dirnola
После исправления hosts оригинал помещается в Infected.!!!
После исправления hosts оригинал помещается в Infected.!!!
» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)
Цитата:
* Если адрес отправителя добавлен в "белый" список, письмо
не подвергается анализу на содержание спама. Однако если
доменное имя адресов получателя и отправителя письма
совпадают, и это доменное имя занесено в белый список с
использованием знака "*", то письмо подвергается проверке
на спам.
Угу, мой случай,- доменные имена совпадают. А както это отменить можна?
Цитата:
Угу, мой случай,- доменные имена совпадают. А както это отменить можна?
Только вводом в исключения конкретных адресов. Или создав свой ящик в другом домене.
Или общением по этому поводу с разработчиками. Хотя вроде бы такое поведение антиспама оправдывается тем, что излюбленным способом спамеров является использование в качестве отправителя и получателя адресов с одним доменом. Т.е. такая ситуация априори считается подозрительной.
Эта скотина после сегодняшнего обновления посчитала мюторрент трояном, и не смотря на настройки молча удалила.
l1720
ZloNik
У меня та же самая версия, что и на картинке, проверял там же - всё чистенько, заразы нет.
ZloNik
У меня та же самая версия, что и на картинке, проверял там же - всё чистенько, заразы нет.
Цитата:
Эта скотина после сегодняшнего обновления посчитала мюторрент трояном, и не смотря на настройки молча удалила.
Да, ложные срабатывания изредка бывают. И, видимо, оно уже было исправлено, т.к. UnYura сообщает, что сейчас уже детекта нет. Версия 1.8.5 вышла только что, и 1.8.4 при проверке пока что говорит, что более новых версий ещё нет. Т.е. автоматическое обновление ещё не включено. Обидно, конечно, но ситуация не неразрешимая, чтобы так уж явно изливать эмоции. Алгоритм в таких случаях такой:
1. Вносим файл в исключения в спайдере (чтоб не проверял этот файл);
2. Устанавливаем проблемную программу ещё раз;
3. Отправляем сообщение о ложном срабатывании сюда:
https://vms.drweb.com/sendvirus
UnYura
стоит лицензия и данный факт имеет место, на ноуте - журнальный ключ и на торрент не ругается. с чем связано, понятия не имею.
стоит лицензия и данный факт имеет место, на ноуте - журнальный ключ и на торрент не ругается. с чем связано, понятия не имею.
Vadimuss, угу, алгоритм именно такой там описан, что и я здесь написал. Все молодцы. Помните, что антивирус - это инструмент, он не может быть не сволочью, ни идиотом, ни гением 
Хотя некоторые и на молоток ругаются, которым по пальцам попали
Добавлено:
ZloNik, там, где детектится, произведите принудительное обновление баз. Либо на ноуте ещё базы с тех пор, пока ложняка ещё не было.
Хотя некоторые и на молоток ругаются, которым по пальцам попали Добавлено:
ZloNik, там, где детектится, произведите принудительное обновление баз. Либо на ноуте ещё базы с тех пор, пока ложняка ещё не было.
ValeryLedovskoy, пока детект есть (базы 10:09:16) 
Aleksandr_SHCH, да пока что тестируется соответствующее обновление.
http://live.drweb.com/
Запись Trojan.Inject.3717 удалится при выходе следующего апдейта.
http://live.drweb.com/
Запись Trojan.Inject.3717 удалится при выходе следующего апдейта.
ValeryLedovskoy
Делал, проверял..
Щас, ещё раз всё проделал, результат тот же.
Делал, проверял..
Щас, ещё раз всё проделал, результат тот же.
ValeryLedovskoy
IMHO, сообщение о «характере» DrWeb-a связано с этим:
Цитата:
А ложные срабатывания, конечно же, иногда случаются.
IMHO, сообщение о «характере» DrWeb-a связано с этим:
Цитата:
и не смотря на настройки молча удалила
А ложные срабатывания, конечно же, иногда случаются.
