Будьте бдительны!

Уважаемые форумчане!
Администрация сайта "Шансон-Плюс" убедительно просит Вас очень внимательно следить за тем, что Вы скачиваете и какие ссылки открываете.
На нашем форуме завёлся пакостник, который выставляет на открытый форум всякую мерзость (прозрачно намекающую, должно быть, на его нетрадиционную сексуальную ориентацию...), а в лички шлёт вирусы и прочую пакость. Поэтому:

1. Если Вы получите в личку сообщение "По просьбе администрации (или от кого-то лично из руководства)" - не верьте, потому что мы пишем ВСЕГДА напрямую. Не реагируйте на письма и не открывайте ссылки, приходящие от незнакомых, с пометками наподобие "подарок от администрации", "выигрыш" и проч.
2. Если Вы получили в личку непонятно что непонятно от кого - удаляйте такие письма СРАЗУ.
3. Альбом - это загруженный архив, в котором находятся музыкальные файлы, изображения обложек, треклист. Если же туда неким "доброжелателем" вложена программа в виде EXE-файла, ни в коем случае её не запускайте и делайте для себя соответствующие выводы.
4. Обращайте внимание на размер загруженного и скачиваемого Вами файла. Файл, содержащий вирус, невелик. В первую очередь это касается загруженных отдельно песен.
5. Обязательно проверяйте всё скачиваемое (особенно от новых и незнакомых людей) на наличие вирусов и программ-шпионов специальными программами.
6. Ни в коем случае не оставляйте на открытом Форуме данных своих электронных ящиков (если не хотите, чтобы Вас потом забросали спамом и другими "сюрпризами"). И сами никогда не пишите на электронные адреса, оставленные на форумах незнакомыми Вам людьми, иначе легко можете угодить в хакерскую ловушку.
7. Если у Вас есть хоть малейшие подозрения - пишите нам, разберёмся.

обычно пассивный гомосексуалист архивирует два файла:
ФАЙЛ.rar
ФАЙЛ.txt.vbs



при запуске ФАЙЛ.txt.vbs наступают малообратимый процесс на жестком диске

Вот прислали мне такое письмо походу. Содержание письма:

reniya Уважаемые форумчане! Администрация сайт, Feb 5 2008, 09:32 PM

Группа: Пользователи
Сообщений: 0
Регистрация: 2-February 08

Уважаемые форумчане!
Администрация сайта "Шансон-Плюс"---"По просьбе администрации"-и руководства!
просит Вас---быть модером сайта!!! не откажите!!!Нам!!!Нам!!!Нам!!!Нам!!!
Уважаемые форумчане!Уважаемые форумчане!Уважаемые форумчане!
Условия тут!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Уважаемые форумчане!Уважаемые форумчане!Уважаемые форумчане!
Условия тут!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
http://rapidshare.com/files/xxxxxxxx/mp3.rar
http://stream.ifolder.ru/xxxxxxxx
http://www.megaupload.com/?d=xxxxxxxx

Этот ответ отредактировал amorelover Mar 12 2008, 12:05 AM

Вот также дня два назад хотел скачать М. Круга! Во время получения ссылки пришло письмо на PM со слезной просьбой стать модератором сайта!!!



Не на того напали...

Будьте бдительны.Всегда.

Уважаемые форумчане!
В очередной раз призываем вас усилить бдительность! Наш больной друг, проявляя смекалку, учел все наши замечания по его работе и сменил тактику. Если раньше вам приходили в личку письма от человека, не имеющего ни одного сообщения (проверить их количество можно слева от письма, под ником автора), то теперь он предварительно оставляет на форуме несколько ничего не значащих сообщений, так что уже не кажется новичком. Не поддавайтесь на провокацию! Все, кто действительно отправляет сообщения от имени Администрации, имеют статус Админ, Супермодератор, Модератор, Помощник либо Команда, о чем уведомляет значок под ником отправившего. Если никаких намеков на этот значок нет, хотя сообщение пестреет угрозами и упоминанием Администрации, можете смело удалять - это происки больного человека, предпочитающего свиней девушкам. Также просим вас учесть, что Администрация все Правила выкладывает исключительно на форуме, а не запаковывает в архивы с вирусами и не заливает на файлообменник!
С уважением, Администрация

Вирус-базар переехал http://www.shanson-plus.ru/forums/index.php?showtopic=42628

ну дела...чуть не вляпался со ссылкой от severnij.narod.ru \крёстные отцы\E X E!

