43 ответов в этой теме

[Dick]

Тут я в соседней Verendey-теме писал, что мой РС страшно заглючил после моего посещения порносайта (не буду подставлять сынишку!).
Симптомы:
1.На главной странице Интернет Эксплорера появилась и уже НИКАК не убиралась новая строка, на которой были – бизнес, казино, развлечения, финансы и проч.
2.При открытии главной страницы Эксплорера сразу появлялся поисковик www. ravesearch. com и вызывал (уже помимо моей воли) порносайты с обжигающими фотографиями. Я многократно удалял его (этот файл) из всего реестра (он прописывался в 3 местах), устанавливал about: blank, стирал кукисы и адреса, но он – ravesearch - невесть откуда не сразу, а минут через 5, опять выскакивал в строку адреса Эксплорера (и это при отключенном модеме!). И все начиналось сначала. У меня еще установлена Opera, так все эти глюки повторялись и там.
3.На рабочем столе после удаления вновь и вновь появлялась иконка порно-содержания.
4.Модем стал отключаться, а потом неожиданно САМ включался и набирал новый прописавшийся непонятный длинный номер 8.64739…… Этот номер тоже никак вытравить уже не мог.
5.Начались и другие непонятки…

Короче, бился я, бился, а потом «поймал на себе» спасительную мысль – провел восстановление операционки (у меня W-XP) числом (точкой восстановления) предшествующим залету на порнуху. Этот процесс занял не более минуты. Вся гадость стерлась, и мы с сыном стали вести целомудренный образ жизни.

В связи с этим вопрос к профи – как программисты делают эти черви? Какие у них приемы? Технология? Куда, например, в операционку они прописывают файл ravesearch, который вызывает автоматически порносайты? Имеют ли с этого программисты-хакеры какую-то выгоду или просто так воспитывают - балуются?
(По идее такие глюки можно словить и, не посещая порносайты, а через почту, например, или еще что-то скачивая…)
Расскажите, у кого были какие глюки и кто как с ними боролся? (Понятно, что можно полностью стереть и заново установить операционку, но устанавливать после этого множество программ замучаешься).

Тема, по-моему, интересная… Тем более, что на монитор часто поглядывает жена, а у нее на кухне есть много чего тяжелого... Сам видел… :shok:

Сообщение отредактировано Дик: 05 янв 2005 - 04:09

[ВалерийА.]

4.Модем стал отключаться, а потом неожиданно САМ включался и набирал новый прописавшийся непонятный длинный номер 8.64739……
----------------------------------------
Была такая хрень и у меня. Избавился от нее удалив это сетевое подключение в Win., а еще удалил все куки чтоб не мучится с поиском этой дряни.

[ECHO]

Как правило, исполняемый файл лежит в папке "временных файлов интернет". Но может и где в другом месте лежать. А прописан в реестре в разделе RUN то бишь Автозагрузке. А вот он уже и восстанавливает и ярлыки и ссылки и соединения...

[Dick]

А вот повторяю... Все кукисы удалял (даже папку для кукисов по совету А.Степных перенес в другое место, на другой диск). Реестр полностью вычищал от этого исполняемого файла. Удалял еще постоянно появлявшуюся папку (кажется, в папке Windows) под названием ViewInet, в которой прописывались разные файлы порно-содержания, в том числе и для рабочего стола. Может исполняемому файлу в реестре, в разделе RUN присваивалось какое-то другое не знакомое мне имя? Как вычислить это имя?
Я думаю, что опытные программисты-хакеры легко обходят (и обойдут) наши традиционные способы борьбы с их творениями.

Повторяю вопрос к программистам: "Как делают эти черви? Какие у хакеров приемы? Технология? Имеют ли с этого они какую-то ВЫГОДУ или просто так воспитывают - балуются?"

Для чего все это? Может быть действительно борьба за чистоту нравов в Инете? Пару раз сунешься на порно-сайт и заречешься...

Я, в принципе, не ханжа, но с такой политикой согласен. Разврат особенно опасен для неокрепших молодых душ, ломает мировозрение… Ладно бы просто тема "юноша-девушка", а что там творится в Инете на самом деле... С ума сдохнуть...
Кстати, читал, как борются за чистоту нравов мусульмане. В некоторых странах перед входом в Инет на компьютере появляется молитва, призванная уберечь от соблазна порно-сайтов. Во как! Что сказать, молодцы!

Программисты, отзовитесь...

Сообщение отредактировано Дик: 05 янв 2005 - 12:07

[Byuri]

Пишется исполняемый скрипт и при попадании на старнницу он начинает исполняться - закачивать модули (плагины) которые устнавливаются в систему, прописываются куда угодно... и вытравить его довольно сложно. Тут могут помочь программ убирающия всякого рода spyware о троянов, типа Ad-Aware. Если не помогло - то переустановка системы.
Надо заметить, что в основном эти скрипты исполняются в IE. Попробуйте другой браузер. Кстати опера не страдает такими болезнями...

[mic2001]

Думаю, уважаемомму Дик-у поможет прочтение темы вот отсюда, особенно последних страниц. Очень познавательно.
Мне в свое время помогло...

[Jurij]

"Как делают эти черви?