Цитата:
IMHO, сообщение о «характере» DrWeb-a связано с этим:
Цитата:
и не смотря на настройки молча удалила
Да, _лечение_ системы, если речь идёт о троянах, заключается в удалении соответствующих файлов. Такие ложняки случаются крайне редко. Сегодня вот случилось. И, как я уже сказал, одушевлять предметы свойственно многим людям в критической ситуации
ValeryLedovskoy
Да, «лучшее средство от насморка... гильотина». А ведь есть ещё и папка карантина (infected.!!!)
Да, «лучшее средство от насморка... гильотина». А ведь есть ещё и папка карантина (infected.!!!)
ValeryLedovskoy уффф, есть остатки вредоносных файлов по гадостной хрени "смс с кодом М21720009 на номер 8353"... почему остатки? потому что успел только к конечному этапу... знакомый сисадмин уже намеревался репэить поверх XP... успел прибежать и через LiveCD скинуть... щас доберусь до дома и подробно отрапортую... куда кстати кидать эти dll ?
ramzes83, правильно, только сейчас корректнее перейти на https:
https://vms.drweb.com/sendvirus/
https://vms.drweb.com/sendvirus/
ValeryLedovskoy
Захожу к админу в гости, а он борется с этой нечистью... как и все админы, которым некогда (гы), по-моему сценарию... mab не берёт, cureit вчерашний не берёт, livecd не берёт... значит, XP переустанавливать... а тут и я... на его примере сразу понял, где я на днях жестоко лопухнулся... папки то чистил под livecd... быстрее, поверхностно... потом загрузка в безопасном режиме, включение всех скрытых... и давай проводничком искать dll... какая наивность!!! ось вообще не слушается, а тут типа через explorer найдёте... фига, не видно... только через livecd!
вот тут я у него остатки зловреда и конфисковал... да, размеры 88098 от 24.04.2008
причём знакомый, услыша от меня про эту дату, снёс и winlogon.exe от 24.04.2008
ясен пень, потом winXPproSP3 запускаться не стал... акрониса-образа нет... так он сверху XP по "R" залил... и всё... тож оригинальный способ вернуть к рабочему дню секретарше комп... естественно, обновления только по-новому заливать...
с виду вроде всё работает... попросил его пока не обновлять, к сетке не подключать... мобыть ещё чего можно исследовать???
C:\Documents and Settings\User\Local Settings\Temp
в C:\windows следующая папка, не знаю причём или нет?
AC54E5443E42443CA91DA00A6974C592.TMP
C:\windows\system32
C:\windows\Temp
Под вторым пользователем - Администратор
в Documents and Settings следующая папка, не знаю причём или нет?
\Rawr\Rawr.exe_Url_cko4wvxsiwmmlib3jawv2obme5ytiby4\2.2.2.0
C:\Documents and Settings\Администратор\Local Settings\Temp
и в корне С: следующий файл
про который я писал, что при попытке удаления под (LiveCD) он только переименовывается 01..2..3...
-------------------------------------
УПС, пока я тут их рисовал мой SS закричал:
06-12-2009 22:45:53 [CR] (PID = 4164) ihfiy.dll - инфицирован Trojan.Winlock.521
06-12-2009 22:52:53 [CR] (PID = 3236) vbyrq.dll - инфицирован Trojan.Winlock.521
............................ и т.д.
так что лаборатория его почикала уже? как очередной Winlock.521...?
ну вот, а я старался
Захожу к админу в гости, а он борется с этой нечистью... как и все админы, которым некогда (гы), по-моему сценарию... mab не берёт, cureit вчерашний не берёт, livecd не берёт... значит, XP переустанавливать... а тут и я... на его примере сразу понял, где я на днях жестоко лопухнулся... папки то чистил под livecd... быстрее, поверхностно... потом загрузка в безопасном режиме, включение всех скрытых... и давай проводничком искать dll... какая наивность!!! ось вообще не слушается, а тут типа через explorer найдёте... фига, не видно... только через livecd!
