15:56

офф: пардон...не туды написал

спасибо мужики, но я всё так и сделал (по поводу удаления) искал этого чертягу Starter"om
(типа таскменегера).
Я его дятел сам запустил - у него значёк папки был
и фсяческие автозапуски у меня отключены

вобщем может показаться полным бредом, но когда-то очень давно установил себе прогу которая меняет значки.....короче начались какие-то проблемы и я её удалил, но все мои папки (ну значки) стали чёрные, а у этого вирусняка как раз был значок папки, но стандартный вид (желтая) так же отображался и в Startere короче проблем найти этого гада не составило труда - просто по виду

не совсем понял про mmc и консоль глобальных политик где эти политики искать чёт ни фига непонял

Автор: Que 10.11.2007, 16:24

Цитата(Vox Dei @ Nov 10 2007, 15:56)

Автор: _HelloMoto_ 17.11.2007, 0:16

Avast вроде бы еще тише нода 32 и касперского и уменее панды!

Автор: Сергей Александрович 10.1.2009, 9:15

Здравствуйте. в общем у меня проблемка токого плана... НОД32 нашел вирус в оперативной памяти... Удалить его не может... Говорит, типа перезагрузите компьютер и вирус чудесным образом удалится... да не тут-то было... нихрена не удаляется... Ручками пытался удалить, всё напрасно, комп либо виснит либо перезагружается... В безопасный режим вообще отказывается входить...Что делать то? Вирус называется Win32/Advare.Virtumonde.NDI размещен C\WINDOWS\sistem32\khfEWOIa.dll
По описанию вирус хахлятский... В общем хахлы не только газ воруют но и в оперативные памяти серут... негодяи...

P.S. забыл сказать что пользовал Панду которая нифига не нашла и Каспера который нашел и тоже не удалил... щас сижут исключительно на НОД32 обновление 9.01.2009

Автор: Zetron 11.1.2009, 0:07

Цитата(Сергей Александрович @ Jan 10 2009, 09:15)

Автор: Zetron 11.1.2009, 0:38

Цитата(Сергей Александрович @ Jan 10 2009, 09:15)

Автор: Сергей Александрович 11.1.2009, 1:51

я что то не понял к чему вы это... Антивирус лицензионный и что? Толку то?

Автор: AV 11.1.2009, 12:46

Качни бесплатную утилиту от Др.Вэба. (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe)
Я вылечил этого трояна с ее помощью в безопасном режиме (настройки проверки выставить все на максимум, эвристику там и т.д.) и с остатки дочистил уже в нормальном режиме Касперским (настройки так же на максимуме) с актуальными базами.
Касперский, кстати, тоже бесплатный - Яндексовская версия. Рекомендую (http://online.yandex.ru/?from=kaspersky).

Автор: Kreg 27.1.2010, 0:02

Поймал сегодня себя на мысли, что просто игнорю все сообщения про массовые заражения компьютеров, игнорю сообщения антивируса о просьбе не посещать тот или иной сайт, обновляю антивирус от случая к случаю, пока не перешел на семерку пользовался старым касперским 7 версии. И еще много чего не в пользу безопасности

Так вот за все время пользования компом меня почему-то посещают только различные трояны и рекламные программки.
А кто нибудь сталкивался с реальными вирусами? Которые бы вывели из стоя систему или уничтожили данные?

Автор: cpcat 27.1.2010, 0:17

Ну зачем кому-то уничтожать твою систему и данные?

Цель - использовать твой комп в своих целях, или сколотить с тебя платные SMS, и всё. Ну, есть пара зловредов, которые тебе файлы испортят, если смс не отправишь, но это экзотика, для достижения указанной цели такое обычно не требуется.

Автор: Kreg 27.1.2010, 0:19

Так и их нету :-(

Вот пытаюсь зарозиться новым вирусом, про sms ...

Автор: cpcat 27.1.2010, 0:27

> Так и их нету :-(
Может, ты их просто не замечаешь

> Вот пытаюсь зарозиться новым вирусом, про sms ...
Ну, http://razdolbaj.my1.ru/Pricols/virusaka/byaka_virusaka.zip, если интересно

Автор: Kreg 27.1.2010, 0:32

Ну прощайте на всякий случай :-)

А что он делает что бы я знал что искать?

