Скрытый способ работы в винде
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
RE: Скрытый способ работы в винде - 2009-08-28 15:21:37.150000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
А сдесь что скрытый способ? Не понял вопроса поясни!
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 18:29:48.663333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Может и не сможет контролировть. Точнее не сможет пресеч действий этой программы. Так надеюсь понятно. Uncloker, если ты скачал ее с официального сайта, очень нужная прога. Каспер злиться что не может блокирнуть ее разрыв связи с мертвым процессом. Он же не разбирается, что процесс мертв, он считает, что прога самостоятельно рвет и гасит процесс. Который может очень нужен. В принципе, так могут поступать очень многие трояны и вирусы с целью своей защиты. Но они делают это в тайне от пользователя. А тут ты сам решаешь данную проблему. А касперу по барабану - его дело предупредить. Решать тебе. Нормальный и правильный подход.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 19:06:27.306666
|
|
|
Манджо Талибар
Сообщений: 218
Оценки: 0
Присоединился: 2009-06-08 12:10:43.436666
|
Проблема скорее всего в том, что каспер блокирует загрузку драйвера Unlocker, поэтому Unlocker не может удалить файл (троян).
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 19:11:33.440000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Способов много. И создание файла-копии во временной папке, и маскировка под системеый файл, и смена прав на файл, и работа через реестр, и через докуметы админа. Способов восстановления "убитого" троя много.
Гасит их необходимо не какпером. Или как миниум не так. Сначала скачай http://z-oleg.com/secur/ AVZ, обнови базы. Перезагрузка. Заход в Безопасном режиме, проверка полная Каспером и AVZ. Чистка дисков из Пуск-Прграммы-Стандартные -служебные. Все что выскочит - удаляй. Очисть куки в IE. В нем Сервис-Свойства- общие-Очистить временные файлы. Перезагрузка. Ставь файрволл. Настраивай. И не будет такой проблемы.
Можно и через права доступа запретить запускать этот файл. Это если ты знаешь какой файл. Но это уже сложней. Пока поработай так, как указано выше.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 19:35:15.170000
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
Манджо Талибар, видимо я не ясно сказал. Я не пытаюсь удалить троян анлокером. Я хочу, чтобы это каспер сделал сам. Потому что в следующий раз когда меня не будет, эта реклама вдруг не выскакивала каждые 5 - 10 минут и не портила нервы другим пользователям этого ПК. Не вопрос. Я ДЛЛку удалю. А вдруг её невидимые копии остались и начнут творить зло опять?
zzsnn, я в испуге. Я сегодня наткнулся на то, что этот троян по умолчанию всегда загружен в основном процессе:
">
Т. е. он в памяти всё время. Даже сейчас. А каспер его не видит. ПОЧЕМУ? Он же не намертво пришит к жёсткому диску, а он находится во временной (загружаемой) памяти.
Насчёт удаления его в безопасном режиме мне посоветовали в службе техпоодержки также. Но я вот что подумал - допустим я уеду, или даже просто меня до вечера не будет. Домашние сядут за комп, начнут броить и тут опять эта зараза. И мне так каждый раз из-за каждого трояна систему насиловать? А нельзя ли сделать так, чтобы каспер его видел? Ведь вирусописатель применил какую-то хитрость, чтобы сделать ДЛЛку невидимой, значит если знать эту хитрость - ей можно удалить!!!
И ещё - ДЛЛка загружается вместе с загрузкой винды. Где можно посмотреть список программ и файлов в автоматической загрузке? Ведь можно найти и удалить строку о загрузке этого трояна и дело с концом.
Вообще странно. Один из лучших антивирусов мира бессилен перед каким-то там порно-вирусом. Видимо лучшие умы заняты не созидательной, а разрушительной деятельностью. Почему такие умы, которые создали очень хороший антивирус не в силах совладать с "простеньким" трояном?
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 19:46:26.130000
|
|
|
Манджо Талибар
Сообщений: 218
Оценки: 0
Присоединился: 2009-06-08 12:10:43.436666
|
Иногда лучше вручную придушить трояна, чем доверять это антивирусу. Особенно, если трой активирован в системе. Иначе система может полететь.