вот тут я у него остатки зловреда и конфисковал... да, размеры 88098 от 24.04.2008
причём знакомый, услыша от меня про эту дату, снёс и winlogon.exe от 24.04.2008
ясен пень, потом winXPproSP3 запускаться не стал... акрониса-образа нет... так он сверху XP по "R" залил... и всё... тож оригинальный способ вернуть к рабочему дню секретарше комп... естественно, обновления только по-новому заливать...
с виду вроде всё работает... попросил его пока не обновлять, к сетке не подключать... мобыть ещё чего можно исследовать???
C:\Documents and Settings\User\Local Settings\Temp
в C:\windows следующая папка, не знаю причём или нет?
AC54E5443E42443CA91DA00A6974C592.TMP
C:\windows\system32
C:\windows\Temp
Под вторым пользователем - Администратор
в Documents and Settings следующая папка, не знаю причём или нет?
\Rawr\Rawr.exe_Url_cko4wvxsiwmmlib3jawv2obme5ytiby4\2.2.2.0
C:\Documents and Settings\Администратор\Local Settings\Temp
и в корне С: следующий файл
про который я писал, что при попытке удаления под (LiveCD) он только переименовывается 01..2..3...
-------------------------------------
УПС, пока я тут их рисовал мой SS закричал:
06-12-2009 22:45:53 [CR] (PID = 4164) ihfiy.dll - инфицирован Trojan.Winlock.521
06-12-2009 22:52:53 [CR] (PID = 3236) vbyrq.dll - инфицирован Trojan.Winlock.521
............................ и т.д.
так что лаборатория его почикала уже? как очередной Winlock.521...?
ну вот, а я старался
да да да))).. ссылка в избраном хранилась)) и при переходе перенаправила на https
Добавлено:
да да да))).. ссылка в избраном хранилась)) и при переходе перенаправила на https
Добавлено:
да да да))).. ссылка в избраном хранилась)) и при переходе перенаправила на https
Добавлено:
фак)... подвис)
Добавлено:
да да да))).. ссылка в избраном хранилась)) и при переходе перенаправила на https
Добавлено:
да да да))).. ссылка в избраном хранилась)) и при переходе перенаправила на https
Добавлено:
фак)... подвис)
ой какой у меня некрасивый пост получился... надо было картинки редактировать... извиняюсь, итак воскресенье, а ещё не отдохнул
ValeryLedovskoy
1. щас отошлю... плиз, возьми на личный контроль
2. пока доступ к знакомому есть, стоит ли его тормозить? хотя там винда поверх залита... и dll-ки сегодняшним SS ловятся
3. так окончательный вариант (или рекомендации) по лечению этого гада есть (или будет?) а то на mail.ru так и вопят про гада, типа тока ось переставлять
ValeryLedovskoy
1. щас отошлю... плиз, возьми на личный контроль
2. пока доступ к знакомому есть, стоит ли его тормозить? хотя там винда поверх залита... и dll-ки сегодняшним SS ловятся
3. так окончательный вариант (или рекомендации) по лечению этого гада есть (или будет?) а то на mail.ru так и вопят про гада, типа тока ось переставлять
Чего-то рубоард тормозит у меня сегодня...
dirnola, если уже детектится, то отсылать не надо. Отсылать следует то, что не детектится. На личный контроль взять не смогу, если отошлёте в вирлаб, ибо не в вирлабе работаю. Если что-то недетектящееся отошлёте, то можно сообщить номера запросов в вирлаб. Каждый файл необходимо отсылать отдельно.
dirnola, если уже детектится, то отсылать не надо. Отсылать следует то, что не детектится. На личный контроль взять не смогу, если отошлёте в вирлаб, ибо не в вирлабе работаю. Если что-то недетектящееся отошлёте, то можно сообщить номера запросов в вирлаб. Каждый файл необходимо отсылать отдельно.
