-
Сообщение от
SDA
(зараженный с ограниченной учетки, из под админа вычищает локера в два клика).
Как? (исключение дроп в temp и ключ в HKCU)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Гриша
Как? (исключение дроп в temp и ключ в HKCU)
и зловред к примеру в common fales под названием svhost.exe
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
и зловред к примеру в common fales под названием svhost.exe
Там R/O у Limited User.
-
-
Ты имеешь ввиду удаление у ограниченного пользователя?
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
Ты имеешь ввиду удаление у ограниченного пользователя?
Я имею ввиду то, что там нельзя создать файл под огр. учеткой
-
-
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
Ошибаешься именно там он и лежал. Проверено на практике, с удалением винлока в корзину
На XP у пользователей нет прав для создания файлов в этой папке, на 7 тоже, Vista не исключение
-
-
Сообщение от
Гриша
На XP у пользователей нет прав для создания файлов в этой папке, на 7 тоже, Vista не исключение
Тем не менее экзешник там и лежал. Говорю это потому что, это случилось вчера на моем рабочем компе. Первый раз словил локера под номером 1756 по вебовской квалификации. Подозреваю, что позавчера заходил на один информационно-консультативный сайт и IE вдруг заглючил и завис, пришлось процесс убивать в диспетчере. С утра включил комп - банер среднего размера на рабочем столе с требованием отправить смс. Посмотрел логи корпоративного касперского, троян удален, в резервном хранилище, но баннер светился на весь рабочий стол. Позвал админа, зашли под админской учеткой, винлокера обнаружили в common fales под названием svhost.exe, где еще был текстовый файл с записью 46 часов.
На компе XP.
У меня на рабочем компе на IE скрипты отключены, тем не менее локера через IE получил. Честно говоря так и не понял, как он просочился.
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
Тем не менее экзешник там и лежал. Говорю это потому что, это случилось вчера на моем рабочем компе. Первый раз словил локера под номером 1756 по вебовской квалификации. Подозреваю, что позавчера заходил на один информационно-консультативный сайт и IE вдруг заглючил и завис, пришлось процесс убивать в диспетчере. С утра включил комп - банер среднего размера на рабочем столе с требованием отправить смс. Посмотрел логи корпоративного касперского, троян удален, в резервном хранилище, но баннер светился на весь рабочий стол. Позвал админа, зашли под админской учеткой, винлокера обнаружили в common fales под названием svhost.exe, где еще был текстовый файл с записью 46 часов.
На компе XP.
У меня на рабочем компе на IE скрипты отключены, тем не менее локера через IE получил. Честно говоря так и не понял, как он просочился.
Я сейчас взял такой сампл и посмотрел, естественно он не работает под огр. учетной записью. Выскажись своему админу.
-
-
А там не Power User?
Этой учетке больше разрешено
The worst foe lies within the self...
-
-
Да и надо бы глянуть какая ФС и права на эту папку какие стоят.
-
-
Сообщение от
Kuzz
А там не Power User?
Этой учетке больше разрешено
Нет, простой пользователь.
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
Нет, простой пользователь.
Посмотри права на эту папку.
-
-
Чтение и исполнение.
Ошибся, запись тоже есть.
Добавлено через 2 часа 13 минут
Логи корпоративного каспера:
Удалено троянская программа Trojan.Win32.Agent2.cqzi С:\Documents and Settings\.......\Local Settings\Temp\1F99.tmp 24.05.2010 15:40:28
Не справился.
Последний раз редактировалось SDA; 26.05.2010 в 16:00.
Причина: Добавлено
http://club-symantec.ru/forum.php
-
-
Сообщение от
SDA
Чтение и исполнение.
Ошибся, запись тоже есть.
Интересно, зачем они там?
-
-
http://club-symantec.ru/forum.php
-
-
Junior Member
- Вес репутации
- 57
Ещё в феврале с удивлением обнаружил,
что винлокеры проникают через Java-машину
Так что у меня от винлокеров свой "рецепт" :-)
1) Открыть Adobe Acrobat Reader, Редактирование - Установки,
в разделе JavaScript снять птичку с "разрешить"
в разделе "Надежность мультимедиа" поставит все форматы на "по запросу".
2) Отключить во всех браузерах JAVA (не путать с JavaScript).
В IE, если не ошибаюсь, это можно сделать, например, через HiJackThis;
в Опере - через opera:config, спойлер Java; в FireFox - не знаю, не пользуюсь.
П.С. "Дырку" в Java вроде бы заткнули месяц назад...
-
Сообщение от
SDA
Говорю это потому что, это случилось вчера на моем рабочем компе.
Спасибо, посмеялся...
У меня брат попросил что то настроить в 1с, привёз с работы компьютер, так называемый "сервер". Мне было не интересно заниматься всякой ерундой с этим 1с, поэтому посмотрел как обстоят дела с операционкой, он у них был подключён к интернету. Было очень много троянов и кейлоггер, мы ничего не удаляли просто бумажку написали. Месяца через два там уже появилось сообщение про смс. И это при том что у них работают люди которые обслуживают этот зоопарк и получают деньги
-
-
Junior Member
- Вес репутации
- 58
Ради интереса вчера попробовал полечить эту заразу с помошью Kaspersky Rescue Disk 10, с обновленными базами. Ничего не нашёл...
-
Junior Member
- Вес репутации
- 54
есть подозрение, что оно лежит в игре "миллионер" на freeware.ru