Смертельная борьба с троянами

User avatar
Каскыр
Уже с Приветом
Posts: 7133
Joined: 02 Mar 2003 03:28
Location: 94596

Смертельная борьба с троянами

Post by Каскыр »

Какая-то хрень подсунула на домашний компьютер lsp.dll и хитро её присобачила. SpyBot распознал её как ShopAtHome, но корректно убрать не смог.

Заплатил за PestPatrol, скачал, запустил. Тот обозвал её так же, предложил убрать. Хрен! После убирания сам перестал запускаться. Хотел рефанд - бесполезно, у них страничка, что для рефанда, поломанная. Страничка для сообщения об ошибках про рефанд (даже и такая есть) - естествено, тоже не работает...

Вот у меня и возникло подозрение, что это ни какой не ShopAtHome, а какая - то хрень, замаскированная под него, иначе антибаги восстановили бы винсок-2 стек?

Кто такую хрень побеждал, не могли бы посоветовать, что предпринять?

Да, забыл сказать, винда - ХР.

Приношу пардон за не очень литературный язык - уж очень это не приятно, когда одни писаки напихивают тебе в домашний компьютер всякую дрянь, а другие обманом всучивают то, что от этой дряни не лечит...
"Как выглядит кусок хлеба, зависит от того, голодны вы или сыты"
User avatar
EMT
Уже с Приветом
Posts: 11040
Joined: 15 May 2001 09:01
Location: Minneapolis, MN (10000 lakes) USA

Post by EMT »

У меня нечто подобное. Каждый день homepage ("Привет") меняется на другую - "Search the net". Я её и в restricted sites поместил уже, всё-равно цепляется. :pain1:
Мимоходом...
User avatar
Каскыр
Уже с Приветом
Posts: 7133
Joined: 02 Mar 2003 03:28
Location: 94596

Post by Каскыр »

EMT wrote:У меня нечто подобное. Каждый день homepage ("Привет") меняется на другую - "Search the net". Я её и в restricted sites поместил уже, всё-равно цепляется. :pain1:


Я начал борьбу с этой гадостью, когда в полях ввода в ХТМЛ-шные формы перестал вводиться русский текст. Видимо, какие - то писаки троянов забыли, что бывают восьмибитные коды...
Столько гадости было, что глаза на лоб вылезли. Скачайте SpyBot - он халявный, проверьтесь...

М-да, пока жив Майкрософт, без работы ни кто не останется...
"Как выглядит кусок хлеба, зависит от того, голодны вы или сыты"
User avatar
Sergunka
Уже с Приветом
Posts: 34164
Joined: 03 Dec 2000 10:01
Location: Vladivostok->San Francisco->Los Angeles->San Francisco

Post by Sergunka »

EMT wrote:У меня нечто подобное. Каждый день homepage ("Привет") меняется на другую - "Search the net". Я её и в restricted sites поместил уже, всё-равно цепляется. :pain1:


я победил эту хрень через regedit -> Internet Explorer -> Main убрать настройки их сразу видно.

Так же надо найти текстовый файл который использовался для регедита. Это через стандартный поиск.
DmitryMA
Уже с Приветом
Posts: 783
Joined: 20 May 2002 00:52
Location: Israel-->Boston, USA

Post by DmitryMA »

Каскыр, AdAware пробовал запускать? Мне он(а) всегда помогал в таких случаях. Или воспользуйся System Restote - верни систему на месяц назад.

P.S. IE очень чувствителен к подобного рода троянам. Советую Mozilla/Netscape or Opera при заходе на сомнительные сайты (а лучше всего совсем не заходить :lol: ).
Демократия измеряется расстоянием, которое может пройти гражданин без предъявления удостоверения личности.
User avatar
Каскыр
Уже с Приветом
Posts: 7133
Joined: 02 Mar 2003 03:28
Location: 94596

Post by Каскыр »

DmitryMA wrote:Каскыр, AdAware пробовал запускать? Мне он(а) всегда помогал в таких случаях. Или воспользуйся System Restote - верни систему на месяц назад.


