Архив форумов ЦИТФорума

[AndyM]

Привет всем!
Нашел здесь топик http://forum.citforum.ru/viewtopic.php?t=28095&highlight=res

Один из моих юзеров регулярно цепляет аналогичную гадость
История началась примерно в июле, в автозагр. сидело что-то вроде ControlPanel - host32.exe, он запускал в свою очередь mouse.com.
Не давал стартовую страницу браузера изменить - и вроде все.
Cначала успешно лечил ручками до следующего цепляния этой дряни.
Вчера подцепил очередную дрянь, при вводе любого адреса в браузере выдает res://shdocbl.dll/HTTP_Blocked.htm и предлагает зайти на removespyware.com.
В автозагр - чисто, в процессах тоже ничего подозрительного
Эта дрянь создает всякий раз shdocbl.dll в Winnt\

Чистить реестр IE/Main пока не стал - вряд ли поможет.

Работает NAV, базы свежие.

Кто-нибудь имеет информацию, что это вообще такое в принципе?
И как работает? В смысле каким способом просачивается?
И есть ли способы избавления без установки KAV?
Кстати, на вируслисте ничерта нет об этой дряни. Вирусом они ее не считают...

Спешу вопросить всех - юзер этот - он же вице-през, ждать меня не будет, пока сам разберусь...
_________________
Орешек знанья тверд, но и мы не из ваты...

[Steff]

Есть некоторые вирусы, которые типо и не вирусы - а черви, шпионы и т.д. Вот ети самые гадости NAV 2003 и 2004 не ловит - 2005 уже научился. Так, что выводы делайте сами - версию Нортона не указали Вы.

Для их нахождения используют такие Антивири (привожу те. что тестил я - Касперский, NOD32, Symantec Corporate editons)

Есть еще пару прог, для етого, такие как - Spybot - Search & Destroy и Ad-aware 6.0.

Если не помогут - оброщайтесь - будем думать дальше
_________________
Dum spiro, spermo ))

[Гость]

1.Обновить версию антивирусного ПО и скачать свежие базы
(лучше использовать связку антивирусов)
2.Проверить\устранить наличие "левых" сервисов и файлов(выше перечисленные библиотеки!) procmon,regmon,filemon&etc..
3.Провести полную диагностику машины (собрать статистику сетевой активности,открытые порты,на "прослущке" и т.д) с\без подключения к инету
4.Провести комплексный анализ безопасности и рисков
(аудит системы и журналов безопасности,подключений,политик безопасности и т.д)
+ проверка сканерами безопасности (MBSA,languard&etc)
провести все надлежащие операции и отобрать административные права у пользователя (ни к чему это ей-богу! в инет под учеткой пользователя надо идти...)

Если Вы считаете что это долго,ненужно и неинтересно... то можете
форматнуть тачку(это не панацея) и сидеть сиднем! если хотите разобраться,то вперед...

[AndyM]

2Steff Да, о версии антивира я не подумал, найду и попробую свежую.
И все-таки хотелось бы мне знать, загружается ли эта дрянь автоматом, использую какую-либо дыру в ИЕ, или все-таки юзер послушно жмет ДА на предложение установить...
_________________
Орешек знанья тверд, но и мы не из ваты...

[Steff]

ЛАдно - немного лирики - у меня стоит Win2000 SP4, IE 6 Sp1 - ВСЕ апдейты с микрософта закачены и установленны. Пока не поставил Symantek постоянно эти гадости появлялись - причем я как созеательный пользователь, на кнопки ДА не жму никогда, мало того - я хоть и Админ - работаю повседневно с провами юзера.

Вот пример - пока я писал тебе ответ, ищу реферат для работника - при заходе на сайт www.referatov.net - ловлю вот это

Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: JS.Exception.Exploit
File: C:\Documents and Settings\Steff\Local Settings\Temporary Internet Files\Content.IE5\QX4L83AX\scr4[1].js
Location: C:\Documents and Settings\Steff\Local Settings\Temporary Internet Files\Content.IE5\QX4L83AX
Computer: STEFF
User: Steff
Action taken: Clean failed : Quarantine failed : Access denied
Date found: 1 îêòÿáðÿ 2004 ã. 8:07:43

ЧТо это прока не знаю - но если бы не Симантек, это было бы у меня в компе.

Вообщем к чему я это - ВСЯ это фигня на 99 процентов лезет САМА из инете - (восновном, порно, развлекательные порталы сколького типа) - сама прописывается, сама развивается - Отсюда вывод - НАДЕЖНЫЙ защитник и желательно как шлюзе так и на рабочих станциях - плюс желательно запретить на шлюзе ВООБЩЕ посещения многих сайтов!
_________________
Dum spiro, spermo ))

[DumanTapah]

[Steff]

[Гость]

2AndyM

Схожая ситуация у меня сложилась весной прошлого года.
Мне тогда насоветовали много всяких файрволов, но самое прикольное что вирус я хапнул через них.

Ситуация была схожая - какой бы адрес я ни набирал - сначал просто изменялась стартовая пага, позже открывался лишь сайт InternetOptimizer - естественно не по моей воле.

Антивирусная чистка не помогла - тогда стоял Каспер - обновленный, отлаженный и т.д.

Чистка реестра не помогла.

Попытки ручного поиска и уничтожения файлов это проги - провалились.

