Регистрация
Получить HM2
Регистрация Поиск Пользователи Все разделы прочитаны  
Важные объявления
Старый 20.08.2012, 12:17     TS Старый   #1 (permalink)
Участник
 
Регистрация: 19.03.2009
Сообщений: 112
Создаю тему в этом разделе, так как он наиболее читаемый. Прошу модераторов пару дней не переносить ее отсюда.

Последнее время постоянно хватаю вирус SpyEye. Сначала никак не мог понять - откуда. Возникло подозрение, что с форума CGM, так как иногда появляется странное окошко с вопросом: "вы действительно хотите уйти с этой страницы", при попытке уйти с главной страницы. Решил проверить. Вылечил комп в очередной раз и сегодня в 11.14 открыл цгм. В это же время вирус опять появился (время создания 11.14).

Просьба к технической поддержке: проверить сайт на наличие этой заразы.

Теперь для пользователей - как найти и как лечить.
Признак заражения:
Появляется папка в корневом каталоге c:\systemhost. Ее не всегда видно, даже если у вас отображаются скрытые папки. Проверка на ее наличие:
Пуск-Выполнить-c:\systemhost-Ок
Если она открылась после этого - у вас вирус SpyEye.

Лечение:
Скачиваем утилиту GMER ([Зарегистрироваться?]), запускаем ее.
Сверху выбираем закладку >>, потом Files. Слева в GMERe появляется проводник файлов. Выбираем папку systemhost, в ней лежит 1 или 2 файла. Выбираем их, нажимааем сначала Kill, потом Delete.
Перезагружаем комп. Теперь нужно убить вирус из автозагрузки. Можно вручную, можно с помощью разных утилит.
Вручную так: Пуск-Выполнить-regedit
Откроется редактор реестра. Открываем ветку
HKEY_CURRENT_USER
Software-Microsoft-Windows-CurrentVersion-Run
Там надо убить ключ со ссылкой на файл из папки c:\systemhost
Чистим папку C:\Documents and Settings\-USER-\Local Settings\Temp
Все.

P.S. Описанный метод применим для Windows XP, что делать с семеркой и вистой - я не знаю.
P.P.S. Не нужно играться с GMER - это довольно опасно, использовать его только для лечения этой заразы!
rpbl3yH вне форума      
Старый 20.08.2012, 13:38   #2 (permalink)
Администратор
 
Аватар для regetx
 
Регистрация: 19.01.2011
Сообщений: 537
Отправить сообщение для regetx с помощью ICQ Отправить сообщение для regetx с помощью Skype™
А антивирус есть на компе? Тот же касперский или нод32 думаю поможет. Плюс не сидеть под админской учеткой.

В твоем случае, может не до конца вылечил, вот он и восстанавливает себя каждый раз заново.

А на форуме вирусов нет - проверено!

PS: Твой способ лечение подходит, скорее всего к одной или нескольким модификациям вируса - а разновидностей очень много. Лучше удалить все и поставить заново систему.
regetx вне форума      
Старый 20.08.2012, 13:54     TS Старый   #3 (permalink)
Участник
 
Регистрация: 19.03.2009
Сообщений: 112
Цитата:
Сообщение от regetx Посмотреть сообщение
А антивирус есть на компе? Тот же касперский или нод32 думаю поможет. Плюс не сидеть под админской учеткой.

В твоем случае, может не до конца вылечил, вот он и восстанавливает себя каждый раз заново.

А на форуме вирусов нет - проверено!

PS: Твой способ лечение подходит, скорее всего к одной или нескольким модификациям вируса - а разновидностей очень много. Лучше удалить все и поставить заново систему.
Я работаю без антивирусов. И сижу именно под админкой) Но дело не в этом. Я не прошу помощи для себя - опыт борьбы с вирями большой, не боюсь особо ничего.
Просто странно этот вирь себя восстанавливает - в то самое время, когда открываю форум, причем далеко не каждый раз. И это на двух компах независимо. Я не утверждаю, что на форуме вирусы. Просто вероятность этого немаленькая, вот и прошу вас проверить. Хакеров-то много. Да и вирус нехороший - банковсий шпион - такие, как раз, на покерных ресурсах и размещают. Плюс, если кто-нибудь еще зацепил, даже не отсюда, выложил способ детектирования и лечения именно для этой разновидности.

