Показано с 1 по 15 из 15.

вирус диалер

  1. #1
    lucky
    Guest

    вирус диалер

    как мне доказать, что вирус звонил по международной линии или где и как оставляет вирус следы на реестре, в системных папках, в случае переустановки ОС сверху следы остается?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292

    Re:вирус диалер

    Доказывать кому? Телефонистам бесполезно. Услуга оказана, деньги на бочку.

    Следы при переустановке системы поверх большей частью остаются, проверено. Я думаю, что и сама звонилка сохранилась.

    P.S. Незнание законов тайги не освобождает от знакомства с медведем...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Палыч
    Регистрация
    19.01.2005
    Сообщений
    696
    Вес репутации
    230

    Re:вирус диалер

    Возможен вариант, что доказать надо не телефонистам, а шефу на работе. Правда есть некоторые сомнения, что шеф сможет правильно понять продемонстрированные ключи реестра и "звериные" файлики.

  5. #4
    Geser
    Guest

    Re:вирус диалер

    При установке сверху должна была остаться сама звонилка. Обнаружить её можно хорошим антивирусом.

  6. #5
    lucky
    Guest

    Re:вирус диалер

    дело в том что я обязан найти следов вируса автодозвона и доказать на суде, что это звонил вирус без ведома пользователя. если кто не будь по конкретнее сможет описать полностью, пожалуйста помогите!
    после переустановки W98\2000 да следы остается а после WXP мне кажется не остается

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:вирус диалер

    Цитата Сообщение от lucky
    дело в том что я обязан найти следов вируса автодозвона и доказать на суде, что это звонил вирус без ведома пользователя. если кто не будь по конкретнее сможет описать полностью, пожалуйста помогите!
    после переустановки W98\2000 да следы остается а после WXP мне кажется не остается
    Доказать в суде нереально ! Дело в том, что:
    1. Даже если найти эту звонилку - как доказать, что звонила именно она ?? Даже если провести экспертизу (кем, где ?), то это не потянет на доказательство;
    2. Телефонка качественно оказала услуги связи. Так что отказаться платить нереально. Судиться с телефонкой - тоже нереально, т.к. в чем суть иска против них ? В том, что некое оборудование абонента запросило соединение по корректному номеру и оно качественно было исполнено ? Судиться с создателями звонилки совсем нереально ...
    3. Даже если найти файл, как доказать, что он был в момент звонка ? Что звонил именно он ? Что установка и звонок шли против воли пользователя ?

    Короче, гиблое это дело .... я неоднократно удалял звонилки с ПК пользователей, и их попытки базарить с телефонкой заканчивались одинаково - все заплатили.

    По поводу поиска файла - все просто - он должен сохраниться:
    1. Сканирование диска AVZ ( и вообще всем, что перечисленов правилах запроса помощи) - может, кто что и найдет
    2. Поиск файлов *.exe, *.dll, *.ocx, *.cab с датой создания/модификации = дате инцидента плюс-минус 1-2 недели. Доп. данные - размер порнозвонилки обычно не превышает 500 кб, типовой - 50-150 кб. Порнозвонилка часто бывает сжата UPX ... На иконке часто нарисовано что-то экзотическое, часто полуголое. В секции импорта часто есть wininet, rasapi. Единственный момент - есть звонилки особого плана - они не сохраняются на диске - вместо этого проводят перенастройку удаленного доступа и самоуничтожение. Тогда искать нечего
    3. Выясняем номер телефона, по которому шел звонок - изем его (и его фрагменты, типа последних 5 цифр) в реестре и файлах на диске - есть маленький шанс, что повезет
    4. Если доступ идет через прокси, пробуем получить у админов его логи поблизости от даты инфидента (неделя в минус - неделя в плюс). Фильтруем логи, ищем все запускаемое или архивы cab ... это часто дает ключ к разгадке

  8. #7
    Full Member Репутация
    Регистрация
    16.10.2004
    Сообщений
    96
    Вес репутации
    49

    Re:вирус диалер

    Дозвонщиков неплохо умеют искать антивирус Касперского (с расширенными базами) и Panda. Можно ещё попробовать а2 (http://virusinfo.info/index.php?boar...y;threadid=185).

  9. #8
    lucky
    Guest

    Re:вирус диалер

    В таком случае, кто не будь знает адрес сайта который при обращение разрывает связь с местным провайдером и соединяется дальние зарубежье по диалапу, если можно по больше.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:вирус диалер

    Цитата Сообщение от lucky
    В таком случае, кто не будь знает адрес сайта который при обращение разрывает связь с местным провайдером и соединяется дальние зарубежье по диалапу, если можно по больше.
    Сайт не может разорвать связь с чем либо и куда-либо позвонить. В странички сайта может быть замонтирован ActiveX, который после загрузки, установки и запуска будет выполнять функции звонилики (или некий скрипт предложит скачать и запустить программу - короче говоря, что-то запускаемое должно загрузиться и получить запуститься). Но и то, нужно согласиться на установку левого ActiveX (нажав OK в диалоге) ...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292

    Re:вирус диалер

    Не обязательно. Могли нажать сто лет назад, выставив при этом галочку "Больше не спрашивать".