Единственный выход какой я тогда нашел - обнуление загрузочного партишна, его форматирование, установка новой версии ОС, и сразу же после инсталяции - установка AgnitumOutpost v.2 - помгло. РЕцидивов - тьфу, тьфу, тьфу. не было.

[Гость]

Во-первых, благодарю всех, кто откликнулся.

Во-вторых, долго искал рабочую ссылку на не-триальную версию NAV2005. Скачал в субботу, попробовал на тестовой машине, сегодня буду ставить (я, конечно, понимаю, нехорошо пользоваться нелегальным образом, но... ) Как поставлю - доложу, лечит или нет.

В-третьих, еще немного лирики.
Если бы я был легальным пользователем вин-ОСей, то непременно зарядил гневное послание в микрософт - как так, такие сякие, столько уже времени прошло, нихрена не делаете по этому поводу, вот вам данные, разбирайтесь и латайте! Но моя программа легализации отложена до лучших( и никогда не наступящих) времен.
Ну и хрен с ней!
Теперь что касается прав пользователей.
Работал раньше у меня президент(как юзер он вообще никакой!) со строго, как и у рядовых пользователей, ограниченными правами.
В одно прекрасное субботнее утро приехала к нему дочка с кучей дисков, флэшкой и еще чем-то. Дальше - меня вытащили из теплой постели у подружки, и наслушался я всякого. Мало того, он еще и пароль на доступ к инету забыл, а имя, похоже, никогда и не помнил.
Еще и дочка его на меня наехала - зачем- де, ему пароль вообще нужен? Попытался тактично объяснить, что есть определенная корпоративная политика в этом отношении, под конец почти взорвался и ляпнул, что когда она будет здесь админом, тогда пусть и определяет кому и что можно и как именно можно, а пока...
В общем, после этого юзеры выше начальников отделов у меня с административными правами. Ну-ну, локально, конечно.
Максимально ограничил их права в домене - и все на этом.
Предпочитаю время от времени чистить их компы, тем более, что большинство народ все-таки аккуратный и вежливый и слишком активно с cd-rom'ами не усердствуют.
Вот так вот. Реальная работа сильно отличается даже от элементарных положений по безопасности.

[Steff]

[AndyM]

Докладываю.

Проапдейтиный и со свежими базами нав2005 нашел три дохлых(одни библы, без ссылок в реестре, видимо, остатки от предыд. ручных чисток) дряни:
Spyware.Arau
SecurityRisk.Downldr
Adware.MainSearch

Эффекта не возымело.
После поисков были найдены на сайте Symantec следующие ссылки:
http://securityresponse.symantec.com/avcenter/venc/data/spyware.cwsaddclass.html
http://securityresponse.symantec.com/avcenter/venc/data/trojan.startpage.f.html
При исследовании выяснилось, что гадость и плесень имеет сходство с обеими и с обеими - далеко не полностью (то ли некий гибрид, то ли, скорее всего, имели место обе)
(И не надо бросать в меня камень, что все они пишутся в автозагр., и, следовательно, определить давно уже можно было! Автозагр. ВСЕГДА была чистая.)

На предложение найти заразу в конкретной библиотеке (найденной согласно вышеуказанным ссылкам) нав не отозвался.
Лечилось далее ручками в соответствии с рецептами.

Пока оставил нав2005, посмотрим, справится ли он предупредить инфекцию, раз уж вылечить не смог.

P.S. Ни один вирь меня еще так не доставал
P.P.S. Допрос с пристрастием выявил, что, скорее всего, дрянь поцеплена где-то в районе www.nomad.kz
А сайт для казахстанцев любопытный...
_________________
Орешек знанья тверд, но и мы не из ваты...

[Steff]

Хех - новенького уже ничего не подцепишь - гарантия 98% - а вот со стареньким разобраться - Ручная чистка вряд ли поможет, так как знали бы в чем проблема, давно бы уже вылечили.

2-е прожги которые я тебе советовал в самом начале имеет смысл всеже держать на компе (они не резедентные) и переодически проапдейтив запускать - так, для очистки совести. Это
Spybot - Search & Destroy и Ad-aware 6.0.

Я после NAV 2004 поставил 2005. но долго его не тестил, мне подогнали Symantek AntiVirus Corporate Editions. С ним ТОЧНО проблем нет.
_________________
Dum spiro, spermo ))

[Valera]

в эксплорере копируешь нехорошие строчки (урлы)
осуществляешь поиск файлов на диске по этим строчкам, находишь dll-ки в которых эти строчки присутсвуют. Файлы шифруются, поэтому не сразу и не все можно найти.
потом ищешь эти dll-ки в реестре
сносишь эти ключи, удаляешь dll-ки

на прошлой неделе такую заразу вычистил

[Steff]

[Valera]

[Steff]

[Гость]

[quote="Steff
НУ да, давай еще Флуд разовьем здесь - тогда воспользуюсь оказеей, и попрошу просветить меня - чтоб не умер тупым - как ты находишь ети самые подлыеexe-шки - которые так часто портят нам кровь.... Заодно подскажи плизз прожку, которая на Win98, Me - поможет запретить изменения нужных веток....[/quote]

Флуд? Не буду. Я помоему доходчиво написал, как я ЭТО делал на прошлой неделе. на W2K. Если такой путь неприемлем, надо искать другой. Я не претендую на истину в последней инстанции.

[Steff]