P.S. Прикрепляю картинку, глянь, плиз, это нормально? (вирь цепляется только когда пояляется это окошко)
Вложения
Тип файла: rar cgm.rar (150.0 Кб, 26 просмотров)
rpbl3yH вне форума      
Старый 20.08.2012, 14:04   #4 (permalink)
Бессмертный
 
Аватар для Kotofeyich
 
Регистрация: 05.02.2009
Сообщений: 2,751
Отправить сообщение для Kotofeyich с помощью Skype™
Кстати, да. Касперский в последнее время регулярно ругается при посещении форума.
Kotofeyich вне форума      
Старый 20.08.2012, 14:40   #5 (permalink)
bss
Интересующийся
 
Регистрация: 06.02.2010
Сообщений: 52
Да даже аваст ругается про вирусы на форуме (а последнее время очень часто), а в описании пишет что такой вирус злоумышленники запускают путём влома сайта... Я уже не говорю про антивирусы получше, так что не надо вводить в заблуждение форумчан что на форуме нету вирусов (сейчас может быть и нету, а потом могут появиться)! Конкретно сейчас всё спокойно, аваст сегодня не ругается....
bss вне форума      
Старый 20.08.2012, 14:48   #6 (permalink)
Бессмертный
 
Регистрация: 07.11.2005
Сообщений: 4,429
у меня таже хрень, окошки leave page выскакивают постоянно, папку не обнаружил. Антивирус nod32 не ругается.
pokerman777 вне форума      
Старый 20.08.2012, 15:47   #7 (permalink)
Бессмертный
 
Аватар для -LOKI-
 
Регистрация: 01.09.2007
Сообщений: 4,572
Бронзовый кубок 
Отправить сообщение для -LOKI- с помощью Skype™
Перенес тему в более подходящий для нее раздел форума.
-LOKI- вне форума      
Старый 20.08.2012, 16:47   #8 (permalink)
Старожил
 
Аватар для BlackJoker
 
Регистрация: 15.02.2009
Сообщений: 933
regetx вы чем проверяете? У меня аваст тоже иногда ругается, зачастую во вшитом баннере какая то зараза, при этом нод и каспер молчат. Кстати именно вирусы на цгме побудили меня перейти на аваст.
Вероятно в баннерах располагается полукод, и антивирь не видит в этом вируса. Другая половина зачастую находиться во временных файлах(темп) или забирается глубже, а скипт собирающий два полукода во едино на ходится вообще в др месте, возможно даже не на компе, а на стороннем сайте.
__________________
инвестирую в форекс
BlackJoker вне форума      
Старый 20.08.2012, 17:11   #9 (permalink)
Администратор
 
Аватар для MrDamian
 
Регистрация: 06.04.2011
Адрес: Москва
Сообщений: 6,911
Медаль 
Уважаемые. Без паники, только без паники.
Действительно выявлена проблема на некоторых версиях браузеров. Сейчас разберемся, чем может быть вызвана данная проблема.
MrDamian вне форума      
Старый 20.08.2012, 18:20   #10 (permalink)
Администратор
 
Аватар для regetx
 
Регистрация: 19.01.2011
Сообщений: 537
Отправить сообщение для regetx с помощью ICQ Отправить сообщение для regetx с помощью Skype™
Цитата:
Сообщение от BlackJoker Посмотреть сообщение
regetx вы чем проверяете? У меня аваст тоже иногда ругается, зачастую во вшитом баннере какая то зараза, при этом нод и каспер молчат. Кстати именно вирусы на цгме побудили меня перейти на аваст.
Вероятно в баннерах располагается полукод, и антивирь не видит в этом вируса. Другая половина зачастую находиться во временных файлах(темп) или забирается глубже, а скипт собирающий два полукода во едино на ходится вообще в др месте, возможно даже не на компе, а на стороннем сайте.
У меня KIS последний стоит. Опера брозер. Пока тихо.
Вирь теоритически может подгружатся со сторонего сайта, куда ведут тысячи линков с форума.
regetx вне форума   +2 (+2/-0)    
Старый 20.08.2012, 22:29   #11 (permalink)
Аксакал
 
Аватар для Plumbum
 
Регистрация: 13.09.2006
Адрес: Москва
Сообщений: 1,838
Отправить сообщение для Plumbum с помощью ICQ
Дааа, тоже словил этот вирус с цгма, но не был уверен и промолчал.
__________________
Ну почему я такой тупой?
Plumbum вне форума      
Старый 21.08.2012, 03:44   #12 (permalink)
Участник
 
Аватар для 4BSide
 
Регистрация: 24.07.2008
Адрес: Гродно
Сообщений: 198
Находит такую папку. Кто нибудь лечил как написано в 1м посте?
4BSide вне форума      
Старый 21.08.2012, 09:24   #13 (permalink)
Администратор
 
Аватар для MrDamian
 
Регистрация: 06.04.2011
Адрес: Москва
Сообщений: 6,911
Медаль 
Цитата:
Сообщение от rpbl3yH Посмотреть сообщение
... Просто странно этот вирь себя восстанавливает - в то самое время, когда открываю форум, причем далеко не каждый раз...
всю ночь промучался, так и не смог воспроизвести твою проблему. дай побольше информации о конфигурации системы (версия ХР, браузер и т.п.), можно в ЛС

проверь, пожалуйста, что написано в файле хостов:
c:\windows\system32\drivers\etc\hosts