Автор: Shreck 27.1.2010, 0:54

аваст рулит, блокирнул сразу, молодец-))) надо дома на ноде проверить-))))))))))))))

Автор: cpcat 27.1.2010, 1:08

Ну, это-то старьё уже все находят.

Но его собратья с минимальными отличиями появляются ежедневно, и в вирусные базы попадают только через день-два.

> А что он делает что бы я знал что искать?
http://www.drweb.com/unlocker/index/?lng=ru

Автор: Hun 27.1.2010, 12:15

Цитата(cpcat @ Jan 27 2010, 00:17)

Автор: Nikorl 27.1.2010, 12:28

Цитата(Hun @ Jan 27 2010, 12:15)

Автор: cpcat 27.1.2010, 14:40

> Указать номер на который нужно отправить СМС значить полностью "сдать" себя.

С чего бы? Как видишь, никаких паспортных данных не требуется, заполняешь анкетку от балды, вводишь номер симки, купленной в переходе метро, и деньги начинают капать.

https://partner.a1agregator.ru/main/register/

Автор: Kreg 27.1.2010, 15:10

Не разу не видел что бы симки в метро продавали, вне оф точек.
Хотя в последнее время я не часто в метрЕ бываю :-)

Автор: cpcat 27.1.2010, 15:39

Ну вот, просвещайся У меня таких карт несколько из разных городов. Не говоря уж о том, что даже в крупных салонах связи тебе скорее всего позволят вписать паспортные данные "по памяти".

Самое удобное у Мегафона - покупаешь симку в плёночной обёртке за 150 рублей, сзади стираешь монеткой пинкоды, и на счету уже лежат те же 150 рублей!

Автор: Zetron 18.2.2010, 21:32

Цитата(cpcat @ 27.1.2010, 15:39)

Ну вот, просвещайся У меня таких карт несколько из разных городов. Не говоря уж о том, что даже в крупных салонах связи тебе скорее всего позволят вписать паспортные данные "по памяти".

Самое удобное у Мегафона - покупаешь симку в плёночной обёртке за 150 рублей, сзади стираешь монеткой пинкоды, и на счету уже лежат те же 150 рублей!

Автор: Acinonyx™ 18.2.2010, 21:52

подскажите где искать эту заразу? я серьезно =)
хочу на виртуальной машине запустить и посмотреть как ее лечить (я про хитрый винлокер, который цобакен шифрует файлы)

Автор: Zetron 18.2.2010, 21:56

Цитата(Acinonyx™ @ 18.2.2010, 21:52)

Автор: Илья Владимирович a.k.a Que 19.2.2010, 11:31

по телефону помогал уже нескольким вылечится от винлоков, так пока гуглил, оказалось что их около 700 разновидностей уже и все со своими механизмами ныкания.

Автор: Acinonyx™ 19.2.2010, 17:55

смешно однако.... но я сам полчаса назад поймал винлокер (простой, ключи к нему есть в инете)
у него еще обратный отчет крутится, типа алгоритм шифрования сменится через столько-то столько-то
убил за 10 минут
как обычно прописался в Winlogon ветке в качестве шелла
незапуск редактора реестра решается как обычно по-детски, переименованием regedit-a во что угодно

самое смешное, что я в инете то не сидел почти час до заражения

Автор: Zetron 31.3.2010, 16:24

Цитата(Zetron @ 18.2.2010, 22:56)

Автор: Kreg 31.3.2010, 16:32

В сообщении так и написано "ОШИБКА"?
Пока похоже на вирус, под названием анахренатытудалез

Автор: steder 31.3.2010, 16:51

Цитата(Kreg @ 31.3.2010, 17:32)

Цитата(Zetron @ 31.3.2010, 17:24)

Автор: Zetron 1.4.2010, 8:33

Цитата(steder @ 31.3.2010, 17:51)

Автор: Acinonyx™ 1.4.2010, 19:45

совет дня: скачайте AVG Rescue Disc (есть вариант с юсб флешкой) и прогоните по системе
он много всякой бяки нашел и вычистил

кстати сам авгшный рескью оказался весьма хорошей штукой (правда там редактор реестра без гуя)

Автор: father 2.4.2010, 9:24

а у меня Nod 32 и вот...http://savepic.org/454707.htm
и вот... http://2ip.ru/speed/

Автор: steder 3.4.2010, 18:57

У меня COMODO Internet Security - показало тоже самое.
Выключил COMODO - тоже самое. Выключил встроенный Брандмауер - тоже самое.
Вывод - или так хорошо работает файрволл на АДСЛ-модеме или тест у них такой хреновый.