А если с сидюка вернуть на самое начало?

P.S. IE очень чувствителен к подобного рода троянам. Советую Mozilla/Netscape or Opera при заходе на сомнительные сайты (а лучше всего совсем не заходить :lol: ).


Как же, милок, не заходить, если вчера оно вдруг само пошло вот сюда:

http://ar.atwola.com/html/93159203/7951 ... Z=480&CT=I
-- что за хрень, и зачем пошло?!
"Как выглядит кусок хлеба, зависит от того, голодны вы или сыты"
User avatar
califf
Уже с Приветом
Posts: 155
Joined: 28 Jan 2002 10:01
Location: Minsk->FL

Post by califf »

Вообще, рекоммендуют лазить в интернет с не-адмновского аккаунта, тогда никакая гадость не сможет себя втихаря установить, ибо винда не позволит. геморройно это.. но safe
User avatar
Kalifornian
Уже с Приветом
Posts: 7838
Joined: 16 Oct 2003 22:06
Location: Kalifornia

Post by Kalifornian »

califf wrote:Вообще, рекоммендуют лазить в интернет с не-адмновского аккаунта, тогда никакая гадость не сможет себя втихаря установить, ибо винда не позволит. геморройно это.. но safe


А может лучше вообще не ходить?

Не понимаю неужели трудно вовремя загружать апдейты с микрософта, обновлять антивирус, пользоваться файрволом и не запускать неизвестные программы? :pain1:
Zombie416
Уже с Приветом
Posts: 8881
Joined: 17 Jun 2003 04:41

Post by Zombie416 »

Kalifornian wrote:Не понимаю неужели трудно вовремя загружать апдейты с микрософта, обновлять антивирус, пользоваться файрволом и не запускать неизвестные программы? :pain1:

Это обычно не помогает - многие сайты открывают миллион pop-up окон, среди которых может затесаться и "Press Yes to run ActiveX control signed by XXX Inc.", который всю эту гадость и понаставит. Хорошо если только стартовую страницу исправит, а может и ночную звонилку в 1-900- установить.

Варианты борьбы:

1. В Tools/Options/Internet Settings - перетащить Security Level в "High" для зоны Internet и периодически запускать Ad-aware.

2. Поставить браузер в котором нет проблем с ActiveX, pop-ups и прочей гадостью. Например:

99% сайтов показываются 1:1 как в Internet Explorer.
User avatar
Helmsman
Уже с Приветом
Posts: 6449
Joined: 15 May 2003 00:04
Location: LA

Post by Helmsman »

Zombie416 wrote:Это обычно не помогает - многие сайты открывают миллион pop-up окон, среди которых может затесаться и "Press Yes to run ActiveX control signed by XXX Inc.", который всю эту гадость и понаставит.


Вовсе не обязательно давить не глядя на всякий предлагаемый "Enter" ...И firewall таки помогает, только его настроить ручками надо.
User avatar
Каскыр
Уже с Приветом
Posts: 7133
Joined: 02 Mar 2003 03:28
Location: 94596

Post by Каскыр »

Helmsman wrote:
Zombie416 wrote:Это обычно не помогает - многие сайты открывают миллион pop-up окон, среди которых может затесаться и "Press Yes to run ActiveX control signed by XXX Inc.", который всю эту гадость и понаставит.


Вовсе не обязательно давить не глядя на всякий предлагаемый "Enter" ...И firewall таки помогает, только его настроить ручками надо.


"Против лома нет приёма: есть приём - побольше лом".

Хрень вылечилась вот этим:

LSP-Fix (c) 2002 Bill Webb

This software may be freely redistributed under the following conditions:
(1) The software is distributed free of charge.
(2) The software and this documentation are distributed together and only in their complete, unmodified forms.

