 |
|
|
|
|
ФОРУМ /
КОМПЬЮТЕРЫ И МОБИЛЬНЫЕ ТЕХНОЛОГИИ /
Вирусы
|
|
|
|
|
|
|
|
создать новую тему
•
написать сообщение
|
|
|
02:17 5 января 2010
|
|
тема
Вирусы
|
|
 |
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
| |
 overpro
писал:
чтото у вас мания какая та украинская. уже как 5 лет пользуюсь яндексом. все нормально там. и кроме вас никто не жалуется. вас видно кто то преследуют от туда. на других компьютерах если зайти, тоже самое будет?)))
|
|
А раздражения некоторых по поводу вклинивания рекламы в телепередачах - это тоже мания??? Я не знаю как у других на компьютерах отображаются страницы Яндекса, но извините когда рядом с какой-то темой и ссылкой на российский сайт расположено аналогичное на украинский - ? А чем хуже Белоруссия, Латвия, Азербайджан или другие страны? Мало того идешь(например) с главной страницы Яндекса по какой-нибудь ссылке так вперед всегда лезет следующее:" suggest.yandex.ru/tsuggest-1.6[1].htm", в котором есть следующая запись :" document.domen = windows.location.to String().index Of ('yandex.ru') != -1 ? 'yandex.ru' : 'yandex.ua': ". Я понимаю что если бы это все носило случайный характер, но ведь просматривается системность, тенденция. Вы сами попробуйте включить функцию "Ограничение доступа информации,получаемой из Интернета" в "Свойства обозревателя" и посмотрите что будет. Это касается не только украинских сайтов. На других сайтах вам тоже вперед загрузки того что вы захотели посмотреть будут обязательно пытаться "втулить" что-то подобное. Естественно что если функция "Ограничение доступа ..." отключена - все это беспрепятственно пролетает в ваш комп в фоновом режиме и некоторое устанавливается.
|
|
|
10:00 5 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
Вот еще связанное с Яндексом, в частности с почтой на нем. Вчера вечером отправил одно письмо с почтового ящика Яндекса. Особенность отправленного письма - прикрепленные документы. Вообще как-то странно на почте Яндекса работает эта функция. После почты Яндекса заглянул на komcity.ru/forum/ и хотел написать сообщение, но у меня вдруг пропала функция цитирования. Та же самая история непродолжительное время назад - я даже писал в раздел работы веб-сервера сообщение о проблеме с исчезновением функции цитирования. Тогда мне тоже необходимо было отправлять письмо с почтового ящика Яндекса с прикрепленными файлами( что я и сделал). Антивирусники ничего не находят. Зато некоторые антивирусные утилиты свидетельствуют о наличии перехватчиков.
|
|
|
10:08 5 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
А раздражения некоторых по поводу вклинивания рекламы в телепередачах - это тоже мания???
|
|
там что тоже всегда украинскую рекламу у вас по ТВ крутят?..хм. интересно))
| |
АРЕФ
писал:
Я не знаю как у других на компьютерах отображаются страницы Яндекса
|
|
проверьте пожалуйста.
| |
АРЕФ
писал:
но извините когда рядом с какой-то темой и ссылкой на российский сайт расположено аналогичное на украинский - ? А чем хуже Белоруссия, Латвия, Азербайджан или другие страны?
|
|
да видно у вас там родственники. вот и пытаются привлечь внимания.
если серьезно. то от Яд такого не замечал. в Опере не знаю где там ограничение доступа. видимо там сразу заблокировано чтото.
| |
АРЕФ
писал:
Мало того идешь(например) с главной страницы Яндекса по какой-нибудь ссылке так вперед всегда лезет следующее:" suggest.yandex.ru/tsuggest-1.6[1].htm", в котором есть следующая запись :" document.domen = windows.location.to String().index Of ('yandex.ru') != -1 ? 'yandex.ru' : 'yandex.ua':
|
|
сделайте пожалуйста скрин где это смотреть.
единственное что замечал. что после поиска пару раз на нигме (а это поисковик от майла), то вот как раз при серфинге на майле. вокруг реклама о том что я искал. и спам тоже такого же содержания. вот уже где то месяца 3 там не было. и спама меньше както почему то стало на тот ящик. не был на майле.
