Смертельная борьба с троянами

Каскыр · Post by **Каскыр** » 06 Nov 2003 04:39

Какая-то хрень подсунула на домашний компьютер lsp.dll и хитро её присобачила. SpyBot распознал её как ShopAtHome, но корректно убрать не смог.

Заплатил за PestPatrol, скачал, запустил. Тот обозвал её так же, предложил убрать. Хрен! После убирания сам перестал запускаться. Хотел рефанд - бесполезно, у них страничка, что для рефанда, поломанная. Страничка для сообщения об ошибках про рефанд (даже и такая есть) - естествено, тоже не работает...

Вот у меня и возникло подозрение, что это ни какой не ShopAtHome, а какая - то хрень, замаскированная под него, иначе антибаги восстановили бы винсок-2 стек?

Кто такую хрень побеждал, не могли бы посоветовать, что предпринять?

Да, забыл сказать, винда - ХР.

Приношу пардон за не очень литературный язык - уж очень это не приятно, когда одни писаки напихивают тебе в домашний компьютер всякую дрянь, а другие обманом всучивают то, что от этой дряни не лечит...

EMT · Post by **EMT** » 06 Nov 2003 05:33

У меня нечто подобное. Каждый день homepage ("Привет") меняется на другую - "Search the net". Я её и в restricted sites поместил уже, всё-равно цепляется. :pain1:

Каскыр · Post by **Каскыр** » 06 Nov 2003 06:01

EMT wrote:У меня нечто подобное. Каждый день homepage ("Привет") меняется на другую - "Search the net". Я её и в restricted sites поместил уже, всё-равно цепляется.

Я начал борьбу с этой гадостью, когда в полях ввода в ХТМЛ-шные формы перестал вводиться русский текст. Видимо, какие - то писаки троянов забыли, что бывают восьмибитные коды...
Столько гадости было, что глаза на лоб вылезли. Скачайте SpyBot - он халявный, проверьтесь...

М-да, пока жив Майкрософт, без работы ни кто не останется...

Sergunka · Post by **Sergunka** » 06 Nov 2003 06:11

EMT wrote:У меня нечто подобное. Каждый день homepage ("Привет") меняется на другую - "Search the net". Я её и в restricted sites поместил уже, всё-равно цепляется.

я победил эту хрень через regedit -> Internet Explorer -> Main убрать настройки их сразу видно.

Так же надо найти текстовый файл который использовался для регедита. Это через стандартный поиск.

DmitryMA · Post by **DmitryMA** » 06 Nov 2003 16:14

Каскыр, AdAware пробовал запускать? Мне он(а) всегда помогал в таких случаях. Или воспользуйся System Restote - верни систему на месяц назад.

P.S. IE очень чувствителен к подобного рода троянам. Советую Mozilla/Netscape or Opera при заходе на сомнительные сайты (а лучше всего совсем не заходить :lol:

).

Каскыр · Post by **Каскыр** » 06 Nov 2003 18:45

DmitryMA wrote:Каскыр, AdAware пробовал запускать? Мне он(а) всегда помогал в таких случаях. Или воспользуйся System Restote - верни систему на месяц назад.

А если с сидюка вернуть на самое начало?

P.S. IE очень чувствителен к подобного рода троянам. Советую Mozilla/Netscape or Opera при заходе на сомнительные сайты (а лучше всего совсем не заходить ).

Как же, милок, не заходить, если вчера оно вдруг само пошло вот сюда:

http://ar.atwola.com/html/93159203/7951 ... Z=480&CT=I
-- что за хрень, и зачем пошло?!

califf · Post by **califf** » 06 Nov 2003 19:03

Вообще, рекоммендуют лазить в интернет с не-адмновского аккаунта, тогда никакая гадость не сможет себя втихаря установить, ибо винда не позволит. геморройно это.. но safe

Kalifornian · Post by **Kalifornian** » 06 Nov 2003 19:11

califf wrote:Вообще, рекоммендуют лазить в интернет с не-адмновского аккаунта, тогда никакая гадость не сможет себя втихаря установить, ибо винда не позволит. геморройно это.. но safe

А может лучше вообще не ходить?

Не понимаю неужели трудно вовремя загружать апдейты с микрософта, обновлять антивирус, пользоваться файрволом и не запускать неизвестные программы? :pain1:

Zombie416 · Post by **Zombie416** » 06 Nov 2003 19:39

Kalifornian wrote:Не понимаю неужели трудно вовремя загружать апдейты с микрософта, обновлять антивирус, пользоваться файрволом и не запускать неизвестные программы?

Это обычно не помогает - многие сайты открывают миллион pop-up окон, среди которых может затесаться и "Press Yes to run ActiveX control signed by XXX Inc.", который всю эту гадость и понаставит. Хорошо если только стартовую страницу исправит, а может и ночную звонилку в 1-900- установить.

Варианты борьбы:

1. В Tools/Options/Internet Settings - перетащить Security Level в "High" для зоны Internet и периодически запускать Ad-aware.