не факт..самораспаковывющиеся архивы так же имеют расширение E X E..смотри по весу, "бомба" весит 10-15 Кб, и вряд ли Мб

ещё Юрец Пашков

Есть такой сайт.
http://www.virustotal.com/ru/
может быть это актуально только для маленьких файлов, но всё же...
Подозрительный файл отправляете туда и он проверяется практически всеми существующими антивирусами. Если у вас антивируса нет (как вы вообще тогда живёте?), то это обязательная процедура. Но вообще, все антивирусы действуют по-разному. У меня стоит два, и всё равно я иногда пользуюсь этим сайтом.

(Это не реклама, я не имею никакого отношения к этому сайту).

Получил сегодня такое личное сообщение от zerka:

"Внимание! На форуме новая рекламная акция - Подробности здесь"

По указанному в письме адресу я не пошёл. Письмо сразу после прочтения исчезло из папки Входящие. Что это было?

Кстати, 2-3 дня назад мои антивирусы при заходе на этот форум словили двух вирусов.

Этот ответ отредактировал Iskander Feb 10 2009, 10:26 AM

Мне в личку тоже самое сегодня с утра прислали...

Тоже самое, а при переходе по ссылке на порнушный сайт.

А я прошел по ссылке "зерка отправил Вам новое письмо на Личный Ящик, с заголовком "Рекламная акция на форуме!". и попал сюда.

Сейчас при входе на сайт увидел сообщение "У Вас 1 новое письмо", зашел в папку входящих, ничего не нашел, после выхода из ящика "Новых писем 0". Чё эт было?

Спамщик и его "деятельность", были удалены.Сообщение о полученном письме осталось.

Большое спасибо за предупреждение! Большое спасибо Вашему сайту за всё, что Вы делаете. Узнал и нашёл на сайте очень много того, чего до этого не находил и не знал. Спасибо за музыку, спасибо за всё. Удачи Вашему сайту и процветания.
Рекомендую всем знакомым.

Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker)
Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.



В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS.

В свою очередь мы рекомендуем установить последние критические обновления (KB885250, KB921883, KB923414) и воспользоваться инструментами для удаления опасных червей из системы [39.8 mb]



PHILka.RU

Этот ответ отредактировал МихалычЪ Apr 14 2009, 04:12 PM

Коллеги, я в очередной раз не понимаю, об чем речь ?

Если кто-то не умеет смотреть, какие сейчас у него на компе запущены процессы - то ему нужно учиться смотреть процессы.

Если кто-то не умеет "срубать" процессы - то такому человеку нужно учиться срубать процессы...

Конкретно этот вирус, и конкретно любой другой вредоносный софт - не имеет прямого отношения к неумению пользователя делать простые вещи.

Вот смотрите: для того чтобы вирус "жил" - нужно чтобы какой-то (какие-то) из его выполнимых файлов были запущены у вас на компьютере.

Более того, какой-то (какие-то) из файлов, относящихся к этому вирусу - должны еще быть прописаны в "автозагрузку". То есть в системном реестре, в определенной его ветке, тоже должна находиться соответствующая строчка с полным путем и именем этого файла. И по имени файла и пути - можно это дело искать в системном реестре - и удалять или запрещать автозагружаться.


Все очень просто: если вредоносный процесс виден - то мы его увидим. И срубим.

А если вредоносный процесс не виден - то мы его все равно увидим
С помощью специальных программ, которые ищут файлы именно по тому признаку, что они невидимы.

Потому что для того чтобы запущенный злонамеренный процесс стал невидим - программисты должны были предпринять специальные усилия по маскировке такого процесса. Маскирующиеся процессы называются РУТКИТы.

И как раз по тому принципу, что они маскируются - их всех можно вычислить. Например, сравнением состава файлов вашего компьютера из под вашей операционной системы, и из под другой (чистой) операционной системы.

Поэтому нужно не вирусов бояться - а инструментами запасаться заблаговременно.

Какие инструменты нам понадобятся ? Об этом - в следующем посте:

Смотреть процессы, которые запущены у вас на компе - нужно специальными программками, которые честно покажут - чего у вас реально запущено.

1. Скачиваем бесплатную утилиту-антируткит китайского программиста, под названием GMER.

