[TC] Об антивирусах

привет.

Валдай пишет:

я попытался их первым делом вылечить, но аваст выдал мне сообщение о
том, что лечение их
невыполнимо и тут же предложил их безжалостно удалить, что я и сделал. И что
же оказалось? Оказалось, что после того, как я всё это проделал, у меня перестали
открываться диски C и D; система мотивировала это тем, что отсутствуют файлы
сценариев, ну то...

ну это могло только значить, что вирус программа удалила частично, а касперский
полностью.

з.ы. ребята, вы чего это, где вы все время такую гадость цепляете? или, может,
в моем компе ее нет, потому что я mp3-шки в инете не ищу?
мацал кошек

Привет Мацал, ну, эмпэтри-шки не могут подхватывать
вирусы, авишки и эмпэтришки не подхватывают вирусы, а
вот, если кто-то вздумает какакую-то картинку скачать,
или ещё чего, или зайти на какой-то сомнительный сайт,
во тогда дельце выходит.
Хотя, бывает, заходишь на сайт, на который рантьше
лазил, и всё нормально, проверено, ан - пакет троянцев
и червей тебя встречает. В прошлом году у меня такое
было. Часть Авастом вылечил, а часть пришлос-таки
системе харакири сделать.
Да, а я не хочу ставить Касперыча по причине его
глюковатости, ставил ранее, была пятая версия, да, вижу
народ с ключами мучается чуть ли не каждый месяц, а
покупать ключи дороговато.

Валентин

Приветствую, Stelazine!

Вы писали 3 марта 2008 г., 20:17:03:

Вот и я об этом же, где?
У меня вообще антивирь стоит только лишь для подстраховки.
И где народ только лазит, чтоб всякую дрянь цеплять!
Я и комп то на вирусы проверять уже очень давно не пытаюсь, всё равно ничего
нет.
Он сам это делает, и результат как всегда слава богу один и тот же, ноль.

Со всем почтением,
Dmitriy
mailto:lastuhin***@r*****.ru
HomePage: http://lastuhin.narod.ru/

привет.

Dmitriy Lastuhin пишет:

может,

я имел в виду не вирусы вообще, потому что время от времени они во всех
компах бывают, а вирусы типа "Autorun". потому что ими, как я понял из
рассказов, каждый "слепой" комп переболел как ветрянкой. поэтому я и
спросил. а все оттого, что по одним и тем же ресурсам ходят люди, что
софтовым, что музыкальным.
мацал кошек

Здравствуйте, Stelazine.

Вы писали 4 марта 2008 г., 8:54:21:

Ситуации бывают разные. Вирус может придти откуда угодно. Например,
Autorun-вирусы чаще всего приходят с флешками, поэтому чтобы не
заразиться таким вирусом рекомендуется отключить автозапуск всех
дисков.

Другие вирусы обычно приносятся из источников, "заслуживающих
доверия", например, от приятеля, у которого "самый лучший антивирус",
с CD диска, купленного на развале, и имеющего надпись "вирусов нет" и
т.п. Те же Autorun-вирусы приносятся чаще на своей же флешке от
человека, у которого ты переписал, скажем, mp3 файл (или другой файл,
вирусами не заражающийся), и даже и в голову не может придти, что
рядом лежит вирус и только и ждёт того момента, когда флешка будет
подконнекчена к компу.

Из интернета вирусы обычно скачиваются редко, да и то только если
лазить по "сомнительным" сайтам, вроде варёзных и крекерских. Но, тем
не менее, бывает, вирусы всё же пролезают.

P.S. SFOT

Yegor пишет:

В принципе, вирус может быть и в самом mp3-файле. В рассылках по
безопасности то и дело приходится читать об уязвимостях в разных программах,
которые могут привести к выполнению произвольного кода, если подсунуть
программе специальным образом сконструированный файл. Недавний пример -
сообщение об уязвимости в программе Ghostscript, интерпретаторе
postscript/pdf:

http://permalink.gmane.org/gmane.linux.debian.user.security.announce/1536

Такая уязвимость, в принципе, может быть и в Winamp или Windows Media
Player, а в mp3-файле - вирус, эксплуатирующий эту уязвимость.

Здравствуйте все.
Дмитрий пишет:

Она-таки есть... Эта уязвимость в WinAmp, но эксплоида пока еще не было.

http://www.securitylab.ru/vulnerability/311887.php

Успехов. Анатолий.

Всем привет!