Пишутся ручками как и любая программа :shok:
Самый простой способ, к примеру давно нашумевший вирус Love, написан на Java script - WSH, не нуждается в компиляции, работает на всех платформах Виндов. Этот сценарий всего несколько байт. Может работать с браузера.

Какие у хакеров  приемы?

Основная задача обойти защиту Виндов, для того что-бы сделать автозапуск.
Мне кажется самый удобный способ распостранения, это через всякого вида key генераторы и сломанное програмное обеспичения.

Имеют ли с этого они какую-то ВЫГОДУ или просто так воспитывают - балуются?"

В вашем случае, принудительный вход на какой то сайт возможно и приносит выгоду, за вход, клик по банеру некоторые рекламные агенства дают денюшку.

Для чего все это?  Может быть действительно борьба за чистоту нравов в Инете?

Извиняюсь, но на ваш вопрос отвечу вопросом - Почему воруют? :sad:
За всё надо платить, за содержания порно сайта то-же.

[RANET]

"Я думаю, что опытные программисты-хакеры легко обходят (и обойдут) наши традиционные
способы борьбы с их творениями."

Дик, ты сам ответил на свой вопрос ... только чтобы это произошло, настоящий Хакер должен
быть заинтересован в содержимом твоего компьютера ...
А от всякой швали есть хорошее средство - файервол называется, который блокирует "ворота"
и на вход и на выход.
Когда "тусуешься" на варезных сайтах нужно одевать два "презерватива": Касперского (или
другой антивирус) и файервол (например ZoneAlarm). Кто знает куда она нелёгкая вынесет ...
Конечно на сто процентов гарантировать ничего нельзя, но в большинстве случаев помогает.
Против многочисленных всплывающих окон (которыми в основном балуют порносайты) есть
специальные программы ...
Ну и на худой конец нужно иметь образ Системы (сделанный например Акронисом), с помощью
которого можно всё восстановить за считанные минуты.
Нужно не устранять последствия, а предотвращать их!

А цели у всех подобных бяк разные:
одни внедряют шпиёнов, чтобы следить за информацией поступающей на твой компьютер или
чего нибудь украсть у тебя при возможности,
другие чтобы напакостить (вирусы для благих целей не пишутся),
а третьи, чтобы насадить тебя на "бабки" как лоха, засылая тебе на комп Экзешники для
дозвона по SEX телефонам (а стоимость международных соединений недёшева, и доказывай
потом ГТС что ты не верблюд). При чём сам пользователь в большинстве случаев "соглашается"
с этим ... внимательно читайте что вам предлагается сделать, а если не знаем или не
понимаем, то жмём всегда NO/NOU/NOT и т.д.

[Dick]

Спасибо за участие. Думаю, многим это полезно знать. Конечно, лучший способ предохраниться - не лезть в злачные места. Но не только оттуда цепляют заразу...
Скажите, а вот то, что я "изобрел" - восстановление ОС с точки (даты) восстановления до залета ко мне трояна - это панацея? Видимо, это аналогично тому, что предлагает RANET: «Ну и на худой конец нужно иметь образ Системы (сделанный например Акронисом), с помощью
которого можно всё восстановить за считанные минуты.»
Тфу, тфу, тфу... но, по-моему, у меня после моего восстановления все чики-чики!!!

Сообщение отредактировано Дик: 05 янв 2005 - 18:06

[Jurij]

Скажите, а вот то, что я "изобрел" - восстановление ОС с точки (даты) восстановления до залета ко мне трояна - это панацея? Видимо, это аналогично тому, что предлагает RANET: «Ну и на худой конец нужно иметь образ Системы (сделанный например Акронисом), с помощью
которого можно всё восстановить за считанные минуты.»

<{POST_SNAPBACK}>

Правильней делать образ системного диска

[Newdjeen]

От сбя добавль по поводу автозагрузки...

А прописан в реестре в разделе RUN то бишь Автозагрузке

Для начала - таких разделов три :shok: в реестре(и это только основных) и один "Видимый"(Пуск -> Все прогрпммы -> Автозагрузка).

Насчет двух трех и даже 10 презервативов... Меня друганы когда-то (в то время, когда я еще интересовался девушками, а не компьютером) называли "Половой камикадзе", так как я говорил, что лучше сделаю это руками, нежели одену резиновое изделие № 2
Вообще самое надежное ср-во от СПИДа это одеть 2 презерватива, замотать их бинтом, загипсовать, а главное никаких половых контактов!
Теперь вернемся к нашим модемам...

Информация к размышлению - при установке ОС вписывает пароль администратора? Что вы говорите, совсем не вписываете? Праильно, ибо зачем? Комп ведь у нас просто стоит, а не не для крупно сетевой работы(вот еще глупость, при каждом сеансе эти букво-цифры набирать)... Ну так вот, зная ваш IP я смогу зайти на него безо всяких проблемм(как нескажу, даже не спрашивайте - служебная тайна). Малолетний мага-кул-хацкер зашел на комп, а что дальше? А дальше ничего - максимум, что он увидит, так это содержимое сетевого окружения, я сомневаюсь, что даже у одной трети данного форума дома сеть из двух компов с расшаренными ресурсами. Для того, чтобы начать "путешествие" по компу ему нужно, чтобы были общие сетевые ресурсы. Вот для этого и рисуют таких трояно-червей.
Вот коротенечко всё по данному вступлению. Перейдем к лечению и профилактике.