Расписывать ничего не буду. Основное расскажет статья.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 19:55:35.863333
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
Я подумываю об этом, ибо троян очень надоедлив. Подожду чуда, может в течение блажайших пару дней касперописатели выпустят обновление, способное справиться с этим чудом. Я им уже написал в службу поддержки. А какой антивирь сравним по качеству и эффективности с каспером на взгляд хакеров, т. е. вас - пользователей этого форума?
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 20:08:57.950000
|
|
|
Манджо Талибар
Сообщений: 218
Оценки: 0
Присоединился: 2009-06-08 12:10:43.436666
|
После детальной настройки системы про вирусы, трояны и т.п. можно забыть.
Антивирус не нужен. ИМХО
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 20:12:33.596666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
ORIGINAL: Жертва трояна
А каспер его не видит. ПОЧЕМУ?
Все просто, каспер не знает dll а знает тока exe.
Анлогично, авторы вируса могли и ваще не использовать dll для той версии вируса, что детектит каспер.
Это обычное дело. Каждый день с таким сталкиваюсь, поэтому антивирус первым выключается из автозапуска)))
Качай autorun от мелкософта, он иногда показывает в некоторых ветвях зловредную dll, снимаешь галку, проверяешь (но из temp тоже удалиь надо).
Загони dll на virustotal и попсмотри что там другие антивирусы думают о ней, выложи вообще её сюда, и может Sunser скажет пути распространения и запуска dll, если повезет (ну или кто другой).
Не запуск винды из-за отсутствия каких нить dll весьма распространено так что аккуратней.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 20:15:40.830000
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
А допустим ты загрузил к себе файл, не зная, что он заражён. Т. е. пустил заразу внутрь. С этого момента твой ПК - рабочий инструмент чужого дяди. Даже брендмауэр винды признаётся, что ему нужен антивирус. Т. е. не всё так просто. Я уже боюсь этого трояна. А вдруг он в этот самый момент превратил сей ПК в зомби и пока я тут посты строчу, отправляет все фалы злому-презлому дяде на сервер. Ведь каспер показал свою беззащитность перед трояном - не смог его удалить.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 20:24:59.913333
|
|
|
Манджо Талибар
Сообщений: 218
Оценки: 0
Присоединился: 2009-06-08 12:10:43.436666
|
quote:
ORIGINAL: Жертва трояна
А допустим ты загрузил к себе файл, не зная, что он заражён. Т. е. пустил заразу внутрь. С этого момента твой ПК - рабочий инструмент чужого дяди. Даже брендмауэр винды признаётся, что ему нужен антивирус. Т. е. не всё так просто. Я уже боюсь этого трояна. А вдруг он в этот самый момент превратил сей ПК в зомби и пока я тут посты строчу, отправляет все фалы злому-презлому дяде на сервер. Ведь каспер показал свою беззащитность перед трояном - не смог его удалить.
Хватит бредить.
При соблюдении простых правил зараза ничего не заразит.
Кроме того, она исчезнет при первом же перезапуске системы.
Жизнь без антивируса возможна. В этом есть свои плюсы и недостатки (как правило, недостаток мозгов).
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 20:29:05.003333
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
Для желающих посмотреть ДЛЛку:
http://rapidshare.com/files/272644037/AdSubscribe.dll.html
http://www.onlinedisk.ru/file/206377/
http://ifolder.ru/13748617
На свой страх и риск
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-28 20:47:13.690000
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
http://www.virustotal.com/ru/
Файл AdSubscribe.dll получен 2009.08.28 16:43:47 (UTC)
Текущий статус: закончено
Результат: 11/41 (26.83%)
Каспер его видит:
Backdoor.Win32.Hupigon.hwnp
Но мне от этого не легче. Каспер не может его удалить (оригинал).
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-29 08:01:59.800000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Блин, Жертва трояна ты не ошибся в выборе ника? Может ты жертва другого процесса?