Позволю себе не согласится.
Вирусы с авторанами из сети подхватываются лишь на начальном этапе, основной
же их способ размножения - съемные носители: флешьки, телефоны, цифровые
камеры, mp3 плееры, винты в мобилрэках, да и без оных, просто снятые с
одного компа и принесенные на другой, а иногда даже дискеты.
Такие вирусы состоят как минимум из двух файлов, один из них - autorun.inf,
другой - файл с любым именем и расширением exe, com, bat, cmd или vbs.
Иногда вирус состоит из трех и более файлов, например, известный china worm
ii, состоящий из файлов copy.exe, host.exe и самого авторана
непосредственно, который запускает copy.exe и размножает вирус по всем
дискам компьютера.
К счастью, сегодняон уже детектится всеми антивирями, да и для русской os
windows, не имеющей поддержки китайского языка безопасен. хмм, почти
безопасен. Ну так вот, этот вирь:
1 пишется в реестре;

2 файл host.exe переименовывает в svchost.exe и копирует в
%windir%\system32.
Также на всякий случай создаются резервные копии - файлы temp1.exe и
temp2.exe. Все эти файлы скрытые, системные, и стандартными способами не
удаляются.
В корнях же дисков помещается те три файла: host.exe, copy.exe и
autorun.inf. В общем вирус ооочень прочно садится в системе. Далее он в фоне
сканирует все подключаемые диски и копируется на них.
На китайских осях он также передает какую-то информацию кому-то там или
куда-то там, этого я точно не знаю, поэтому и говорить не буду.
Вот не так давно воевал еще с одним похожим. Теперь чужие флешки открываю
только сам и никому этого делать на своей машине не позволяю, щас объясню
почему. Что он делает, так и не узнал, но систему отвоевал. Единственным
побочным эффектом осталось только то, что теперь в проводнике стало
невозможным включить показ скрытых файлов. Его включаешь, жмешь ok, а они не
появляются. Если опять вернуться в свойства папки, то галочка будет убрана и
так можно делать безконечно, результат все равно один и тот же.

Теперь попробую предположить почему у Дмитрия Ластухина и Stelazine нет
таких вирей.
1 вы пользуетесь total commander, а он при открытии флешек не запускает
авторанов;
2 Вы пользуетесь проводником, но флешки открываете не энтером, а контекстное
меню\открыть. В таком случае автораны с флешки тоже не запускаются.
Эти два предположения и есть основные способы не заразить свой компьютер и
объяснения того, почему я за свой комп с флешками теперь пускаю только при
условии, что открыто будет все одним из двух способов, а также
просканировано антивирем.

Прошу всех меня простить за путанное изложение: сказать хочется так много,
но ритм жизни не позволяет писать длинные, продуманные письма.

Всеже смею надеяться, что все всё поняли.

regards,
Allhp.

Здравствуйте, Allhp.

Вы писали 4 марта 2008 г., 13:50:19:

и

Ваше положение исправимо :-).

***
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
0 - не показывать
1 - показывать

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL]
CheckedValue=1

В первом варианте распостраняется только на данного юзера, а во втором на комп.
***

А чтобы autorun-вирусы вас не беспокоили надо отключить автозапуск
всех дисков. Тем более если вы пользуетесь не проводником, а
каким-либо другим файловым менеджером. И тогда за комп с флешками
можно пускать абсолютно всех, ибо автоматом ничего не запуститься.

***
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff ;запретить автоматический запуск на всех
дисках

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff ;откл автозапуск на всех дисках

но проблема в том, что инфо из
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
имеет преимущество т.е. если там стоит запуск флешки, то она будет
заводиться из авторан.инф
***

P.S. Информация взята из рассылки QA. Методы проверенные и рабочие.
После внесения изменений в реестр надо перелогиниться, чтобы эти
исменения возымели действие.

Здравствуйте, Yegor!
Меняю тему на более корректную.

Вы писали Tue, 4 Mar 2008 20:17:06 +0300

А какой нужен параметр, чтобы авторан с флешки не запускался. Вот, к
примеру, создам я файл реестра, из выше приведенных данных, не понятен
параметр третьего ключа. И что с ним за проблема? Его что, перед
втыканием флешки каждый раз в реестр вноситьнадо? Я так понимаю, один
раз внес, и проблем быть не должно. Напишите подробнее. Я сколько не
пытался отключить автозапуск дисков, ничего не выходит. Данные брал в
каких-то факах по настройке windows.

Приветствую, Evgeniy!

Вы писали 4 марта 2008 г., 19:42:51:

А не проще ли софтинку какую-нибудь поставить, которая умеет отключать этот параметр
и не мучаться?
К примеру AusLogics_BoostSpeed.

***
Зачем напиваться и ползать, когда можно покурить и летать?

Со всем почтением,
Dmitriy
mailto:lastuhin***@r*****.ru
HomePage: http://lastuhin.narod.ru/

Здравствуйте, Дмитрий!

Вы писали Tue, 4 Mar 2008 19:53:12 +0200

параметр

Ну, если через реестр можно зделать, зачем лишний софт ставить, тем
более, что этот софт будет использован всего один раз. А вот если через
реестр автозапуск не отключается, тогда придется ставить. Кто-нибудь,
напишите, как через реестр гарантировано отключить автозапуск всех
дисков, для всех пользователей.

Что за софт? Что, кроме отключения автозапуска делает? Сколько весит?
Где скачать?

Приветствую, Evgeniy!

Вы писали 4 марта 2008 г., 20:09:06:

http://www.auslogics.com/ru/software/boost-speed
Там вы сможете слить себе последнюю версию этой гениальной по всем параметрам
софтину.
А может она очень многое в плане ускорения и оптимизации системы.
Сам ей давно пользуюсь, и другим рекомендую.
По всем остальным вопросам пишите на личку.