Если случилась такая бяка - бывает безобидная (чистится за 2 минуты), а бывает и такая, что приходится переустанавливать систему.
Итак - перво-наперво отключаем восстановление системы (паникерам объясняю на пальцах - все ранее созданные точки восстановления сохраняются).
Отключив восстановление системы (надеюсь вы дядьки взрослые, знаете где находится эта красная кнопка), вытаскиваем телефонный кабель из модема, после чего переходим к автозагрузке

автозагрузка - находится в трех ветках реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Смотрим что у нас там есть такого интересного, чего мы незнаем...
Тут стоит обратить внимание - раздела RunServices может и не быть, так что не пугайтесь, если такого не обнаружите.
Посмотрели, поинтересовались... Кроме этого, у каждого ключа есть Значение - в котором прописанно, где находтся папка данной программы. Вобщем разберетесь (Кстати, комманда msconfig делает тоже самое, ее закладка автозагрузка это, можно так выразиться, графический интерфейс для данной ветки реестра).
После этого загляните в Пуск -> Все прогрпммы -> Автозагрузка и посмотрите там - это тоже одно из излюбленных мест всякого-рода "секс-звонилок"

Почистив наш автозапуск (кстати, от себя скажу. что у меня там много чего выключенно, ибо нефиг во время монтажа работать 10 000 приложений, таких как PowerDVDSrv, NeroCheck, Acrobat Asistent'у и прочему подобному софту, ибо если я хочу записать диск или посмотреть киношку, то сам могу запустить программу, благо дело руки вроде намместе)
После чистки рееестра (штука, кстати, опасная - ввиду незнания можно запросто убить систему) перходим к лечению модема...
Как? Просто - заходим в подключения и стираем ВСЕ(!!!) подключения к интернету, так как неизвестно, может этот самый трояно-вирус-червь прописал свои регалии и в вашу родненькую звонилку.
Вытерли... Теперича позвольте вас послать... в папку C:\WINDOWS\system32\drivers\etc
там есть один файлик - hosts, в оригинале его окночание написанно так (открывается он при помощи блокнота)
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Если кроме 127.0.0.1 localhost присутствует еще что-то - стирайте,
этот фаил предназначен для прописывания DNS и прочих подобностей,
например если я допишу в него
127.0.0.1 http://forum.1dv.ru/index.php?
то фиг вы зайдете на наш сайт ввиду того, что для компа это звучит так:
При обрашении по адресу http://forum.1dv.ru/index.php? идти на IP адресс 127.0.0.1 (на самом деле это внутренний адресс компьютера) - многие вирусы прописывают IP 127.0.0.1 для сайтов-обновлений антивирусных баз - это вам на зметку, в случае того, что антивирь будет говорить о "Невозможности соединение с сервером обновлений"

Следующий этап это Установка/удаление программ - в нем нужно искать всякого рода search bar'ы, free life sex и прочее - если накчал шуршать модем, это значит установилась порно-звонилка, а следовательно программа.

Вобщем, поискали, пошукали, нашли, деинсталлировали, настала пора перезагрузиться.
Перезагрузились, через Панель управления в свойствах обрзевателя (ибо никто не видел столько порнухи, сколько ее видел Internet Explorer) прописываем about:blank (если мы не сделали этого раньше).
После этого включаем восстановление системы, настраиваем звонилку и вперед - ставим AD-Ware, обновляем антивирь и сканим систему.

Если лечение не помогло, search бар не стёрся и заглавная страничка "прыгает" не туда, куда нужно... В этом случе поможет либо откат системы, либо полная переустановка - я могу на 5 листах перечислить куда как и что прописывается, но чистка, настройка и подгонка займет в два раза больше времени, нежели переустановка системы.

Удачи

[Dick]

Спасибо всем за развернутые профессиональные ответы и ссылки. Бум разбираться. Еще такие мысли:
1. То, что мне помогло простое восстановление системы W-XP из более ранней контрольной точки, означает ли это, что ко мне залетел самый простенький, примитивный червь-троян? Что моя ОС попала в руки неопытного пацана-хакера?
2. Что такое восстановление ОС с контрольной точки? Как я понимаю, все-все-все, что появилось в ОС после контрольной даты, просто удаляется, и остается только то, что было ДО. Так?
А как могут опытные хакеры-программисты закинуть свои файлы-крючки за более ранние контрольные точки восстановления ОС? Если восстановление ОС помогает, значит, они (хакеры) должны как-то порушить программу восстановления… Вот по этой теме потрите… Можно ли сделать программу «восстановления ОС с контрольной точки» НЕПРИСТУПНОЙ? Может это и будет панацеей.

[Newdjeen]

1. То, что мне помогло простое восстановление системы W-XP из более ранней контрольной точки, означает ли это, что ко мне залетел самый простенький, примитивный червь-троян? Что моя ОС попала в руки неопытного пацана-хакера

?
Это не хакерская атака или что-то тип того (хакера ты не почуствуешь, да и не придет он - у тебя брать нечего)
Залет у тебя был на баннер и порно

2. Что такое восстановление ОС с контрольной точки? Как я понимаю, все-все-все, что появилось в ОС после контрольной даты, просто удаляется, и остается только то, что было ДО. Так?