Ну не будь ты таким тупым. "Каспер видит но не удаляет", "я хочу чтобы и видел и удалял". Одно дело знать и сообщать - другое дело в состоянии это сделать. Ты можешь быть по професии гинекологом, все знать о родах и внутрененму строению женских половых органов, но заберементь и родить ребенка при наличии этих знаний ты никак не можешь. Но благодаря этим знаниям, ты можешь помочь женщине. Если она конечно будет слушать и выполнять твои рекомндации. Дошло до тебя такое сравнение?
Каспер, в двнной ситуации, как доктор, он видит заразу, предаупреждает тебя, но удалить ее не в состоянии. Не важно по каким причинам. Гинеколог тоже не может родить и не важно по каким причинам. Главное факт: НЕ МОЖЕТ. Для особо неумных объясню еще проще. Каспер - антивирус, и заточен под борьбу с данной гадостью. У клиента троян. С ними каспер всегда бореться хуже. Для борьбы с троянами необходимо пользоваться не антивирями, а другими продуктами. Антишпионами, антитрояновскими прогами, файрволлами.
Тебе, Жертва трояна , четко указали действия, которые ты должет выполнить для удаления данной гадости. ПРОСКАНИРОВАТЬ В БЕЗОПАСНОМ РЕЖИМЕ. Я еще посоветовал просканировать антитрояновской программой и почистить комп. Запомни Жертва … когда советуют спецы нужно сначала выполнить их инструкции, а потом уже пытаться на них наезжать. Ты это не выполнил, а начинаешь сопеть о тупости каспера. Подумай кто тупей: троян, антивирь, или ты, не выполняющий инструкции.
Антивирем необходимо всегда сканировать комп в безопасном режиме. Он отличается от обычного режима тем, что в этом режиме запускаеться только необходимый миниум процессов и сервисов. Значит в этом режиме почти наверняка не запуститться и процесс, не дающий антивиру нормально удалить гадость. Это может быть маскирующийся под системный процесс, способ восстановления удаленого тела вируса. В безопасном режиме антивирь сможет, при отсутствии связи с системным процессом, по данной своей базы, найти как тело вируса, так и его копи и удалить.
Теперь понятно, почему в данной ситуации не совсем умный не каспер, а некто другой.
"Уехжаю, а тут домашним выскочит" . Защиту необходимо строить. Ручками и головой. Как сказал профессор Преображенский : "Разруха в голове!" Поэтому сначала нужно по голове себя бить. Чтобы разруху выбить. А потом вложить в голову необходимые знания. И тогда может будет получаться.
Ставь файрволл, не работай под администраторской учетной записью. Распредели права достапа к папкам. Не ходи на те сайты, на которые очень не рекомендуют ходить, проверяй почту. И тогда не будет диких проблем. А появляющиеся сможешь сам контролировать.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-29 13:07:00.223333
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
zzsnn, хорошо, думаю советы следует принять во внимание. Остались два НО:
1. "Каспер, в двнной ситуации, как доктор, он видит заразу, предаупреждает тебя, но удалить ее не в состоянии."
В том-то и дело, что я носом тыкаю каспера в заразу, а он её не видит. НЕ ВИДИТ. Потому и удалить не может. Видел бы - удалил.
2. Каким образом троян смог сделаться не видимым в памяти? Ведь все процессы, загружаемые в память каспер проверяет в обязательном порядке!
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-29 13:32:19.033333
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
Не,по-моему zzsnn прав,с этой проблемой к самому Касперскому.Чего здесь-то мусолить то,что "собака" Каспер не так работает.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-29 19:14:11.106666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Способов обхода антивирей много. Я не знаю и не разбирал код данной заразы. Сейчас просто не начем и инструментов под рукой нет. Да и времени тоже не особо много. Но навскидку могу предположить.
1. Данный трой создает процесс и с с него создает системный. Тогда любой антивирь не сможет грохнуть заразу не повредив ось. Поэтому он и не удаляет.
2. Данный трой маскируется под системный процесс. Есть способы. Сейчас не важно как. Тогда Каспер на своем уровене видит только системный процесс и системный файл, соотвествено он не может грохнуть его, не повредив ось.
3. Еще куча способов. Сокрытие путем подмены одного процесса другим, сокрытие данного файла из таблицы дескипторов путем ее или модификации, или сокрытия отдельного участка, создав его невидимым и еще какие-нибудь методы.