так что вероятно это не вирусы все же.
|
|
|
11:21 5 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
После почты Яндекса заглянул на komcity.ru/forum/ и хотел написать сообщение, но у меня вдруг пропала функция цитирования. Та же самая история непродолжительное время назад - я даже писал в раздел работы веб-сервера сообщение о проблеме с исчезновением функции цитирования.
|
|
отключите кэширование в браузере, либо ещё возможно ежели Вы сидите в локалке то их прокся настроеная криворуко кэширует часто посещаемые сайты для увеличения скорости загрузки страниц. Когда просходят такие исчезновения кнопок, то просто обновите страницу f5+ctrl и все ваши проблему исчезнут сами собой.
| |
АРЕФ
писал:
Зато некоторые антивирусные утилиты свидетельствуют о наличии перехватчиков.
|
|
что такое перехватчики и зачем кому то перехватывать ваши письма ? думаетет кому то интересна ваша личная жизнь, сомневаюсь ... ?
|
|
|
12:12 5 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
Самое печальное( по прогнозам Е.Касперского) что весь Интернет все более криминализируется. На днях в одной его книжке прочитал что нагрузка на антивирусные компании растет и им приходится с каждым разом обрабатывать все большее количество "зловредного" материала.
|
|
Работа такая у антивирусных компаний — пугать пользователей, побольше нагнать жути, чтобы юзеры в ужасе бежали в магазины продлевать лицензию.
АРЕФ если у вас такие проблемы с яндексом, то не пользуйтесь им, попробуйте завести почту на гугле. Хотя проблема вовсе не в яндексе. Многие тут уже написали, что ни у кого подобного не наблюдается. Сам для поиска в рунете пользуюсь яндексом, никакие украинские ссылки он мне не выдает. Проблема в том, что в вашей сетке криво настроен интернет либо используется прокси, у которого украинский ip.
|
|
|
13:48 5 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
Уважаемый pavels я веду речь не о перехвате писем, а о перехвате функций системы.
К примеру из отчета антивирусной утилиты :" Функция NtCreateKey (29) перехвачена (80572EAD->FC6C80E0) , перехватчик spkz.sys ". Это результат действия руткита. В приведенном примере имя файла не означает, что на других компах в папке Windows файл с таким именем вредоносный, так как( насколько понял) руткит постоянно меняет при перезагрузках имя файла.
PS. Прошу прощения у администрации сайта за такое указание НИКа, но у меня и теги не работают.
|
|
|
14:14 5 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
К примеру из отчета антивирусной утилиты :" Функция NtCreateKey (29) перехвачена (80572EAD->FC6C80E0) , перехватчик spkz.sys ". Это результат действия руткита. В приведенном примере имя файла не означает, что на других компах в папке Windows файл с таким именем вредоносный, так как( насколько понял) руткит постоянно меняет при перезагрузках имя файла.
|
|
искал в инете ровно 30 сек вашу проблему посмотрите
тут
и
тут,
или вот
с форума касперского.
Что то мне подсказывает у вас или бесплатный антивирус губит операционку или ваши утилиты, а можете поковырять систему может кого то и изловите, тогда сразу звоните 02
и нам расскажите кого изловили.
|
|
|
01:22 6 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
pavelz
писал:
Что то мне подсказывает у вас или бесплатный антивирус губит операционку или ваши утилиты
|
|
Ну с операционкой ничего особо не происходит. Какая-то проблема связанная с несоответствием программного обеспечения как сайта Яндекс так и komcity. Что на Яндексе при прикреплении файла к письму, что на komcity при написании сообщения в нижней строке висит сообщение об ожидании загрузки какого-то служебного рисунка страницы( причем одного последнего), бывает что не заметишь этого и мучаешься-гадаешь в чем дело. Иногда помогает функция "Остановить(Esc)" выйти из такого состояния. А на антивирус ключ активации у меня еще действителен до апреля( покупал Касперского в коробочке в прошлом году), утилита тоже кстати Лаборатории Касперского, хоть и не платная, но скачана с их сайта( у них есть такие бесплатные). Возможно какая-то программа( не вредоносная) работает(внедряет свои процессы) непосредственно в ядро модифицируя машинные коды, а антивирус воспринимает как их как руткит. В свое время( в начале 90-х) довелось прочитать одну книжку Питера Нортона. Так он в ней подробно описывал эти (уж забыл как правильно называются) машинные коды-прерывания(int) в BIOS и их назначения и как используются программами, обмолвился что некоторые из них охраняются гостайной США( ну это на то время). Наверное программа использует непосредственное обращение к прерываниям BIOS, так как быстродействие при этом наиболее высокое, а Касперыч "думает" что это страшный руткит и пытается блокировать его баламутя всю систему.
|
|
|
13:16 6 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
komart
писал:
Хотя проблема вовсе не в яндексе. Многие тут уже написали, что ни у кого подобного не наблюдается. Сам для поиска в рунете пользуюсь яндексом, никакие украинские ссылки он мне не выдает. Проблема в том, что в вашей сетке криво настроен интернет либо используется прокси, у которого украинский ip.