был забавный случай, когда один троян прописал себя в файл хостов и при обращении к гугл, яндекс и прочим поп. поисковикам направлял на "левый" сайт, от туда качалась гадость и потом шел редирект на поисковый сайт.
MrDamian вне форума   +1 (+1/-0)    
Старый 21.08.2012, 12:02     TS Старый   #14 (permalink)
Участник
 
Регистрация: 19.03.2009
Сообщений: 112
Да я и сам воспроизвести не могу. Получается - иногда ловится, реже, чем раз в день даже. Не факт, что с ЦГМ. Но очень вероятно, так как ловится с двух компов, а со второго особо никуда не захожу, кроме ЦГМ и мэйл-яндексов. И еще - вчера утром я открывал только ЦГМ, и тут же появилась папка systemhost...

Стоит XP Professional SP3 со всеми обновлениями, браузер IE8, еще Google Chrome стоит. hosts проверял в первую очередь - чистый.

Вообще, есть ощущение, что зараза в каком-то редком баннере, или ее кто-то размещает и сразу убирает, так как специально зацепить не получается, хоть 100 раз открывай страницу.

Кстати, если надо, я эту гадость сохранил - могу выслать архив.
rpbl3yH вне форума      
Старый 21.08.2012, 18:57   #15 (permalink)
Новичок
 
Регистрация: 01.04.2010
Сообщений: 40
есть такая папка))все сделал как в первом посте, вот только в автозагрузке его небыло. касперсикий 11 ноль эмоций даже когда в него этот файлик закидываю.
mitliza вне форума      
Старый 21.08.2012, 19:39   #16 (permalink)
Администратор
 
Аватар для MrDamian
 
Регистрация: 06.04.2011
Адрес: Москва
Сообщений: 6,911
Медаль 
Цитата:
Сообщение от rpbl3yH Посмотреть сообщение
Кстати, если надо, я эту гадость сохранил - могу выслать архив.
сархивируй и поставь пароль 1 (единичку) на архив. высылай на support@cgm.ru
MrDamian вне форума      
Старый 21.08.2012, 23:18   #17 (permalink)
Администратор
 
Аватар для regetx
 
Регистрация: 19.01.2011
Сообщений: 537
Отправить сообщение для regetx с помощью ICQ Отправить сообщение для regetx с помощью Skype™
Грызун, а поставить антивирус религия не позволяет?
Да и под админкой сидеть зачем?

Кстати, по статистике засвидетельствовано меньшее число зараженных компьютеров работающих на 64-битной системе.

А еще лучше, взять MacBook Pro с дисплеем Retina
regetx вне форума      
Старый 22.08.2012, 01:08     TS Старый   #18 (permalink)
Участник
 
Регистрация: 19.03.2009
Сообщений: 112
Цитата:
Сообщение от MrDamian Посмотреть сообщение
сархивируй и поставь пароль 1 (единичку) на архив. высылай на [Зарегистрироваться?]
отправил
rpbl3yH вне форума      
Старый 22.08.2012, 01:17     TS Старый   #19 (permalink)
Участник
 
Регистрация: 19.03.2009
Сообщений: 112
Цитата:
Сообщение от regetx Посмотреть сообщение
Грызун, а поставить антивирус религия не позволяет?
Платить за антивирусы религия не позволяет А бесплатные плохо защищают в реальном времени. Зато теперь могу любую заразу извести

Цитата:
Да и под админкой сидеть зачем?
Удобно.

Цитата:
Кстати, по статистике засвидетельствовано меньшее число зараженных компьютеров работающих на 64-битной системе.
Опять-таки, религия не позволяет покупать винду, а бесплатной хорошей 64-бит не видел.

Цитата:
А еще лучше, взять MacBook Pro с дисплеем Retina
А с этого места поподробнее, плиз. Уже антивирусные дисплеи придумали?
rpbl3yH вне форума      
Старый 22.08.2012, 01:38   #20 (permalink)
Администратор
 
Аватар для regetx
 
Регистрация: 19.01.2011
Сообщений: 537
Отправить сообщение для regetx с помощью ICQ Отправить сообщение для regetx с помощью Skype™
Название: gallery3_2256_640x342.jpg
Просмотров: 1056

Размер: 27.8 Кб
regetx вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Neteller! Внимание вирус! CGM.RU Новости, статьи, репортажи.. 0 30.01.2014 21:30
Вирус SKY_555 Программное обеспечение 5 04.09.2010 20:21
need help вирус PRoASiX Покер софт 12 05.07.2008 12:21
Внимание! Вирус Gpcode. Mariner Поговорим за жизнь 9 07.06.2008 17:11
ВНИМАНИЕ!! ВИРУС TTR Техническая поддержка форума 17 28.06.2007 23:57


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 01:48. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2019, vBulletin Solutions, Inc. Перевод: zCarot