2. Поставить браузер в котором нет проблем с ActiveX, pop-ups и прочей гадостью. Например:

KMeleon ( http://kmeleon.sourceforge.net/ ) - выглядит как IE один к одному, работает не медленнее, есть tabbed-browsing, понимает IE Favorites и т.д.
Firebird ( http://www.mozilla.org/products/firebird/ ) - аналогично, но с чуть другим интерфейсом
Mozilla ( http://www.mozilla.org/ ) - аналогично, функциональности IMHO слегка многовато.

99% сайтов показываются 1:1 как в Internet Explorer.

Helmsman · Post by **Helmsman** » 06 Nov 2003 23:07

Zombie416 wrote:Это обычно не помогает - многие сайты открывают миллион pop-up окон, среди которых может затесаться и "Press Yes to run ActiveX control signed by XXX Inc.", который всю эту гадость и понаставит.

Вовсе не обязательно давить не глядя на всякий предлагаемый "Enter" ...И firewall таки помогает, только его настроить ручками надо.

Каскыр · Post by **Каскыр** » 06 Nov 2003 23:16

Helmsman wrote:
Zombie416 wrote:Это обычно не помогает - многие сайты открывают миллион pop-up окон, среди которых может затесаться и "Press Yes to run ActiveX control signed by XXX Inc.", который всю эту гадость и понаставит.

Вовсе не обязательно давить не глядя на всякий предлагаемый "Enter" ...И firewall таки помогает, только его настроить ручками надо.

"Против лома нет приёма: есть приём - побольше лом".

Хрень вылечилась вот этим:

LSP-Fix (c) 2002 Bill Webb

This software may be freely redistributed under the following conditions:
(1) The software is distributed free of charge.
(2) The software and this documentation are distributed together and only in their complete, unmodified forms.

Please check the LSP-Fix homepage for updates: http://cexx.org/lspfix.htm
Bug reports: Please mail winsock@cexx.org

Xорошая программка. Столько времени спасла - я уже начал кровожадно читать всё, что связано с Winsock - 2... Глаза бы мои эти винды не смотрели...

Zombie416 · Post by **Zombie416** » 07 Nov 2003 02:25

Helmsman wrote:Вовсе не обязательно давить не глядя на всякий предлагаемый "Enter" ...И firewall таки помогает, только его настроить ручками надо.

Конечно не обязательно. Но когда эти popups начинают плодиться как грибы, пользователь в панике начинает нажимать на что попало. Объяснить человеку далекому от компьютеров почему на окошко с мааленькой надписью signed by Macromedia Inc. нажимать Yes можно и нужно, а на такое же с надписью signed by John Doe XXX Multimedia нельзя - очень и очень непросто.

А firewall здесь IMHO бесполезен, разве что content-filter какой-то ala Norton Internet Security. Мне кажется проще нормальный бесплатный браузер поставить, чем такую штуку за $70 покупать да еще и руками настраивать.

Паршивый в смысле безопасности MS Internet Explorer, паршивый. Во всем остальном ничего, но в с смысле безопасности - полный кошмар. И High Security Level его слабо спасает т.к. уйма сайтов определяет Internet Explorer и начинает кормить его ActiveX, которые благополучно отключены. Страничка выглядит плохо, пользователь плюет и включает Medium обратно.

Kalifornian · Post by **Kalifornian** » 07 Nov 2003 02:31

Zombie416, поставьте себе google toolbar и забудете о pop up окнах

Zombie416 · Post by **Zombie416** » 07 Nov 2003 03:05

Kalifornian wrote:Zombie416, поставьте себе google toolbar и забудете о pop up окнах

Я давно забыл - у меня Mozilla Firebird, и popup-ов нет, и Google toolbar есть. Только вот тот search toolbar что в Firebird, не высылает в Google информацию о каждом посещенном мной сайте ( в отличие от IE - http://www.pcmag.com/article2/0,4149,904096,00.asp ).

Мне за державу обидно (c)

Каскыр · Post by **Каскыр** » 15 Nov 2003 09:09

Сдал PestPatrol, деньги обещали вернуть (пришлось быть настойчивым).

VYLE · Post by **VYLE** » 15 Nov 2003 20:57

Zombie416 wrote:
Kalifornian wrote:Zombie416, поставьте себе google toolbar и забудете о pop up окнах

Я давно забыл - у меня Mozilla Firebird, и popup-ов нет, и Google toolbar есть. Только вот тот search toolbar что в Firebird, не высылает в Google информацию о каждом посещенном мной сайте ( в отличие от IE - http://www.pcmag.com/article2/0,4149,904096,00.asp ).

Паранойя. В чистом виде. Отключите page rank, если так страшно.

Zombie416 · Post by **Zombie416** » 15 Nov 2003 21:52

VYLE wrote:Паранойя. В чистом виде.

Благодарю за диагноз :gen1:

Тем не менее, это никак не изменяет тот факт что MS IE имеет серьезные проблемы с безопасностью при установках по-умолчанию, которые используют колоссальное количество домашних пользователей. Можно бороться с последствиями, а можно с причиной.