ValeryLedovskoy понял, спасибо... но отошлю навсяк всё, тем более на офсайте:
Цитата:
бу-га-га, а эпопея продолжается: "вы нарушили лиц.соглашение подукта sNet SpeedBest Lite для продолжерния работы отравьте смс на номер 8353 с кодом М21720010"
итак, на смену
Ubest Netspeed Pro смс с кодом М21720009 на номер 8353
грядёт
sNet SpeedBest Lite смс с кодом М21720010 на номер 8353
-----------------------
три раза через левое...
Цитата:
На каждую заявку желательно отправлять только один файл, или же файлы, которые, по Вашему мнению, относятся к проявлению одной вирусной активности на Вашем компьютере
бу-га-га, а эпопея продолжается: "вы нарушили лиц.соглашение подукта sNet SpeedBest Lite для продолжерния работы отравьте смс на номер 8353 с кодом М21720010"
итак, на смену
Ubest Netspeed Pro смс с кодом М21720009 на номер 8353
грядёт
sNet SpeedBest Lite смс с кодом М21720010 на номер 8353
-----------------------
три раза через левое...
dirnola, я не думаю, что эпопея в ближайшее время закончится. Обычно заканчивается после того, как поймают зачинщика.
ValeryLedovskoy
да, смутьяна надо бы сдать... если погуглить, то ведь до этого попроще были винлоки: через отсчитанное время самоудалялись... или после sms полученный пароль срабатывал... навсегда и т.д.
а это чё?! кто-то отсылал sms... вместо заявленных 10 руб. сняли 600 руб... полученный пароль не убирает винлок... полное кидалово
интэресно, кто должен натравливать органы? Компания «Доктор Веб» или утопающие??
номер-то для sms известен!
вообще, не знаю есть судебно-уголовная практика... имхо, во всём виноваты телефонные провайдеры!!!! что блин за открытие номеров для платных sms?!?!?!
быль на днях: знакомая девочка получает sms от мегафона... типа трудности со связью... мы вас пока отключим до завтра... если есть вопросы звоните в супорт по телефону xxxxxxxxxxxx... она, ясен пень, недовольна, звонит на этот xxxxxxxxxxxx... мужской голос ей отвечает... да, есть трудности со связью... скоро исправим... гы, после этого звонка с её счёта (богатая) списали 1000 (тыщу) рублёв... она в мегафон, они ей: да, знаем, кто-то под нашим именем рассылает sms, следы ведут в такой-то город, ищем, разбираемся... мы не виноваты... мы ни причём ...и всё... на этом
---------------
и всё???? да, я блин этого провайдера удушил бы на её месте... sms-ка с подписью мегафона есть... деньги списал мегафон... за один звонок... на какой-то платный номер... а на каком основании??? я что давал разрешение на это??? и т.д.
да, смутьяна надо бы сдать... если погуглить, то ведь до этого попроще были винлоки: через отсчитанное время самоудалялись... или после sms полученный пароль срабатывал... навсегда и т.д.
а это чё?! кто-то отсылал sms... вместо заявленных 10 руб. сняли 600 руб... полученный пароль не убирает винлок... полное кидалово
интэресно, кто должен натравливать органы? Компания «Доктор Веб» или утопающие??
номер-то для sms известен!
вообще, не знаю есть судебно-уголовная практика... имхо, во всём виноваты телефонные провайдеры!!!! что блин за открытие номеров для платных sms?!?!?!
