Воскресенье, 04 мая 2008
00:01 

Хорош праздничек :)

Hikedaya
Hikedaya
Rise and shine!

Я довольно много читал о трояне под названием Пинч (Pinch). Эта зверушка специализируется на краже конфиденциальной информации. Распространяется через ICQ, да и не только через нее, обладает несметным множеством вариантов, но часть имени Pinch - неизменна. Но никогда ранее не доводилось сталкиваться с ним нос к носу. Что ж, все когда-то бывает впервые, иногда прямо с утра.
Итак, если к вам приходит сообщение вида:
---
Смотри!
< Ссылка на сайт > (< Та же ссылка + рандомное имя файла.zip >;)
Классная вещь!
---
можете быть уверены, ваш корреспондент его не отсылал - это и есть проявление троянца. Ответное действие - тут же любым доступным методом уведомить корреспондента о заражении его машины. В моем случае это выглядело вот так:
обнаружено: троянская программа Trojan-PSW.Win32.LdPinch.gki URL: http: // bpmeye.com / top / chief.zip / chief.scr



Ну а к теме праздника... как было хорошо сказано - С Пасхой всех, к кому она пришла. (с) Э.Р.

! UPDATE 04.05.2008!
Как показала дальнейшая проверка, троян там не один. Вот что выдал Касперский при сканировании HTTP-потока в целом:
обнаружено: троянская программа Trojan-Spy.HTML.Prikolfraud.b URL: http: // co-opworld.com / new / top /



Поскольку из статистики видно, что на страницу люди попадают через поисковые машины с запросом "найди мне все, что касается имени этого сайта" предлагаю всем - в комментариях указывать, на какой сайт вас решил пинч из ICQ отправить. Этот пост будет подниматься по дневнику вверх по мере появления новых имен. На данный момент список выглядит следующим образом:
http: // bpmeye.com / top /
http: // co-opworld.com / new / top /
http: // avoscotes.net / component / top10 /
http: // ipnick.com (Updated 02.06.2008)

Формат приглашения:
Привет, смотри!!! :)
< Ссылка на сайт > + (возможно) < ссылка на zip-архив на этом сайте >
Классная вещь! :-)

P.S. Для любопытных - подкинули мне хорошую диаграммку, которая показывает, что именно ворует пинч, весьма занятно.

Рекомендуется посмотреть, где из перечисленного списка у вас сохранены пароли и вычистить их оттуда. Во избежание, так сказать ;)

запись создана: 27.04.2008 в 09:04

@музыка: Stone Age - Perceval

@темы: Security, Viruses and Spam

URL
Комментарии
2008-04-27 в 14:38 

Гость
Оперативнинько как, полчаса назад я gki спалил перед Касперским, а уже в блогах запись :)

URL
2008-04-28 в 08:17 

Госпожа Ия-тян
Госпожа Ия-тян
Сюрреализм это я! Ибо я один способен развивать его дальше! С.Дали
Пришла, пришла куличиком через FTP протокол угостить?

URL
2008-04-28 в 08:55 

Hikedaya
Hikedaya
Rise and shine!
Госпожа Ия-тян Куличиком с начинкой из Пинча вместо изюма? Нууу, в этом что-то есть, определенно. Вот только одна лажа - сегодня уже не Пасха, а мессаги все приходят. Стало быть, человек свою систему еще не вычистил, в этот раз гадость осела здесь:
---
28/04/2008 (04:57 GMT +03:00)
Привет, смотри!!! :)
http: // co-opworld.com / new / top /
Классная вещь! :-)
---
С такими темпами мне куличи уже некуда складывать будет.

URL
2008-04-28 в 13:55 

Гость
а чем чистить то посоветуете?

URL
2008-04-28 в 20:11 

Hikedaya
Hikedaya
Rise and shine!
Гость Как это ни странно - касперским, в "оффлайн-режиме", как я это называю.
Метод заключается в следующем. Из установленного на чистом компьютере Антивируса Касперского версии 6 делается образ загрузочного диска. Создается он при помощи утилиты PE Builder, штука мудреная, но сам антивирус делает это в автоматическом режиме.
В процессе создания образа туда закидываются все находящиеся в этот момент на компьютере антивирусные базы. После того, как образ готов, его записывают на болванку, а затем... затем просто запускают систему прямо с этого диска и проводят глубокое сканирование файлов на винчестере.
Предупреждение. Для того, чтобы избавить систему от зловредов, перед началом сканирования мне пришлось выставить следующее:
По обнаружении удалять без запроса.
В противном случае антивирус отказывался удалять файлы после сканирования. Чем это вызвано, я не знаю до сих пор.

В дополнение к сканированию антивирусом можно посоветовать прогон таких утилит, как AVZ и HiJackThis. Но их применение требует более глубоких знаний в области работы операционной системы, нежели применение антивирусного сканера.

URL
2008-04-29 в 10:05 

Гость
Мне от начальника пришло такое сообщение, явно не соответствующее его манере писать, много восклицательных знаков, улыбочки которые он никогда не ставит. Первым делом задал поиск что кто знает про сайт "co-opworld. com" ну и сразу вышел на эту страницу. Теперь нужно комп у начальника чистить.