Со всем почтением,
Dmitriy
mailto:lastuhin***@r*****.ru
HomePage: http://lastuhin.narod.ru/

Привет!
Мне есть, что ответить на письмо от 4 марта 2008 г., 21:29:20

А кряк? ;)

Здравствуйте, Дмитрий!

Вы писали Tue, 4 Mar 2008 19:53:12 +0200

Скачал - поставил. Джозится весьма криво. А ты сам ее как юзаешь? При
помощи джоза или монитора? Или может у тебя версия более джозабельная? Я
качал последнюю. джоз 8.0.

Приветствую, Evgeniy!

Вы писали 5 марта 2008 г., 17:47:23:

Я скачал последнюю из третьей серии версию, так как выложенная на сайте четвёртая
не джозится практически ни как.
Там же на сайте есть ссылка скачать предыдущую версию, советую сделать именно
это.
Помучался я с четвёртой, и в итоге поставил предыдущую.
Иначе работать просто невозможно.
Предпоследняя версия джозится как и раньше все старые.
Если какие вопросы по ней возникнут, пишите на личку.
А джоз у меня 8.0.2173 с локализацией.

Со всем почтением,
Dmitriy
mailto:lastuhin***@r*****.ru
HomePage: http://lastuhin.narod.ru/

Здравствуйте, Evgeniy.

Вы писали 4 марта 2008 г., 20:42:51:

Нет, всё вносится один раз. В
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
хранится (кешированная) информация об уже подключавшихся ранее
устройствах, в нашем случае, об флешках, которые уже "знакомы" данному
компьютеру. И если там "прописан" автозапуск, то он будет срабатывать
несмотря на первые два параметра (см. вышеотквоченное). Не факт что он
там прописан. Но если опасаетесь, можно после прописывания первых двух
параметров просто удалить ранее монтировавшиеся устройства через
диспетчер устройств, включив в оном показ скрытых устройств.

Приветствую, Allhp!

Вы писали 4 марта 2008 г., 12:50:19:

Нет, тоталом я не пользуюсь, да и в принципе им не пользовался никогда.

Совершенно верно, никогда не запускаю ни один диск, или флешку на автомате, а
только через контекст.

Со всем почтением,
Dmitriy
mailto:lastuhin***@r*****.ru
HomePage: http://lastuhin.narod.ru/

с позволения публики сменю тему и отвечу!

hello, Allhp.
вторник 04.03.2008, 16:50 писалось:

и

мне помог следующий совет:
данный вирус меняет ключи:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

Для отображения скрытых директорий и файлов надо ставить их в 1.

С уважением и наилучшими пожеланиями, Бекешев Дастан
моб.тел.: +996(772)527326
e-mail: das_in***@m*****.kg; das_in***@m*****.ru
Skype: das2224
ICQ#: 331894252

Здравствуйте, Allhp.

Ну вы уже совсем близки к изобретению велосипеда. Остался последний шаг --
создать пользовательскую учетную запись с ограниченными правами на доступ к
диску или каталогам, где расположены системные файлы. далее -- работать
из-под этой записи (изредка переключаясь на "Администратора"). Это
существенным образом ограничит болезненную активность тех вирусов, которые
запускаются с правами текущего пользователя (а это подавляющее большинство
зловредного кода).
В общем случае, полезно так организовать свою работу, чтобы наиболее опасные
для системы операции проводились по возможности с наименьшими правами
доступа, то есть для каждого вида деятельности создать свою учетную запись.
По крайней мере, подключение съемных носителей и копирование с них файлов, а
также закачка файлов из инета и серфинг по сомнительным сайтам достойны
отдельных аккаунтов.

Если не ошибаюсь, сейчас JAWS позволяет озвучивать диалог входа в систему. В
противном случае, можно запомнить последовательность учетных записей в
диалоге, а пароли, если они необходимы, составлять из цифр, чтобы не гадать
с раскладкой .
Успехов. Анатолий.

hello, Dmitriy.
вторник 04.03.2008, 0:35 писалось:

по видимому, вы мало берёте информации у знакомых или вовсе не копируете информацию,
находящуюся на работе (где как правило
компьютер заражается через локалку, интернет, дискеты и пр. флешек).

С уважением и наилучшими пожеланиями, Бекешев Дастан
моб.тел.: +996(772)527326
e-mail: das_in***@m*****.kg; das_in***@m*****.ru
Skype: das2224
ICQ#: 331894252

здравствуйте дмитрий!

Original Message И где народ только лазит, чтоб всякую дрянь цеплять!

да спокойно в яндексе ввёл что-небудь для поиска,открыл сайт и пожалуйста.
с уважением
Михаил,Санкт-петербург
magnit-spb@m*****.ru

Привет всем, а кто расскажет, что за вирюги эти
автораны, и чего они в системе выделывают, чем питаются,
так сказать? Не нарушают ли они таблиц деления дисков,
и т.д.?

Валентин