Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.

Вирусы на aqa.ru?

Четвертый день подряд ловлю на aqa.ru вирусы. Больше никуда не захожу в это время, даже по ссылкам.
Или червь, или троян...
Брэндмауэр настроен. Захожу админом. Открыт гостевой доступ к машине, без сети...
Инет Эксплорер, под ХР, СП2.
Антивирус Аваст, домашний.
К моим настройкам не пролезешь. Все запаролено. У домашних юзвергов тямы не хватит. У программ автообновление отключено, у системы тоже (и так заплатка на заплатке). Только антивирус включен, дважды в сутки обновляется.
Может провайдер мой барахлит? ТелеКомСервис. "ДайЛапу", пока. Жду подключения по ДэСэЛэ, с последующим переходом на пингвина...
Это чего там? Новые куки или баги?
Мож, у кого повторялось? Тисните пару строк...
2008-03-1010/03/2008 22:40:32
#583162
Посетитель


437
Russian Federation Moscow
10 года

Daxel

эм, как не удавшийся низкоуровневый программист посоветую вам не заходитне под админом, очень легко там живётся вирусам мне вот правда пофиг я с ними в симбиозе, они мне немешают жить и я им
Брэндмауэр это виндовый? так он для вида тока.

Изменено 10.3.08 автор implosion
2008-03-1010/03/2008 23:10:54
#583188
Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.
Да, брэнд форточный... Только, грят, он от атаки не спасает, а она мне по-барабану, с таким линком... Рублю под корень коннект, и все дела. Да и нафига я кому-то нужен? Трафика на 100 рублей скачать?
Использую его "от дурака", для защиты от внутренних попыток коннекта. Дабы... Чтобы тот же трафик не базарить...
А Аваст вирусы отслеживает неплохо! Хоть и "домашний".

"Под админом", в смысле "Группа администраторы"... Не под safe mode, конечно...
Или стОит на "продвинутого..." замахнуться?
Не! Видимо, уже не стОит. Подожду еще пару дней, как фул анлим подключат, и - на "красную шапку"! А там и домашним юзвергам коннект открывать можно будет... Особо не влезут...
2008-03-1010/03/2008 23:51:58
#583233
Советник



6132 126
Москва
1 мес.
Касперский, лиц., молчит, хотя, чуть-чего, верещит, даже не по делу...
2008-03-1111/03/2008 00:02:54
#583242
Кибер-аква-драг-дилер


5762 917
Russian Federation Mytishchi
47 мин.
Тут просто негде им быть
Как называются вирусы? Какие страницы просматриваете?
2008-03-1111/03/2008 00:03:48
#583243
Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.
Значить, провайдер...

Длинные имена, не запомнил...
Я удаляю сразу. Теперь буду записывать.
Черви да трояны. Причем, разные, и, пока без системы, кроме четырех вечеров подряд...
Обнаруживаются в папке врЕменных файлов, во время коннекта. У меня в ней "Темпорари интернет файлз" сидят. Там же и общий буфер организован. Короче, весь хлам - там.
Открываю, с таким коннектом, сразу несколько страниц:
http://www.aqa.ru/fo...
http://www.aqa.ru/fo...
http://www.aqa.ru/fo...
Ну, и там - по внутренним...
2008-03-1111/03/2008 00:20:54
#583256
Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.
Опа!
Есть один:
Имя файла: ....
TACA532.exe[ASPack]
Имя вируса: Win32:Agent-QLN [Rtk]
Тип вируса: Руткит
Версия VPS: 080309-0, 09.03.2008

Лезет, блин, в ядро!!!
Удаление...

ЗЫ. Павел, вот чего нашел:
"Еще один путь распространения – подвергшиеся хакерской манипуляции сайты. Ничего не ведающий пользователь просто открывает веб-страницу – и руткит попадает в его компьютер. Это становится возможным из-за «дыр» в системе безопасности браузеров." Источник:
http://www.computerb...