|
|
Вчера зашел на Яндекс. Да, действительно, там уже что-то поменяли и теперь предлагается выбор( по новостям) - Россия, Украина и Казахстан. Но дело не совсем в стране. Вот вы говорите что пользуетесь Яндексом и у вас все нормально. Но у меня вчера та же история что и ранее. У меня в браузере IE включена функция ограничения доступа, т.е. любой подключающийся веб-узел просит разрешения и при этом так называемым советником по безопасности браузера дается предварительная оценка безопасности этого узла. Когда я разрешил подключение Яндексу сразу за ним( Яндекс практически еще ничего не успел загрузить) просит разрешение suggest.yandex.ru/tsuggest .... , его я естественно отклонил. Далее я решил посмотреть, что в новостном веб-узле. Опять же даю ему разрешение и тут пытается сразу пролезть такой - kicks.yandex.ru/su/. Его я отклоняю, но решил посмотреть что это за узел. Набрал в строке этот адрес, вычеркнув только расширение /su/. В итоге появляется окно где сообщается об ошибке 404, что это несуществующий домен. От имени Яндекса говорится что "скорее всего вы что-то неправильно набрали в адресе, что мы вас сюда не отсылали". И еще добавляется что "если вы сюда попали сообщите по ссылке"( в смысле перейти на какой-то веб-узел). Пока я читал это окно трафик не прекращался, более того его скорости стоит позавидовать скорости допустим обновлений Касперыча. Мне пришлось диспетчером задач отрубить все инетовские процессы. Разве можно назвать такие вещи нормальными для такого сайта как Яндекс!?
Просто у многих указанная мной функция не включена, а эти веб-узлы ведут передачу данных в фоновом режиме. Вот по-видимому так и пролазиет какая-нибудь зараза в наши компы.
|
|
|
13:30 6 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
А на антивирус ключ активации у меня еще действителен до апреля( покупал Касперского в коробочке в прошлом году)
|
|
короче открываете почтовик и пишите письмо с претензией к касперскому, думаю получите обстоятельный совет , что и куда нажать чтобы вас сообщения не смущали.
|
|
|
17:01 6 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
SD
|
|
сообщений: 321
|
|
|
|
Уверен, саппорт ЛК не будет работать над этим вопросом, поскольку он не касается их продукта. В лучшем случае помогут на их форуме.
| |
АРЕФ
писал:
Функция NtCreateKey (29) перехвачена (80572EAD->FC6C80E0) , перехватчик spkz.sys
|
|
Судя по Гуглу, упомянутый драйвер может быть от алкоголя или демонтулс (хотя, мне кажется, он должен называться sptd.sys). Иначе это руткит. Если позволяет инет, можно попробовать проверить антивирусом с LiveCD. Есть так же ресурсы, где помогут интерпретировать логи AVZ (хотя не факт, что успешно, но к сожалению, я в нем тоже не особый специалист). Скорее всего какая-то гадость присутствует и подменяет поисковый траф, причём криво ("украинский прокси" и ссылка на "форум касперского" к сожалению не в тему).
|
|
|
18:22 6 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
SD
писал:
Судя по Гуглу, упомянутый драйвер может быть от алкоголя или демонтулс (хотя, мне кажется, он должен называться sptd.sys).
|
|
В других(повторных) сканированиях он был под таким именем и еще - spjc.sys. А что такое - демонтулс ?
|
|
|
18:39 6 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
SD
|
|
сообщений: 321
|
|
|
|
Deamontools - распространённый эмулятор компакт-дисков. Он, как и Alcohol 120% использует драйвер
sptd.
Кстати, в FAQ по линку сказано, что драйвер по умолчанию не удаляется при деинсталляции упомянутых эмулятров. Я сам этим никогда не пользуюсь, поэтому про альтернативные имена драйверов не знаю. В FAQ не нашел про это. При работающем драйвере в процессе загрузки должна появляться надпись "Press ESC to cancel loading SPTD.sys", но при обычной загрузке ее скорее всего не видно, только в safe mode, или при опции /NOGUIBOOT. По идее, если удалить этот драйвер, перехваты (по-другому - хуки) должны исчезнуть.
|
|
|
12:30 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
вчера на меня напал вирус
, было довольно забавно после посещения и скачивания флэш игрушки с какого то сайта, я его даже не запомнил на экран вылезло огромное окно ,г де меня попросили отослать смс дабы чего то активировать и закрыть это окно. Но т.к я человек экономный, я решил поспорить с этой рекламой и сам себе поставил время 20 мин на борьбу
. Первым делом на что я обратил внимание, это то что вирусяка довольно грамотно запустился, антивирус в этот момент мирно шуршал и не подавал признаков тревоги, но ... был полностью выведен из строя брендмауэр. Т.к. на экране ничего не было видно из-за этого окна я перегрузился в режиме безопасности, далее зашёл отрубил автозапуск, зашёл в system 32 через поиск отобразил все файлы которые появились в папке за последние часы моего пребывания в инете удалил пару dll-ек, потом зашёл в сервисы и отключил сервисы без роду, без племени запущенные (особливо моё внимание привлёк сервис с именем userinit.exe, отрубил его ). Перегрузился реклама пропала, выкл комп пошёл спать, время борьбы составило 18 мин. А ща вот сижу и думаю, а ведь этот вирус должен был следы оставить в реестре и кажись я не все почистил, в общем если кто сталкивался с подобной заразой подскажите какие ветки реестра он затрагивает и чего там прописывает ?