Так, в том числе и программы, реестр и прочее

Если восстановление ОС помогает, значит, они (хакеры) должны как-то порушить программу восстановления…

Порушить можно -
убив ОС
стерев все точки восстановления (через комманду ОС)
Отключив службу восстановления системы

А как могут опытные хакеры-программисты закинуть свои файлы-крючки за более ранние контрольные точки восстановления ОС?

Никак - контрольные точки прописываются на все разделы жесткого диска физически (пока не форматнут). Убить эти точки можно лишь только -(см пункт выше)


Бойтесь троянцы дары приносящих
*троянец это не тот кто, а это тот кому этот вирус заслали - троянцы и им подобные програмулины неоаботают до тех пор, пока из не запустит сам "троянец"

[arTik]

Спасибо всем за развернутые профессиональные ответы и ссылки. Бум разбираться. Еще такие мысли:
1. То, что мне помогло простое восстановление системы W-XP из  более ранней контрольной точки, означает ли это, что ко мне залетел самый  простенький, примитивный червь-троян? Что моя  ОС попала в руки неопытного пацана-хакера?

Да нет... просто смысл этого трояна, как сказали уже выше, очень простой... Либо вместо тебя "покликать" по нужным местам Инета, чтобы заработать копеечку или просто, как это часто сейчас бывает, воспользоваться твоей адресной книгой, чтобы спамерам было на чем деньги делать.

2. Что такое восстановление ОС с контрольной точки? Как я понимаю, все-все-все,  что появилось в ОС после контрольной даты,  просто удаляется, и остается только то, что было ДО. Так?
А как могут опытные хакеры-программисты закинуть свои файлы-крючки за  более ранние контрольные точки восстановления ОС? Если восстановление ОС помогает, значит, они (хакеры)  должны как-то порушить программу восстановления… Вот по этой теме потрите… Можно ли сделать программу «восстановления ОС с контрольной точки» НЕПРИСТУПНОЙ? Может это и будет панацеей.

<{POST_SNAPBACK}>

Поверь ИМХО это никому не надо... Я уже написал, в каких обычно случаях этих червяков пишут... Поэтому никто не будет ломать контрольную точку восстановления....
Хочешь нормальный совет (только сразу прошу не разводить флейм на предмет IE vs Mozilla):
1. Пользуйся нормальным броузером
2. Пользуйся нормальным почтовиком
3. Пользуйся прогой которая ловит Ad-ware Spyware
4. Пользуйся антивирусом
5. Пользуйся файрволом

P.S. Не буду писать какие именно проги, просто посоветую использовать проги, которые не идут в стандартную поставку Windows, соответственно не стоят у всех подряд.

И поверь червякам будет намного сложнее к тебе попасть, если вообще получится.

Удачи!

[Slash]

Может хакеру искать у вас нечего,но с вашего кома предпринять вирусную атаку он может,да и многие трояны и вирусы созданы рассылать самих себя по всем адресам в адресной книжке,списывать и отсылать хозяину все ваши пароли...
Так что антивирус и файервол обязательно!И установите "спрашивать" или "отменить"на все исполняемые и не исполняемые скрипты и модули АктивХ и Ява,автоматом стирать все темп файлы после закрытия эксплорера,убрать галку на "использование сторонних расширений эксплорера"...много ещё чего

[RANET]

Ради интереса сейчас около получаса лазил по злачным местам и ссылкам которые публиковали
пользователи форума IXBT (по ссылке Миши). Антивирус стойко отбивал и блокировал попытки
пролезть всяким гадостям ко мне в машину, неплохо потрудился и файрвол (глядя на
статистику). Были даже попытки со стороны этих сайтов предложить добровольно скачать и
установить ихнюю заразу, при этом вешая лапшу на уши ... т.к. по другому не получается.
После этого проверил везде машину ... всё чисто!

P.S. Вот уже года полтора я использую этот тандем и давно забыл про такие проблемы ...
Удачи!

[Dick]

Интересное практическое исследование провел RANET. Он, как настоящий врач, поставил опыт на самом себе, пытался заразить самого себя (т.е. свой РС). Молодца! Классно!

[Juri V]

Да, конечно все эти черви пишутся для того чтоб по возможности гадить мелко и по крупному, но на самом деле цель их не лично я или вася из соседней квартиры... Поясню что я имею в виду, дело в том что большинство червей обитает именно на общедоступных порносайтах, на безплатных. И селят их там владельцы сайтов прежде всего для того чтоб падкие до порно граждане посещали, принадлежащие им же, платные порносайты: "видео - пожалста 3 бакса за минуту, фотографии, да сколько угодно - 1 доллар набор из 10 открыток, видеокассету, пишите адрес, вышлем... ну и так далее..." Так, или приблизительно так борятся с пиратсвом ребята для которых порно не развлечение, а довольно прибыльный бизнес. Так что в чём-то они правы. Например это действует намного эфективней нежели всякие там акции от "Мелкософт" типа "Заложи соседа, если у него недегальный XP, и ты получишь за это..." Ну и всё в таком роде...
Так что, отсюда мораль: Хочещь пряников - плати. Только пряники не должны стоить как самолёт, потому то я сам по большей мере использую софт колотый - для того чтоб его весь, тот который использую, получить легально - придётся квартиру продать :spiteful:
Такие вот размышления о нравственности.