Изменено 10.3.08 автор Daxel
2008-03-1111/03/2008 00:55:35
#583276
Посетитель


437
Russian Federation Moscow
10 года
нармальный фаервол поставит и всё, вы говорите он только из винды прикрывает приложения, незнаю вроде и из винды не все видет, если он разрешает доступ к вашему компу из вне, то вы получаете трояны себе на комп, и уже заражённый комп, который в свою очередь заражает другие...
2008-03-1111/03/2008 12:36:17
#583467
Кибер-аква-драг-дилер


5762 917
Russian Federation Moscow
47 мин.
Это все понятно, [q]Опа!
Есть один:
Имя файла: ....NTACA532.exe[ASPack]
Имя вируса: Win32:Agent-QLN [Rtk]
Тип вируса: Руткит
Версия VPS: 080309-0, 09.03.2008 [/q]
вот это произошло когда какие страницы были открыты?
2008-03-1111/03/2008 12:38:31
#583471
Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.
2 implosion:
Если бы я вирус не обнаружил, то и тему бы не начинал...
Если бы вирус залез в мою машину, я бы ничего не заметил. А мой ЛИЦЕНЗИОННЫЙ и БЕСПЛАТНЫЙ антивирус Avast! Home его нашел, хотя лицензионный Касперский, у VAP_S, молчит...
Вирус, вернее, ROOT KIT, мной удален. На моем компе его нет, как нет и других. Можете похвастаться тем же?
Отключите доступ в настройках программ к сети и обновлениям, и файрволл не понадобится... Такие настройки есть почти у всего.

2 Volcan0:
Вот эти:
Внешние фильтры для малых объемов
pH=8 и gH=21
коккус-помогите советом
Отвечал вчера, а сейчас глянул в Поиске на время...
Вирус обнаружен во время обновления страниц...

Вот отрывок файла отчета. Мож, поможет:

Имя файла: c:windowssystem32basehsr32.dll
Имя вируса: Win32:Agent-SYC [Trj]
Тип вируса: Троян
Версия VPS: 080310-0, 10.03.2008

Имя файла: C:WINDOWSsystem32trz2.tmp
Имя вируса: Win32: Agent-SYC [Trj]
Тип вируса: Троян
Версия VPS: 080310-0, 10.03.2008

Имя файла: C:System Volume Information_restore{E4F7F74C-C4C4-4BB9-B2DB-D297C76232E2}
P43A0006811.dll
Имя вируса: Win32: Agent-SYC [Trj]
Тип вируса: Троян
Версия VPS: 080310-0, 10.03.2008

5 Март 2008 г. 13: 10: 47
VPS: 080304-0, 04.03.2008
C:WINDOWSTEMP
T97DE32.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...

6 Март 2008 г. 13: 06: 09
VPS: 080305-1, 05.03.2008
C:WINDOWSTEMP
T2645532.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...

7 Март 2008 г. 19: 53: 41
VPS: 080306-1, 06.03.2008
C:WINDOWSTEMP
T1C0A32.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...
C:WINDOWSTEMP
T6EEA32.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...
C:WINDOWSTEMP
T7CDE32.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...

8 Март 2008 г. 18: 55: 52
* VPS: 080307-0, 07.03.2008
C:WINDOWSSYSTEM32BASEHSR32.DLL [L] Win32:Agent-SYC [Trj] (0)

9 Март 2008 г. 22: 55: 01
* VPS: 080308-0, 08.03.2008
C:WINDOWSTEMP
T530032.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...
C:WINDOWSTEMP
T6EC632.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...

10 Март 2008 г. 3: 11: 12
* VPS: 080309-0, 09.03.2008
C:WINDOWSTEMP
TE5032.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...