быль на днях: знакомая девочка получает sms от мегафона... типа трудности со связью... мы вас пока отключим до завтра... если есть вопросы звоните в супорт по телефону xxxxxxxxxxxx... она, ясен пень, недовольна, звонит на этот xxxxxxxxxxxx... мужской голос ей отвечает... да, есть трудности со связью... скоро исправим... гы, после этого звонка с её счёта (богатая) списали 1000 (тыщу) рублёв... она в мегафон, они ей: да, знаем, кто-то под нашим именем рассылает sms, следы ведут в такой-то город, ищем, разбираемся... мы не виноваты... мы ни причём ...и всё... на этом
---------------
и всё???? да, я блин этого провайдера удушил бы на её месте... sms-ка с подписью мегафона есть... деньги списал мегафон... за один звонок... на какой-то платный номер... а на каком основании??? я что давал разрешение на это??? и т.д.
dirnola, наша компания сотрудничает с правоохранительными органами, правда, подробности этого сотрудничества не обсуждаются.
От "утопающих" требуется побольше заявлений в милицию по факту заражений. Зачем, думаю, объяснять ненужно. Могу лишь намекнуть. Наши совместные действия с правоохранительными органами без официальных "утопающих" мало к чему могут привести.
Что касается блокировки конкретных платных номеров. При попытке обратиться к владельцу такого номера часто выясняется, что номер вполне легальный и используется для продажи... ну, например, мелодий для сотовых телефонов. И по "случайному" стечению обстоятельств код, который нужно отправлять, чтобы разблокировать систему, совпадает с кодом, соответствующим покупке самой дорогой мелодии Вот и всё, вот и приехали.
Добавлено:
Кстати, перед тем, как отправить любую смс-ку желательно почитать про номер, на который отсылаете. Например, на сайте http://smscost.ru.
Вот что по номеру 8353:
http://smscost.ru/number/8353
Очень много негативных отзывов, связанных с мошенничеством.
От "утопающих" требуется побольше заявлений в милицию по факту заражений. Зачем, думаю, объяснять ненужно. Могу лишь намекнуть. Наши совместные действия с правоохранительными органами без официальных "утопающих" мало к чему могут привести.
Что касается блокировки конкретных платных номеров. При попытке обратиться к владельцу такого номера часто выясняется, что номер вполне легальный и используется для продажи... ну, например, мелодий для сотовых телефонов. И по "случайному" стечению обстоятельств код, который нужно отправлять, чтобы разблокировать систему, совпадает с кодом, соответствующим покупке самой дорогой мелодии
Вот и всё, вот и приехали. Добавлено:
Кстати, перед тем, как отправить любую смс-ку желательно почитать про номер, на который отсылаете. Например, на сайте http://smscost.ru.
Вот что по номеру 8353:
http://smscost.ru/number/8353
Очень много негативных отзывов, связанных с мошенничеством.
ValeryLedovskoy
Цитата:
Цитата:
Цитата:
спасибо за криминальное чтиво
Цитата:
http://smscost.ruмдя... масштабно... и хотя, с одной стороны, типа "хочу поделиться опытом в борьбе с мошенниками"... имхо, всёж без завязок с самими телефонными провайдерами тут не обходится... плюс возможно "отечественная" специфика:
Цитата:
8353 сервис не может работать без прикрытия высокопоставленных сотрудников МВД (квалифицированный вид мошенничества + еще ряд тяжких статей). Именно этим и объясняется его живучесть.
Цитата:
Видно у этих козлов крутая милицейская крыша раз они ТАКОЕ КОЛИЧЕСТВО ВРЕМЕНИ занимаются мошенничеством безнаказанно и обманули уже десятки тысяч людей.
спасибо за криминальное чтиво
Цитата:
При попытке обратиться к владельцу такого номера часто выясняется, что номер вполне легальный и используется для продажи... ну, например, мелодий для сотовых телефонов.
Нужно искать не владельца номера, а владельца "префикса". Т.к. агрегатор может один и тот же номер раздать нескольким "владельцам", но с разными префиксами.
ИМХО.
Цитата:
Нужно искать не владельца номера, а владельца "префикса".
Под префиксом Вы здесь понимаете текст сообщения? Ибо префикс - это то, что идёт до чего-то. Не вполне понятно.
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869
Предыдущая тема: Opera (часть 12)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.