Please check the LSP-Fix homepage for updates: http://cexx.org/lspfix.htm
Bug reports: Please mail winsock@cexx.org

Xорошая программка. Столько времени спасла - я уже начал кровожадно читать всё, что связано с Winsock - 2... Глаза бы мои эти винды не смотрели... ;)
"Как выглядит кусок хлеба, зависит от того, голодны вы или сыты"
Zombie416
Уже с Приветом
Posts: 8881
Joined: 17 Jun 2003 04:41

Post by Zombie416 »

Helmsman wrote:Вовсе не обязательно давить не глядя на всякий предлагаемый "Enter" ...И firewall таки помогает, только его настроить ручками надо.

Конечно не обязательно. Но когда эти popups начинают плодиться как грибы, пользователь в панике начинает нажимать на что попало. Объяснить человеку далекому от компьютеров почему на окошко с мааленькой надписью signed by Macromedia Inc. нажимать Yes можно и нужно, а на такое же с надписью signed by John Doe XXX Multimedia нельзя - очень и очень непросто.

А firewall здесь IMHO бесполезен, разве что content-filter какой-то ala Norton Internet Security. Мне кажется проще нормальный бесплатный браузер поставить, чем такую штуку за $70 покупать да еще и руками настраивать.

Паршивый в смысле безопасности MS Internet Explorer, паршивый. Во всем остальном ничего, но в с смысле безопасности - полный кошмар. И High Security Level его слабо спасает т.к. уйма сайтов определяет Internet Explorer и начинает кормить его ActiveX, которые благополучно отключены. Страничка выглядит плохо, пользователь плюет и включает Medium обратно.
User avatar
Kalifornian
Уже с Приветом
Posts: 7838
Joined: 16 Oct 2003 22:06
Location: Kalifornia

Post by Kalifornian »

Zombie416, поставьте себе google toolbar и забудете о pop up окнах
Zombie416
Уже с Приветом
Posts: 8881
Joined: 17 Jun 2003 04:41

Post by Zombie416 »

Kalifornian wrote:Zombie416, поставьте себе google toolbar и забудете о pop up окнах

Я давно забыл - у меня Mozilla Firebird, и popup-ов нет, и Google toolbar есть. Только вот тот search toolbar что в Firebird, не высылает в Google информацию о каждом посещенном мной сайте ( в отличие от IE - http://www.pcmag.com/article2/0,4149,904096,00.asp ).

Мне за державу обидно (c) :)
User avatar
Каскыр
Уже с Приветом
Posts: 7133
Joined: 02 Mar 2003 03:28
Location: 94596

Post by Каскыр »

Сдал PestPatrol, деньги обещали вернуть (пришлось быть настойчивым).
"Как выглядит кусок хлеба, зависит от того, голодны вы или сыты"
VYLE
Уже с Приветом
Posts: 1772
Joined: 06 Sep 2001 09:01
Location: Boston, MA -> Charlotte,NC ->Danbury,CT

Post by VYLE »

Zombie416 wrote:
Kalifornian wrote:Zombie416, поставьте себе google toolbar и забудете о pop up окнах

Я давно забыл - у меня Mozilla Firebird, и popup-ов нет, и Google toolbar есть. Только вот тот search toolbar что в Firebird, не высылает в Google информацию о каждом посещенном мной сайте ( в отличие от IE - http://www.pcmag.com/article2/0,4149,904096,00.asp ).



Паранойя. В чистом виде. Отключите page rank, если так страшно.
Я не настолько богат, чтобы пить дешевую водку.
Zombie416
Уже с Приветом
Posts: 8881
Joined: 17 Jun 2003 04:41

Post by Zombie416 »

VYLE wrote:Паранойя. В чистом виде.

Благодарю за диагноз :gen1:

Тем не менее, это никак не изменяет тот факт что MS IE имеет серьезные проблемы с безопасностью при установках по-умолчанию, которые используют колоссальное количество домашних пользователей. Можно бороться с последствиями, а можно с причиной.

Return to “Вопросы и новости IT”