10 Март 2008 г. 21: 35: 15
* VPS: 080309-0, 09.03.2008
C:WINDOWSTEMP
T29AF32.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...
C:WINDOWSTEMP
TACA532.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)
Файл был успешно удален...
C:WINDOWSTemp
TACA532.exe[ASPack] [L] Win32:Agent-QLN [Rtk] (0)

ЗЫ. После принудительного сканирования на вирусы и их удаления, Винда ХР PRO SP2 грохается намертво. Ядро перестает грузиться. Требуется переустановка системы.

Изменено 11.3.08 автор Daxel

Изменено 11.3.08 автор Daxel
2008-03-1111/03/2008 15:44:09
#583570
Советник



6132 126
Москва
1 мес.

сообщение Daxel
После принудительного сканирования на вирусы и их удаления, Винда ХР PRO SP2 грохается намертво. Ядро перестает грузиться. Требуется переустановка системы.

Ой, как до боли знакомо. До лета прошлого года то же стоял Avast, ребенок качал музыку - в результате полностью переустанавливал ОС и на ноуте и на основном компе. Чистил и переустнавливал не я - - но как сказал товарищ на ноутбуке - а там были максимальные проблемы пакость сидела в BIOS - после всего этого прямая дорога была за Касперским...
2008-03-1212/03/2008 00:50:38
#583854
Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.
Не обязательно качать...
Сони, в свои ДВД с музыкой, тоже вставляла Руткит. После громкого скандала, ей пришлось диски отзывать, с заменой на "чистые", т.е. без Руткита...
Лаборатория Касперского гневно высказалась ПРОТИВ Руткитов Сони!...
Да в ссылке про это есть:
http://www.computerb...

А системы я переставляю сам, "на раз". Тем более, что нужно переустановить пока только две. Винду, да Линукс "Красную шапку" 5-й версии Федоры коры... Две другие работают на другом винте, в той же машине... Мандрива 7-я и Федора 7-я... Загрузчик у них свой, а системный загрузчик сидел на основном винте, ну и Винда его "затерла", как обычно...
Часа на 4-ре посидеть плотно...
Сейчас вот сижу в переустановленной Винде, в минимальных настройках, но с Авастом! Модемный БИОС пока перешил...

Просто, у меня 15 точек настройки Винды, еще ДО установки дров, даже на мамку...

Касперский Стандарт - тяжелый. Аваст Хоум - легче и проще...

Для меня было важнее форумчан предупредить, ежели чего случится... Чтобы успели свою инфу сберечь перед появлением "синего экрана смерти" Форточек...
2008-03-1212/03/2008 02:00:48
#583872
Кибер-аква-драг-дилер


5762 917
Russian Federation Moscow
47 мин.

Для меня было важнее форумчан предупредить, ежели чего случится... Чтобы успели свою инфу сберечь перед появлением "синего экрана смерти" Форточек...


Могу вас заверить на 100%, на сайте AQA.ru нет никаких скриптов/ActiveX приложений и прочих программ, которые могли бы нести в себе скрытую угрозу. Ваша проблема, проявившаяся во время посещения AQA.ru - к сайту не имеет никакого отношения.
2008-03-1212/03/2008 11:42:38
#583992
Советник

Модератор
Модератор

5507 1089
Краснодар
17 час.
2 Volcan0:

Отлично! Спасибо!
Просто время моих посещений сайта совпадало со временем обнаружения вирусов, причем, в онлайне...
Хотя в оффлайне до этого работал долго.
Выходит, зря тревогу поднимал...

Извините, что заставил дергаться...
2008-03-1212/03/2008 16:54:11
#584162
Малёк


12 1
Керчь
3 года
Я в это не верю. Чтоб на форуме были вирусы. Это бред какой-то.
2015-06-2929/06/2015 11:40:35
#2103550
Кибер-аква-драг-дилер


5762 917
Russian Federation Moscow
47 мин.
Некропостер ))

Закрыто.
2015-06-2929/06/2015 12:57:29
#2103599



Top