XP Security Space

MadA1ex · Сообщение **MadA1ex** » 26.08.2008 6:04

Если не ошибаюсь, именно так называется. Слава богу, я дома и у себя в офисе от этой гадости не пострадал.
Вобщем, много у меня клиентов, и на многих компах эта дрянь вылезла. На аглицком языке. При попытке отключить, кидает на сайт этого... Дряни. Предлагает купить.
Победить я эту штуку так и не смог. Она, зараза, касперского блокирует. Я и из реестра её удалял, и что только не делал. Нифига толку. Вырви провод из сетевой карты - убиваешь через диспетчера задач, потом выносиш из реестра, потом сносиш папку с эти ХРеновым секьюрити. Всё работает. Но стоит только подключить к интернету, тобиш воткнуть в сетевуху провод - опять 25. Само ставится.
Кто сталкивался с таким? Как убить эту дрянь без переустановки системы?
Кста, эта вот лажа загрузилась на тех компах, где было включено автоматическое обновление винды.

JaJa · Сообщение **JaJa** » 26.08.2008 23:08

MadA1ex, внимательно изучайте запускаемые службы, системные драйверы и присоединённые dll.

Как вариант поставить программу для мониторинга и пронаблюдать что и куда пишет программа при сетапе.

MadA1ex · Сообщение **MadA1ex** » 27.08.2008 4:58

Эта дребедень имитирует брандмауэр винды. Тока на аглицком языке. Отключать бесполезно - в службах он отключен. Ну и включать тоже бесполезно.
При попытке отключить этот новый "брандмауэр" - сразу закидывает на сайт и предлагает его купить.
А вот и новая фишка появилась - виста секьюрити. Та же самая дрянь, но немного на другой лад. Так же блокирует антивирус. Тоже так же пишет, что обнаружены вредоносные обьекты, что-то проверяет, ничего не лечит.
Так-то вреда от них никакого, все проги работают стабильно и без проблем. Но не нравицо мне эти секьюрити.
И опять же установилось на компе, где было включено автоматическое обновление. И люди все говорят, мол мы совсем ничего не делали, оно само вдруг вылезло. А касперский (нод, нортон) исчез. Крестик вот в систрее появился.

JaJa · Сообщение **JaJa** » 27.08.2008 9:17

MadA1ex,

И люди все говорят, мол мы совсем ничего не делали, оно само вдруг вылезло.

А что ещё говорить? Я вот тоже такое говорю в гарантийных отделах сдаю железо, причём если сам и виноват.

Отключите им админа. Плюс лог на вход пользователей.

Сайтик программы можно?

MadA1ex · Сообщение **MadA1ex** » 27.08.2008 10:49

Да бог его знает, этот сайтик, я не записал и не запомнил - злоба кипит и клиенты задолбали. Сегодня притащил в офис комп, подключил, морочился с 8 утра, но таки победил я эту бяку. Как - сам не знаю. Нормальное обновление винды поставил, и пока работает. Правда, симантековский антивирус уйти не хочет, чтобы касперыча поставить, но это я уж точно побью.
А так ситуация осталась прежней - никто не в курсе, на сайтах молчат, новостей нет, заплаток нет. Констатирую факт: из моих клиентов 7 компов до сих пор страдают от нового брандмауера. Адрес сайта обязательно запишу.

ЗЫ для тех, кто ещё не понял.
ОТКЛЮЧИТЕ АВТОМАТИЧЕСКОЕ ОБНОВЛЕНИЕ ВИНДЫ!
свойства моего компьютера - автоматическое обновление.
Ставим галку на самом нижнем варианте.
И нефиг. Если не понимаете что это такое, вам оно и не надо, если понимаете - вручную обновите.

JaJa · Сообщение **JaJa** » 27.08.2008 11:21

MadA1ex,

ОТКЛЮЧИТЕ АВТОМАТИЧЕСКОЕ ОБНОВЛЕНИЕ ВИНДЫ!

Да нет на windows update ничего подобного.

BLiTZ · Сообщение **BLiTZ** » 27.08.2008 12:43

JaJa писал(а):MadA1ex,
ОТКЛЮЧИТЕ АВТОМАТИЧЕСКОЕ ОБНОВЛЕНИЕ ВИНДЫ!
Да нет на windows update ничего подобного.

И не было. Троян банальный подхватили...