Автор: father 3.4.2010, 19:29

Цитата(steder @ 3.4.2010, 19:57)

Автор: steder 4.4.2010, 3:11

Цитата(father @ 3.4.2010, 20:29)

ну вообще-то да, железный файрвол должен сам держать... Ну а всю фигню по любому сам пользователь пускает... Ну вот у моих знакомых ( не у всех) Выскакивает это окно (ну в которой просят СМС-ку отправить...)... вот у меня же нету Потому что не пользуюсь случайными связями и предохраняюсь
Скачай вот http://2ip.ru/firewalltest/ программку и запусти её

Автор: LoKoSpiRiT 5.4.2010, 2:31

скачивал с сайта адсла бесплатную версию нода32, и там его активировал до 2012 года (ключ был написан на сайте), после перустановки винды конечно снова скачал, но ключ на активацию на сайте так и не нашел ) у кого есть? ) а то скоро пробный период кончится

Автор: father 5.4.2010, 7:08

Цитата(LoKoSpiRiT @ 5.4.2010, 3:31)

Автор: infinity 6.4.2010, 10:09

Цитата(father @ 3.4.2010, 20:29)

Автор: Amadeus 6.4.2010, 13:42

Цитата(infinity @ 6.4.2010, 10:09)

Автор: infinity 8.4.2010, 1:53

не видел... как-то не обратил внимания.

тупо скачал и врубил, чтобы проверить, не меняя настроек фаервола. Не копался.

Автор: steder 13.4.2010, 10:03

Цитата(father @ 13.4.2010, 10:57)

Автор: father 13.4.2010, 10:12

Цитата(steder @ 13.4.2010, 11:03)

Автор: steder 13.4.2010, 10:31

Цитата(father @ 13.4.2010, 11:12)

В Опере Ад-блокер уже есть просто немного с ручным управлением (типа не все режет)... Так как я отвык от Файерфокса, и ну ни как не могу на него вернуться (ну неудобен он мне) Я использую фан-сборку http://opera-ac.net/, мне лениво что-то самому настраивать Это хобби Зарразы...

Автор: father 13.4.2010, 10:49

Цитата(steder @ 13.4.2010, 11:31)

Автор: steder 13.4.2010, 11:03

Цитата(father @ 13.4.2010, 11:49)

ха-ха, аскет значит
у меня не отражаются ни аватарки (я их отключаю в настройках форумов), ни большинство картинок (ну я наглядно это продемонстрировал в топике про сбербанк ) У тебя так же?
мне достаточно написанного... хотя конечно в железячных местах все по другому... в общем меня обвес оперы не напрягает (да какой там обвес? Ты видел сколько страничек у меня открыто? все шевелиться...) От флеш-анимации не могу отказаться, некоторые сайты на ней и работают При этом "функционал" не минимальный...

Автор: father 13.4.2010, 11:31

Цитата(steder @ 13.4.2010, 12:03)

Не, аватарки я сам люблю смотреть.
На самом деле я имел в виду всякие примочки для соц сетей, чтения новостей, миллион каких то панелек. В общем Опера мне кажется слишком... пёстрой что ли. В общем считаю, что Опера такой же достойный браузер как и Файрфокс - кому что больше нравится. Холивар тут не уместен

Автор: Zetron 20.5.2010, 19:36

Цитата(Zetron @ 1.4.2010, 9:33)

Автор: Zetron 20.5.2010, 19:51

Цитата(Zetron @ 20.5.2010, 20:36)

ядро windows XP ругается при установки антивируса NOD32 , чем это связано я незнаю .

Автор: father 20.5.2010, 21:02

может уже на столько все плохо, что проще Винду переустановить, чем пытаться поменять антивируса...

Автор: Zetron 21.5.2010, 6:29

Цитата(father @ 20.5.2010, 22:02)