Важно другое. Просто необходимо, подчеркиваю, необходимо провести лечение из-под Безопасного режима. Это обязательный способ при лечении любой заразы.
Давай, сначала начнем с этого. А потом будем смотреть на результат и думать.
"Ведь все процессы, загружаемые в память каспер проверяет в обязательном порядке!"
Процесс может загрузиться ДО загрузки каспера. Процесс может работать на уровне ядра, куда касперу хода просто нет.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-30 10:27:19.083333
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
В безопасном режиме почистил эту гадость. Правда она мне одного пользователя снесла в агонии. Все настройки съехали и файлы были удалены. Только непонятно за что касперский получает свои деньги? Неужели какой-то засраный вирусописатель умнее команды касперского? А прикиньте найдётся умник, который напишет троян, чтобы он и в безопасном режиме запускался или который полностью блокирует ПК до ввода кода. Непонятна здесь роль антивируса. Если человек берётся продавать профессиональный продукт - он должен быть соответствующего качества. Нет качества - нужно нанять соответствующих специалистов. Не для рядового юзера настраивать свою систему. Обычному пользователю нужен просто хороший антивирус. Вот почему я спрашивал вашей рекомендации. До этого у меня стоял доктор вэб, нортон, фсекуре и другие. Но всех я их удалил из-за ненадёжности (как мне казалось). А сейчас не знаю что и делать.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-30 10:39:06.250000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ты ещё буткитов не видел, до них каспер или ваще какая либо прога НИКОГДА не доберется, так что на данный момент САМЫМ ЛУЧШИМ анти- вирем, трояном и тд и тп являются МОЗГ и ПРЯМЫЕ РУКИ.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-30 13:36:14.600000
|
|
|
Жертва трояна
Сообщений: 12
Оценки: 0
Присоединился: 2009-08-28 14:45:21.583333
|
Ввиду отсутствия компьютерного образования у обычных юзеров и как следствие прямых рук и мозгов, можно предположить, что большая часть пользователей интернета - реальные или потенциальные жертвы.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-30 16:13:54.783333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Как бы попроще? Вот ты когда машину покупаешь, обычно первая это автоваз (ну один раз можно, один раз - не автоваз), с чего начинаешь? Правильно с обучения. Учишся ездить, давить на педальки, крутить рулем. На опрделеном этапе начинаешь выезжать в город. И заметь, тут не гаишники тебя застваляет, а ты сам начинаешь натаскивать себя на определеный уровень. Осваиваешь автомабильную грамоту. Несмотря на подушки безопасности, на педаль тормоза, на наличие более-менее авдекватных водителей вокруг, которые чаще всего, не стремяться тебя грохнуть.
Тогда объясни мне, непонимающему, почему при работе на компе, ты поступаешь по другому? Никакого обучения - сел и поехал. А потом когда возникают проблемы, почему-то начинаешь валить на кого угодно, только не на свое неумение и нежелание.
Прочитай любую книгу по Windows, по компам. Даже типа "для чайников". Там везде написано, что антивирь не может все сделать за тебя? Разве от тебя это скрывают? Разве создатели Каспера гарантируют тебе 100% защиты? Покажи такую строчку в их договоре или рекламе.
Нормальную защиту делают на основе некоторого количества знания, полученых в процессе обучения. Мозгами и руками. И она тоже не 100%.
Так что "большая часть пользователей интернета - реальные или потенциальные жертвы." - это факт. Но вот, чтобы ты не вошел в их число необходимо учиться. Кстати, эти знания потом начинают приносить тебе прибыль. Или в виде оказания помощи кому-нибудь, или в виде неплатежей денег за ерундовую работу.
|
|
|
|
|
RE: Скрытый способ работы в винде - 2009-08-30 16:21:44.250000
|
|
|
Sрam
Сообщений: 2863
Оценки: 372
Присоединился: 2009-01-16 15:23:43.276666
|
quote:
система - зобми и работает на чужого дядю.
эТО ПО трафу было бы видно!!!
|
|
|
|
|
|