MadA1ex · Сообщение **MadA1ex** » 28.08.2008 7:46

Правду вам говорю, везде, где стоит автоматическое обновление, везде эта зараза пролезла. Вчера было 7 компов, сегодня уже 9. При чём в разных организациях, они друг друга и знать не знают.
А вот те, где было выключено обновление, стоят себе и работают.
Я с этим с пятницы бьюсь. Видимо тут просто никого ещё не коснулось.
Скорее всего в этом автоматическом обновлении какая-то дыра, которую злодеи раскопали, и теперь вот что творицо...
Помогает только переустановка самой винды, но прежде чем врубить интернет (драйвера на сетевю карту и т.д.), надо в первую очередь вырубить это тупое обновление. А потом спокойно выходить в интернет.
Последний случай. Интернет - АДСЛ. Модем выключен, винда лицензионная, переустановлена, тиш да гладь. Установил касперского, но как только врубил модем - он сразу заорал, что тыкается вредоносный обьект, разрешить, запретить там, пропустить. Галку ставиш запретить - и всё равно он проникает, выдаёт окошко с предложением установить прогу, там выбор - да или нет. Тупые юзеры конечно давят на йес. А касперский - отдыхай. И всё.

MadA1ex · Сообщение **MadA1ex** » 28.08.2008 7:52

Потом я заново винду переустановил. Вырубил автообновление системы. Включил модем. И ноль эмоций. Спокойно можно ходить в инет.

JaJa · Сообщение **JaJa** » 28.08.2008 9:51

MadA1ex, Просто сам троянец содержит код для загрузки этого ПО из сети, и всё.

выполните команду "Dir >1.txt" в папке C:\WINDOWS\$hf_mig$\
результат в файле запостите сюда.

BLiTZ · Сообщение **BLiTZ** » 28.08.2008 14:00

JaJa писал(а):MadA1ex, Просто сам троянец содержит код для загрузки этого ПО из сети, и всё.

выполните команду "Dir >1.txt" в папке C:\WINDOWS\$hf_mig$\
результат в файле запостите сюда.

А еще скриншот окна этой чудо-программы. Также в диспетчере задач посмотрите как называется ее процесс. Ну и лог HiJackThis было бы неплохо...

Meauzer · Сообщение **Meauzer** » 30.08.2008 5:12

А диспетчер задач хоть не исчез. А то обычно бывает "заблокировано администратором".

MadA1ex · Сообщение **MadA1ex** » 30.08.2008 13:25

Вобщем, ситуация такая - лечить эту заразу бесполезно. Только переустановка. И выключайте автоматическое обновление сразу.
Бороться нет смысла - мы пытались. Местных хакеров поттягивали. Толку ноль.
Переустанавливаете винду, сразу отключаете обновление, и только потом в интернет.
Ну, надеюсь, женька касперский придумает заплатку, как когда-то придумал от клеща, или сами мелкософтовцы очнуцо, но пока што вывод: НЕ ПОБЕДИТЬ без переустановки. Обновление винды тоже не канает.

JaJa · Сообщение **JaJa** » 30.08.2008 13:57

MadA1ex,

лечить эту заразу бесполезно

от 90% зараз помогает видвовзский фаервол, все патчи и отключённый автозапуск в политеке gpedit.msc.

В качестве контрольной меры можно создать на флешке папку "autorun.ini", присвоив ей атрибуты системный, только для чтения.

Флешки сотрудникам не забудте вычистить.

BLiTZ · Сообщение **BLiTZ** » 30.08.2008 19:16

MadA1ex писал(а):.......... ........ .... .....НЕ ПОБЕДИТЬ без переустановки.

O RLY?

...

JaJa · Сообщение **JaJa** » 30.08.2008 21:10

BLiTZ, ну не шмогла я, не шмогла

Meauzer · Сообщение **Meauzer** » 31.08.2008 5:40

Конечно не спасёт выключение автообновления если уже сидит. И что народ в Кашпировсом такгог находит для меня загадка. И правильно JaJa сказал что фаервол спасает от многого.
Если не лень то можно ручками поудалять сначала всю гадость и все dll ненужные вприпрыжку с проограмкой unlocker перед этим останавливая ненужную службу в автозагрузке(ACE Utilite к примеру), а потом через востановление системы(если и это не съели) если есть точка до заразы - откат на неё.
Можно и без Антивира сидеть и всё нормально будет.
Звиняйте если бред написал, обычно так справляюсь если что. Всё-таки у человека офис. Это индивидуально быстрее винду поставить. Хотя, если по шаблону ставит, то быстрее.
Один раз упорно заставляли купить их антивирус для лечения ихнего же говна всего за 45$ и всё это так ненавязчиво на рабочем столе и ссылка там же и естесвенно фон поменять нельзя было. И естественно в подключении после прописался левый номер. А ведутся же некоторые, особенно если набираемый номер вдруг не отоброжается и на это не обращають внимания.
Но однажды развели как последнего лоха. Качнул одну изестную порнаграфическую игрушку. Стал искать кряк. Нашёл, правда ломаться не захотела, но не в этом дело. Суть не в этом, а в том что ознакомительная версия, хотите до полной обновить, жмите и обновитсься. Обновить то она файлы нужные накачала, но при этом позже выяснилось что попался на "разговор с Литвой", хорошо хоть только на 10$ опустили.