Вот например, эта версия есть у меня:

http://narod.ru/disk/7710258000/gmer.exe.html

На файлообменнике под словами "скачать файл" - увидим ссылку. Выделяем ее мышкой, и жмем правую кнопку мыши - "Сохранить объект как"

ГМЕР при запуске покажет скрытые процессы красной краской
Помните, что "правильным" процессам - нет необходимости маскироваться.

Поэтому все, что на вашем компе маскируется от вас - можно смело удалять.


2. Чем будем "срубать" непонравившиеся нам процессы ?

Лучше всего делать это другой бесплатной утилитой-антируткитом. Под названием:

Ice Sword1

скачиваем ее (у меня версия 1.18, хотя даже с Википедии можно уже скачать версию 1.22)

http://narod.ru/disk/7710518000/IceSword1.18en.rar.html

Все скачанное - проверяем от вирусов вашей антивирусной программой. ГМЕР - не требует инсталляции, запускается просто так, сразу.

Айс оф Ворд - ставим себе на комп, и учимся срубать им какой-нибудь процесс. Например, запускаем WORD или EXEL - и срубаем его Айс-оф-Вордом...

Этот ответ отредактировал uuu99950 Apr 14 2009, 10:58 PM

Как и ГМЕР, программа-антируткит IseWord
все скрытые процессы (которые носят название "руткиты")
- покажет красной краской.

Видимо, производители программ-антируткитов сговорились !


3. Ну и наконец, раз в жизни можно себе позволить проделать простенькое упражнение, против которого, как от лома - нет приема

А именно - сравнение состава файлов вашего компа, который виден из-под вашей активной запущенной операционной системы - с составом этих-же файлов, видимых из под другой операционной системы (например, при загрузке компа с DVD-rom - диска.

Скачиваем себе третью бесплатную антивирусную утилиту - под названием
AVZ4. В ней есть функция такого автоматического сравнения.


И скачиваем, и нарезаем себе болванку DVD - для загрузки компа из-под чистой Windows XP. Я себе изготовил такую болванку при помощи программки PE-Builder.

Готовый файл для нарезки болванки - могу предложить по ссылке:

А можете скачать ПЕ-Билдер и создать свой вариантик загрузочного DVD-рома. :)


Вот образ загрузочной Windows XP SP2:

http://narod.ru/disk/3170941000/pebuilder_...0_2008.rar.html


Сначала загружаемся с DVD-болванки, и запускаем утилиту AVZ4, лезем в ней в "Ревизор дисков". Изготавливаем при помощи опции "Ревизор диска" - слепок состава файлов вашего компа.

Потом перезагружаем Windows - вашу обычную. Снова запускаем AVZ4.

И применяем опцию ревизора дисков, под названием "Сравнить состав моих файлов". Вас попросит указать имя и путь к файлу-слепку.

Изучаем, чего получилось ? Все папки и отдельные файлы, которые "вдруг пропали" при загрузке из под вашей активной WINDOWS, но которые были видны из под чистой WINDOWS с DVD-рома - это специально скрывающиеся файлы и папки.

К чести утилиты GMER - я еще не смог найти ни одного скрытого процесса, который ГМЕР бы не увидел и не отобразил красным шрифтом.

Но когда, однажды утром, утилиты наподобие ГМЕР или IseWord - не сумеют обнаружить какой-нибудь супер-пупер руткит

- то мы всегда его обнаружим сравнением файлов из под чистой операционной системы.



А те процессы, которые видимы - элементарно срубаются при помощи IseWord, а не срубаются - выписываем на бумажку путь и название файла, грузимся из-под чистой Windows, и переносим эти файлы в другую папку.

Этого достаточно, чтобы перестала работать автозагрузка вредных процессов. Потому что в автозагрузке прописывается полный путь к файлам, а по тому пути - уже нифига и нету - так как мы перенесли оттуда файлик :)

Лично я вредные файлы не удаляю, а переношу их в папку под названием
"Моя коллекция вирусов и руткитов"

Этот ответ отредактировал uuu99950 Apr 14 2009, 11:33 PM

Я вот тоже решил вчера поискать руткиты. Правда взял пандовоскую прогу аналог (тоже бесплатна), ничего не нашла.

Anitquieque - ребята, он выставляет свои "палки" на многих страницах форума!
Не открывайте его посты - на проводе недоумок!!!

Этот ответ отредактировал ermak57 Apr 22 2009, 12:02 PM