|
|
|
13:24 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
pavelz
писал:
Т.к. на экране ничего не было видно из-за этого окна я перегрузился в режиме безопасности
|
|
Повезло, что вирус дал запустится в безопасном режиме. У меня на работе было, что никак нельзя было запустится, удалял через сеть.
userinit.exe это системная служба, но через нее могут работать вирусы. Проверить в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в параметре userinit надо, чтобы было вот так "C:\Windows\system32\userinit.exe," (без кавычек). Ну и там же можно проверить раздел svchost, параметр netsvcs если в списке есть подозрительные dll-ки, то найти и обезвредить.
Еще этот вирус, который с активацией обычно прячется в файле Ctfmon.exe, который лежит в c:\windows, а настоящий Ctfmon.exe должен лежать в c:\windows\system32.
|
|
|
13:36 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
Забыл написать, еще в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon проверить параметр Shell в значении должно быть explorer.exe вирусы обычно любят через пробел дописывают туда свои dll-ки и экзешники. Ну и само собой проверить авторан в реестре.
|
|
|
15:53 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
komart
писал:
Проверить в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в параметре userinit надо, чтобы было вот так "C:\Windows\system32\userinit.exe," (без кавычек).
|
|
да и ещё добавлю такое, должна отсутствовать запись [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "PersistBrowsers"=dword:00000000 . А по поводу этого userinit.exe меня смутило только одно, это то что он был там где не должен был находится, поэтому я его сервис грохнул. И самое обидное, что ни этот доктор вебер ни симантик никак не отреагировали на заразу, да оно впринципе и понятно почему так произошло. Ладно спасибо за советы, от вирусописатели хороших людей обижают
.
|
|
|
16:48 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
АРЕФ
|
|
сообщений: 2107
|
|
|
|
| |
pavelz
писал:
или вот
с форума касперского.
........... , а можете поковырять систему может кого то и изловите, ..... и нам расскажите кого изловили.
|
|
Благодарю за данную ссылку. Собственно указанной в ней утилитой я и пользовался. Данная ссылка просто развеяла мои некоторые сомнения в моих выводах. Изловил это "чудовище". Аж самому смешно. Называется оно Windows XP.
Конкретно - деятельность ее службы - центр обеспечения безопасности. Вот уж действительно М.Задорнов недаром называет в своих монологах американцев - "ну, тупые!" Мне вот лично действительно непонятно для чего система контролирует и дублирует деятельность служб антивируса. По диспетчеру задач - два процесса с одним именем, только один запущен пользователем, а второй - системой( причем даром "жрет" оперативку, больше пользовательского процесса, тормозя сам антивирус). Потом этот "ненавязчивый" сервис - авт.обновление. Ну чем не похоже на то, вы описываете сейчас - требование отослать SMS. В сообщении центра безопасности системы - если вы не включите авт.обновление то рискуете ..... Ага прямо вири на пороге компа собрались и ждут.
Вообще интересно есть у кого-нибудь примеры того, что это обновление безопасности помогло избавиться от какого-нибудь вируса? Имхо в Microsoft сами таким путем собирают то, что например "накопытят" в Лаб.Касперского. Нафига мучиться самим выискивать(трудиться) методы борьбы с вирусами. Они даже со своего сайта отказали скачать своего бесплатного антивируса( ответ - извините ваш регион не обслуживаем).
Собственно все эти нынешние вирусы,шпионские программы - все это заложено в самой Windows( я имею ввиду технология), просто вопрос в чьих руках это оказывется и в каких целях.
|
|
|
18:54 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
| |
АРЕФ
писал:
Благодарю за данную ссылку. Собственно указанной в ней утилитой я и пользовался. Называется оно Windows XP.
|
|
да собственно не за что, ежели вообще говорить о винде, то это очень мощный и сложный продукт в котором реализованы так или иначе практически все функции, которые вы используете . Поэтому и вирусы которые пишут используют механизм и структуру винды, ежели хоть немного знать как работает винда, то и вирусы никакие нестрашны
.
|
|
|
23:28 7 января 2010
|
|
тема
Вирусы
|
|
|
|
|
|
|
Мне попался более интересный - Download master. Тоже требовал смску. Только написан еще более грамотно: запускается и в безопасном режиме, блокирует редактор реестра, диспетчер задач, командную строку. Антивирусы его не увидели. Пришлось повозится чтоб снести.
|
|
| |
|
|
|
создать новую тему
•
написать сообщение
|
|
|
|
|
|
|
|
|