[DaLiV]

v internet explorere - uberi v options galochku s "enable third party plugins - tozhe menjshe musora budet i toolbari raznije ne budut zapuskatjsja ..."

[Slash]

С чего некоторые взяли,что подхватить вирус можно только на порносайтах?А варёз и кряк вы не ищите?Там та же песня.Да и много раз было на вполне приличных сайтах,что антивирус отбивал какую-то гадость...

[Dick]

То DaLiV "uberi v options galochku s "enable third party plugins "

Спасибо за участие.
1. Не понятно почему твое сообщение латинскими буквами? Труднее читать.
2. Как ни искал эту галочку в Опциях ""enable third party plugins " (т.е. в переводе, что-то вроде возможна-невозможна третья часть плугинов?) - ну не мог найти. Можно поподробнее где это, и на русском. У меня русифицированный Интернет Эксплорер из W-XP.
Запанее спасибо!

[Jurij]

Использование BHODemon 2.0

[Dick]

Спасибо. Бум разбираться. С наступающим Рождеством!

[Azat]

Я тему почистил от флейма и перенес ее в другое место. Мне показалось, что там где она находилась, ей было не место. Думаю, тема полезная для многих и здесь ей самое место. У кого есть претензии - милости прошу в ПМ.

[Dick]

Пришел Azat и всех спугнул
Но дисциплина должна быть...
К теме.
1.У меня после установки Касперского (во время его долгого сканирования, да и после) начались жуткие тормоза. Процессор напрягался до 65%. Так и должно быть?
Я убрал этого Касперского. Все чики-чики. Процессор - 30%.
Решил, буду Касперкого инсталлировать, когда будут признаки явного вируса... А так - гири на ногах. У меня Пенек-4, 2.8 г
Может что не так делаю? :453:

2.С АдАвером надо уметь работать, штука серьезная, может стереть важные файлы, поэтому новые объекты лучше брать в карантин... Где бы найти толковую статью про нее? Или хелп на русском? :453:

[mic2001]

AVP должен быть не ниже 5.0.121. Только с этой версии началась нормальная работа антивируса. Не грузит систему совершенно...

[Okey]

То mic2001

Извини, AVP - это Касперский?
И уж сразу заодно, на главной странице форума, справа наверху вместо "О новых писем", д.б. "О новых письмах"
С уважением.

[Маклауд]

Так это не буква "О", а цифра "ноль"
Когда кто-нибудь напишет вам в приват (PM), то появится другая цифра ...

[big_tiger]

Внимательность и еще раз внимательность. Пол-года бродил по инету без антивируса, честное слово ни гадостей, ни червей. Не надо лазить туда где ничего не дают и не надо тыкать все от любопытства. Реестр конечно приходилось чистить, это мы ручками, стартовые странички приходилось вытирать - они с каждым разом все хитрей и хитрей становятся. Сейчас DrWeb какой-то последний и постоянно обновляется. Это главное. Так сейчас совсем жизня без забот... левая кнопка мышки в инете сродни кнопки 'rec' на камере... Не надо щелкать пока не ответишь на вопрос "зачем я ее нажимаю?"
Вот, сейчас нажму чтобы отправить это сообщение

[Dick]

То Маклауд

Да, да, буквально 5 минут назад я это просек...

Сообщение отредактировано Дик: 12 янв 2005 - 23:21

[big_tiger]

До сегодняшнего дня вроде Касперским был.
Кстати и сайт такой есть заммечательный AVP тама и фамилие господина Касперского упоминается и лежит замечательная халявная прого Clrav(или как-то так называется) Здорово червяков прибивает.

[Dick]

Большой тигр и остальные!
Такой вопрос. Порно в Инете – это зло (с этим никто спорить не будет).
Содом и Гоморра отдыхают…
Опытные программисты могут заражать эти сайты, чтобы те в свою очередь ОООО-чень сильно заражали РС похотливых пользователей, вплоть до сноса ОС? Чтобы такие пользователи, как чумы, боялись ходить на горяченькое... Возможны и другие способы очистки Инета.

Конечно, сейчас сразу найдутся те, кто вспомнит про права человека и проч. и проч., что мир – бардак, что на каждый винт найдется гайка с резьбой…

Сообщение отредактировано Дик: 12 янв 2005 - 23:18

[big_tiger]

Хорошая тема...
Если хочется то фантазий можно разных придумать. Вплоть до сжигания мониторов у тех кто порно смотрит, кстати очень давно такой вирус был(на порно он не реагировал, а вот дыру в люминофоре монитора прожигал). Может кто столкнулся с вирусом winChih - безобидная штуковина я так и не смог хорошим людям востановить биос на мамке. А пятнадцатилетний ребенок писал письма о том что биос можно стиреть и так мамки делать нельзя. Производители хихикали, а в один прекрасный момент им всем пришлось отвечать на письма: "вышлите биос, мы страдаем". Я конечно иногда поддерживаю альтернативные способы борьбы со "злом", только это не делает меня "белым". Ведь таким образом я тоже совершу зло... Правильно? Ты делаешь проектик, свадьбу скажем. 2 часа видео готово к записи и захотелось расслабона, в инет прыг, а там райские девочки... хана компу, хана проекту, нервам и здоровью. Что будет хуже, твой интерес к порно или потери?
Если только гуманоиды займутся нашим воспитанием... Может успеть девочек скачать, а то вдруг завтра уже нельзя будет
Всем хорошего настроения.