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:вирус диалер

    Цитата Сообщение от pig
    Не обязательно. Могли нажать сто лет назад, выставив при этом галочку "Больше не спрашивать".
    В принципе могли - или уровень безопасности поставить на минимум ... хотя тогда в ходе хождения по сайтам столько всего наползет - жуть ...

  13. #12
    lucky
    Guest

    Re:вирус диалер

    Дело в том, что многие люди смотрят порносайты и попадает на крупную сумму, при этом отказывается от оплаты и мне необходимо доказать что модемное соединение был именно его компа. Большинство случаев они очищает временные интернет файлы, реестры переустанавливает систему. В таких случаях как быть? Я хотел бы найти следы этих порнозвонилок все таки следы же остается, то что нахожу не достаточно.
    Кто не будь знает?

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:вирус диалер

    Цитата Сообщение от lucky
    Дело в том, что многие люди смотрят порносайты и попадает на крупную сумму, при этом отказывается от оплаты и мне необходимо доказать что модемное соединение был именно его компа. Большинство случаев они очищает временные интернет файлы, реестры переустанавливает систему. В таких случаях как быть? Я хотел бы найти следы этих порнозвонилок все таки следы же остается, то что нахожу не достаточно.
    Кто не будь знает?
    Следы найти можно (методы я описал выше). Но если юзер отформатировал HDD - тогда труба. Плюс чистка ПК разными антивирями и антиспайваре (они удалят следы). Кроме этого возможно хождение по порнухе с виртуальных ПК - тогда при завершении сеанса дается откат и следов вообще нигде не будет (на заметку - при поиске звонилки нужно поискать еще и виртуальный ПК).
    Единственный надежный способ - это логи интернет-провайдера (если к ним естьдоступ и они ведуться). Идеальный случай - это работа через прокси провайдера ... тогда в логе видны посещенные сайты, закачка звонилки и далее по идее лог прерывается - т.к. звонилка наичнает прозвон

  15. #14
    lucky
    Guest

    Re:вирус диалер

    Большое спасибо! Зайцеву Олегу!
    Пусть его продукт будет лучшими из лучших в компьютерном мире. С наилучшими пожеланиями его продукту и его самому Lucky!
    если можно еще несколько вопросов?
    1) в папке Program Feles имеется папки:
    а)180Solutions
    b)ISTbar
    c)ISTsvc
    d)Internet Optimizer
    i)SideFinde
    f)WhenU а внутри папок есть точно такие же exe -файлы и ddl файлы, при сканирование на антивирусном указывает что вирусы трояны DyFuCo. прочитал в интернете и узнал некоторый из них просто закачивает вредоносную программы. если можно какай из них автодозвон делает и остальные для чего?
    2)в папке windows имеется файл toolbar это для чего?
    3) в Downloaded Program Files имеется объекты с многими единичками а эти для чего?
    4)Как они срабатывается имеется виду определенное время или случайным образом?Эти вирусы самопроизвольно ликвидируется?

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387

    Re:вирус диалер

    Цитата Сообщение от lucky
    Большое спасибо! Зайцеву Олегу!
    Пусть его продукт будет лучшими из лучших в компьютерном мире. С наилучшими пожеланиями его продукту и его самому Lucky!
    если можно еще несколько вопросов?
    1) в папке Program Feles имеется папки:
    а)180Solutions
    b)ISTbar
    c)ISTsvc
    d)Internet Optimizer
    i)SideFinde
    f)WhenU а внутри папок есть точно такие же exe -файлы и ddl файлы, при сканирование на антивирусном указывает что вирусы трояны DyFuCo. прочитал в интернете и узнал некоторый из них просто закачивает вредоносную программы. если можно какай из них автодозвон делает и остальные для чего?
    2)в папке windows имеется файл toolbar это для чего?
    3) в Downloaded Program Files имеется объекты с многими единичками а эти для чего?
    4)Как они срабатывается имеется виду определенное время или случайным образом?5)Эти вирусы самопроизвольно ликвидируется?
    ISTbar и ISTsvc - это TrojanDownloader IstBar. Все остальное пости наверняка затянуто им (в IstBar прошит набор URL для закачки и инсталляции кучи левого ПО). Все остальные - SpyWare (собрают сведения о пользователе, посещенных URL ... и крутят контекстную рекламу).
    2) А кто же его знает Нужно анализировать, что в этой папке toolbar лежит, тогда можно сказать точно
    3) Объекты нужно прислать нам на анализ, тогда можно сказать точнее. Скорее всего троян.
    4) Все перечисленное выше стартует при запуске системы и скрытно вивит в памяти. Или стартует вместе с IE.
    5) Нет.
    Если есть непонятки с этим ПК - мой совет - нужно зайти в раздел "Помогите", выполнить описанные там инструкции, затем создать тему с описанием проблемы и скинуть туда лог HijackThis ... по логу намного проще судить о том, что реально "живет" на ПК

Похожие темы

  1. Диалер!
    От beerb0x в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 03.02.2009, 20:27
  2. диалер замучил
    От zool в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 13.01.2007, 12:59

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00160 seconds with 16 queries