[Dick]

То Tiger: "в инет прыг, а там райские девочки... хана компу, хана проекту, нервам и здоровью. Что будет хуже, твой интерес к порно или потери?"


Дети могут прыг во след... туда же... они-то воспринимают порно всерьез: отец с дочкой, мать с сыном, девочка с собакой, мальчик с мальчиком и т.д.... - а может это норма, задумываются они.

Если Инет скоро станет неотъемлемой частью нашей жизни, как TV, то, наверно, нужны фильтры... Насчет прожигания дырок в мониторах онанистов - это, конечно, слишком... Но...

[RenatAma]

  Порно в Инете – это зло  (с этим никто спорить не будет). 

Почему же вот так вот сразу-то!
Любой, как только подключается к интернету впервые, так сразу же идет туда, и это зло потребляет-потребляет-потребляет. В больших количествах. В очень больших. И только потом, когда его вытошнит, идет и региться где-нить на форум, и начинает рассуждать про зло...

(Подпись: ) Отец троих...
И нефиг по баннерам настукивать. Просто, места надо знать!

могу подкинуть ссылок, где бесплатно, нет вирусов, нет всплывающих окон, нет червей...

[Okey]

Ренат, ты в тему не въехал...
"Если Инет скоро станет неотъемлемой частью нашей жизни, как TV, то, наверно, нужны фильтры..."
Чо скаж-то?

Сообщение отредактировано Okey: 12 янв 2005 - 02:48

[RenatAma]

Дык, фильтров этих - полно!
В самом ИЕ уже есть - <Сервис> - <Свойства обозревателя> - <Содержание>. (есть еще и "безопасность"), не говоря про более "сложные", которые блокируют как опредленные сайты (руками туда вносить надо) так и по "маске" и по словарю (секс, порно, халява, садомазо, F...k, cock...) В интернете есть целые системы (RSACI) блокировки с уровнями...

Велосипед изобретать ужо ведь не надо :bye:

[Okey]

То RenatAma

Ну и что, эти фильтры помогают? Фигня. Кстати, возможно, вот та прога, которая сожрала твои 20 Gb... так это м.б. один из твоих уже повзрослел и...

Так что насчет "велосипеда" - нет его... угнали... Хотя, то что ломают голову, уже в кассу. :bye:

P.S. Внизу твое кредо ( в предпосл. сообщ.) слишком мелко, не пойму...."Вы хочите порносайтов, их есть у меня"?

P.P.S. Ты дока в РС, подскажи ( а может кто еще знает), при включении РС все время появляется табличка "Tmntsrv вызвало проблему и требует завершения" и запрос "отправить отчет". Я кликаю "не отправлять", табличка пропадает и РС работает отлично...тфу-тфу... но это раздражает. Что такое Tmntsrv? Что подправить?

Сообщение отредактировано Okey: 12 янв 2005 - 15:11

[RenatAma]

1. Я бы в "Total Commander" нажал бы Альт+F7, и поискал файл с таим именем - Tmntsrv.* или (Найти файлы) *.* с текстом Tmntsrv... (или текстом, который есть в его окне - одного слова достаточно)). Если он не удаляется:

2. Потом трехпалцевая комбинация (Альт+Шифт+Дел), посмотреть там, кликнуть правой (где находится)...

3. К конце концов НортонАнтивирус хорошо находит всяких троянов и прочих "просящихся в сеть" никчемностей.

4. И наконец, глазами просматривая системыне каталоги всякие, можно нарваться на незнакомые имена файлов. Тогда на нем жмем Альт+Энтер и смотрим, кто его сваял, когда, каково его "внутренее" имя...
Если поля в основном пусты, иготовителя нет... (Или это совсем не похоже на MS или фирму, которой ты пользушься) - дави его сразу и влёт. (можешь предварительно сховать в надежное место, если не очень уверен).

5. перегружаешься. Если всё отлично, быстренько забыл обо всём этом, если нет - ставишь на место, ищешь дальше.

[Okey]

Спасибо, Ренат. Ты, смотрю, компьютер, как рентген, просвечиваешь.... Класс!


.....Все проблема снята. Уффф...

Сообщение отредактировано Okey: 13 янв 2005 - 04:38

[RenatAma]

Эх, наконец-та "спасиба" дождался! В кои-то веки! ... даже кошке приятно, не то что "стервозному админу"...
==================
За это - маленький "тутор" по ручному отлавливанию некоторых вредных программ, или тех, которых мы не устанавливали.

1. Вовсе не обязательно, что "трояны", "черви", "звонилки" и "дополнительные" панели в IE появляются только после посещения конкретных "нехороших" ресурсов. То есть, это может случиться и при посещении других, вполне благообразных сайтов, например, "студенческих" электронных библиотек, фонотек с мр3, киносайтов, некоторых чатов и форумов, и, разумеется, на ресурсах в "кряками" и "серийниками"...

2. "Прописку" всех этих штуковин можно заметить! Например, по "необычной" активности значка мониторов Интернет-соединения. Если вы ничего не качаете, а страница уже загрузилась, но значок с мониторами продолжает моргать, а тем более непрерывно гореть - это 99% означает, что ваша машина принимает или отправляет данные. А уж тем более это так, если загрузки страниц вдруг резко замедлились... Напрягитесь! Без вашего ведома кто-то юзает вашу машину. Может быть это система обновляется или делает какие-то более полезные вещи, но... она должна предупреждать об этом. При этом отключаться или выдергивать компьютер из розетки как правило уже поздно. Но с этой минуты вам стоит быть "побдительней" и завершив соединение, проверить машину, не перегружаясь!!! Ибо перегрузившись хоть раз, все эти "нехорошести" пропишутся уже довольно плотно. (Хотя бОльшая часть из них, всё равно пропишется в реестре, в каталогах, и вообще, где угодно.)
Можно, конечно, и ничего не заметить, особенно, когда речь идет о троянах и вирусах. Они загружаются за мгновенье, потому как имеют очень маленький размер (в этом и состоит искусство вирусописательства).

3. Как только вы почувствовали, что машина ведет себя "как-то не так", как обычно, тем более выбрасывает какие-то окна, а в панелях, на рабочем столе, в меню или еще где появились некие иконки, строчки, значки... - значит вашу машину "сделали". Бросаем всё, и начинаем чистить. Запускаем антивирус. (Хотя, если речь идет о настоящих вирусах или троянах, то самые настоящие из них могут либо блокировать антивирус, либо обманывать его, либо - успеть заразить и его самого! Так что уже не панацея, хотя и не помешает)

4. На всякий случай заглянем в <Пуск> - <Настройка> - <Панель управления> - <Установка и удаление программ>, может тут появилось что-нибудь новенькое? Если ничего нет, то

5. нажимаем Alt+Ctrl+Del и смотрим вкладку "Процессы", особо обращая внимание на процессы, запущенные от имени юзера (у меня это - Renatama). Если вы видите незнакомое название и точно знаете, что вы ничего подобного не запускали - напрягаемся. Возможно это то, что мы ищем! Не спешите выделять мышкой и нажимать "Завершить процесс". (это мы сделаем обязательно позже) Нам надо выяснить, где лежит файл! К сожалению встроенный "Диспетчер задач Windows" не показывает полные пути загруженного файла, и не показывает, где в реестре находится запись. В этом нам может помочь старая и надежная утилитка "Starter".
Грузим отсюда.
( Установки не требует, денег не просит, работает сразу. В архиве - сам "Стартер" и его библиотека. Обе должны быть в одном каталоге.)

(Дополнительный шаг 6. Идем по пути C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\ находим msconfig.exe, запускаем, на последней вкладке "Автозагрузка" нажимаем кнопку "Отключить всё" (или можно оставить только самые очевидные и хорошо вам знакомые). Закрываемся, и отвечаем на предложение перегрузиться "ОК". После этого возвращаемся к шагу 5.)

==============================
Почти "тутор" по "Стартеру".
Загружаем "Стартер".
Видим:
 1.jpg   143,07К   32 Количество загрузок:
1. Всякие разные меню-кнопки, нажав которые мы увидим записи в реестре, которые запускают все те процессы, список которых виден в верхнем окне (2) "Стартера". Это можно сделать и потом. А сейчас нас интересуют эти самые "процессы", поэтому нажимаем в это строке меню самую правую кнопку "Processes" (как на скриншоте).

2. Окно процессов. Благо в том, что указаны полные пути к файлам, создавшие процесс. Это - то что нам надо.

3. Окно, где показан список модулей (файлов), с которыми связан запущенный процесс. Указаны также их размеры, полный путь, и прочее, что сегодня нас не интересует (Handle).

4. Кнопка завершения ("убиения") процесса.

Работаем: находим подозрительный процесс, нажимаем на нём правой кнопкой мыши, и в контекстном меню выбираем "File Properties". Получаем такое окно:
 2.jpg   55,17К   47 Количество загрузок:

Смотрим самое главное:

1. Кто автор, чей копирайт? Описание, версию и продукт.

2. Убеждаемся вторично, что информация 1 и 2 - совпадает.

3. На всякий случай смотрим дату "изготовления" файла...
Если всё в порядке, то исследуем следующий подозрительный процесс.
Если в полях 1 и 2, особенно в строке "Копирайт" написано непонятно что

 3.jpg   52,39К   37 Количество загрузок:

(это сам "Стартер", так что всё в порядке, а троянов у меня сегодня нет, показать не могу)
или вообще ничего не написано!!! (как правило у троянов и прочих нехорошестей нет копирайтов)
То мы, практически, нашли, что искали!

Внимательно смотрим, откуда и кто загрузил процесс.
Записываем путь на бумажку, ищем строку в реестре - вот теперь пригодятся кнопки (1) в первом скриншоте, записываем "ключ" и секцию, где он находится. (Если уверены, что не запускали таких процессов, и вообще не узнаете ни файл, ни фирму изготовителя, ни названия процесса, ни пути загрузки, то нажав на правую кнопку мыши, можно выбрать в меню "Удалить" строку, а потом и "убить" процесс).

 4.jpg   55,14К   28 Количество загрузок:

Даже если вы и "убьете" нужный процесс, ничего страшного в конечном счете не произойдет После перезагрузки он появится вновь.
Поэтому, мало убить процесс, запущенный "нехорошей" программой, надо уничтожить саму программу. А для этого мы и записывали "пути" на бумажку. Следуем по этому пути, еще раз убеждаемся, что это малопонятный и не весть как сюда попавший без спросу файл (нажимаем Alt+Enter на нем, и смотрим его "Свойства" - "Общие", "Версия", "Сводка". Если заладки "Версия" нет, или в полях "Версии" - пусто, удаляйте безжалостно! (Хотя можно зазиповать куда-нибудь, а потом удалить отсюда. Мало ли?! Вдруг мы ошиблись, тогда постаим на место). Файл не удастся удалить, если процесс запущен. Поэтому сначала "убиваем" процесс, а потом - удаляем файл. Иногда эти сволочные штуки "возрождаются" сразу же, как только были убиты, и не дают удалить файл. Это говорит о том, что где-то есть дочерние процессы. Поиск этих штуковин - дело не простое, объяснять слишком долго, как и чего можно сделать... Да и не каждый разберется. Поэтому поступим проще! Перегрузим машину в "защищенный режим", и отсюда "поубиваем" все файлы, которые нам не нужны!

Так поступаем с каждым подозрительным файлом.
Закончив работу, перегружаемся, и опять смотрим на процессы. Если "лишних" нет, мы победили!
=========================================

После всего этого

7. Теперь уже можно и нужно запустить антивирус...

8. ... после этого - ваш любимый "очиститель реестра" - может быть от НортонУтилит, может быть RegCleaner... или любой другой такого же класса. Они все неплохо чистят, создавая бекапы (на всякий случай). Обращаем внимание на верх списка установленных программ, где они помечены как "Новые". Та же бдительность к программам без автора или где вместо копирайтов стоят всякие непонятности. Удаляем эти ключи в реестре, запускаем "Общую очистку"...

9. Продолжаем радоваться жизни!
=======================

10. Если в систему прописались всякие интернет-бары (дополнительные панели) или "кнопки", то, на мой взгляд, лучше всего их находить (они здОрово прячутся тоже!) по их именам. У меня в TotalCommander это делается по нажатию Alt+F7. В поле "Найти файлы" ставим *.*, в самом нижнем поле ставим "птичку" на варианте "С текстом" и вписываем в поле название этого "бара", например: <SearchBar> (без кавычек или каких-то еще знаков, так как написано в его окне). (Если нет TotalCommander-а, то ищите так в "проводнике" или в той "оболочке" в которой работаете, а алгоритм поиска я подсказал).

11. Иконки и кнопки с "попками" можно искать по расширению *.url (иногда и в реестре. Но в реестре (после удаления этих кнопок-ссылок) лучше пусть ищет RegCleaner).

12. Если работает "Восстановление системы", то можно "откатиться" до последней "Контрольной точки". Это поможет иногда избежать активной "черной работы" этих программ. Но файлы искать, как предложено выше, всё равно придется, и всё равно придется запускать антивирусы и очистители реестра.
================================================

Писалось ночью левой ногой, борясь со сном. Поэтому принимаются все возражения, дополнения, вопросы и прочие соображения!

Удачи! :bye:

[Slash]

Поиск этих штуковин - дело не простое, объяснять слишком долго, как и чего можно сделать... Да и не каждый разберется. Поэтому поступим проще! Перегрузим машину в "защищенный режим", и отсюда "поубиваем" все файлы, которые нам не нужны!

Хотел бы здесь добавить,что для поиска важно включить отображение скрытых файлов,ибо сволочи,прячутся.
Делается это просто: Control Panel-->Folder Options-->закладка Advance--> выбираем Show Hiden files.
Для того,чтоб не устанавливались всякие Сёрчбары и прочая гадость ввиде навесок на ИЕ,есть два выхода:
1 не использовать ИЕ
2 если уж используете,идём Tools-->Internet options-->Advance--> убрать галку с "Использовать сторонние расширение ИЕ".Правда тут засада,если пользуетесь сторонним менеджером закачек,то он работать не будет после вышеописанного действия
Вообще же,для написанного левой босой ногой в состоянии сонамбулы,написанно замечательно и полно.Нужно это. :bye:

[SaS]

2 Пользователь №2
Спасибо! Мне, как чайнику в вопросах защиты PC, советы пригодятся точно.

[Dick]

У меня есть прога в "программ-файлс на С" BIRTHDAY, там в текстовом файле events.txt хранятся все записи о ДР. И прога каждый день мне напоминает о прошедших, сегодняшних и будущих Днюхах.
Неделю назад она мне все показывала, сегодня смотрю - пусто. Полез смотреть этот текстовый файл events.txt - все записи стерты, чисто там.
Из родных никто это не мог сделать, поди докопайся до этого текстового файла...
Что это было?
Других глюков в РС не наблюдал, лицензионный ДокторВеб ничего не находил.

--------------------------
Хорошие уроки от RenatAma в теме, перечитайте. (+ посты от Newdjeen, mic2001, Slash, RANET, Jurij, arTik и др.

Сообщение отредактировано Dick: 17 сен 2009 - 20:41