URL
2008-04-29 в 10:16 

Hikedaya
Hikedaya
Rise and shine!
Гость Поздравления вашему руководителю - вполне возможно, что его номер аськи уже украден. Особенно учитывая тот факт, что руководство, как правило, не любит каждый раз пароли вводить, а потому их сохраняет в программе.

URL
2008-04-29 в 10:19 

Гость
Hikedaya Начальник приехал и говорит что ноут не включал после 8 вечера, а сообщение пришло в 5 утра. Возможно отправить было сообщение мне от его имени, но тогда должна быть украден список пользователей у кого то другого, там где есть и он и я.

URL
2008-04-29 в 11:54 

Hikedaya
Hikedaya
Rise and shine!
Гость В пять утра, говорите?...
28/04/2008 (04:57 GMT +03:00)
Привет, смотри!!! :)
http: // co-opworld.com / new / top /
Классная вещь! :-)
А ведь это тоже пять утра... тогда получается, что зловред действует на всех зараженных машинах в одно и то же время. Эх, жаль, что у меня в логах не сохранилась самая первая посланка, на работе логи аськи я не храню.
Интересно, а самому руководителю такая дрянь приходила, или нет?

URL
2008-04-29 в 17:30 

Гость
Привет вам всем,седня в 19.15 пришла эта хреновина Привет, смотри!!!
http: // co-opworld.com / new / top /
Классная вещь! :-)

я не зная что это,и не уточнив у отпровителя полез посмотреть.....и что?и нарвался на трояна.Мой касперский её обнаружил и выдал предупреждение,я не стал дальше принимать открытие ссылки....возможно ли что вирус проник в мой комп?...а потом я заглянул сюда на страничку и из прочитанного узнал что и как,спасибо:-)

URL
2008-04-29 в 17:31 

Гость
причем время местное,а по москве 17.15......(добавление к выше написанному)

URL
2008-04-29 в 20:03 

Hikedaya
Hikedaya
Rise and shine!
Гость Если каспер остановил загрузку ссылки и выдал предупреждение о трояне, после чего вы отменили загрузку страницы - этот троян на комп не пролезет точно. Но если на странице сидят еще какие-либо зловреды, а антивирус их пропустил (очень редко, но и с касперским такое бывает) - тогда "ой...". В любом случае, на будущее - проверяйте ссылку перед тем, как по ней попробовать зайти. Самым простым методом проверки может быть запрос отправившему ее - а действительно ли он эту ссылку отправил. Поскольку в логах отправителя действия Пинча не светятся, проверка будет легкой и быстрой.

URL
2008-04-29 в 20:09 

Hikedaya
Hikedaya
Rise and shine!
Хм... а ведь мне самому дико повезло, потому как ссылку я открыл практически сразу по получении, тоже не проверял ее:
Malware name - Trojan-PSW.Win32.LdPinch.gki
Detection time - 27.04.2008 01:28
Update release time - 27.04.2008 04:56
А ко мне он прикатил в 9 часов с копейками... свежатинка, однако...

URL
2008-04-29 в 22:44 

Гость
а извесно, что вирус делает?

URL
2008-04-29 в 23:17 

Hikedaya
Hikedaya
Rise and shine!
Гость В своем базовом варианте Пинч воровал пароли. Воровал и отсылал их создателю трояна. Позже в инете нашлись заметки о том, что трояна этого сделали многофункциональным. Какими функциями его "облагораживают" в каждой новой версии - остается только гадать. Но поскольку Касперский обнаруживает все версии Пинча под одной сигнатурой (Trojan-PSW.Win32.LdPinch) - функции его следующие:
Trojan - вирусный код встроен в какое-либо легитимное приложение.
PSW - воровство конфиденциальных данных
Win32 - 32-битное windows-приложение (каковых сейчас большинство)
LdPinch - сигнатура вируса (общая для всех)
gki в нашем примере - модификация вируса.
Примечательно, что для рассматриваемой версии Пинча на вирус-листе описания еще нет, слишком молодой еще. А для того, чтобы получить представление о действиях Пинча, можно пройти сюда, тут лежит описание одной из его более старых модификаций: Trojan-PSW.Win32.LdPinch.cgi

URL
2008-04-29 в 23:35 

Гость
и у меня по всему контакту сегодня прошлась!!!!!!!!!!!!!!!!!!!

URL
2008-04-29 в 23:43 

Гость
ммм, как руками удалить?)

URL
2008-04-29 в 23:58 

Hikedaya
Hikedaya
Rise and shine!
Гость Сочувствую. Как его уничтожить - выше уже написано. Если милее ручной метод... тут интереснее. По идее - почти всегда в этом случае подразумевается работа с реестром, так как именно там хранятся все ссылки на автоматический запуск программ. А пинч именно этим и живет. Проблема в том, что ключей автозапуска в Windows - с десятка три-четыре, все их вряд ли кто вспомнит сразу. Есть полуавтоматический вариант - на сайте компании TrendMicro лежит специальная утилита под названием HiJackThis. Весьма полезный инструмент, позволяющий отследить находящиеся в системе нежелательные процессы, ссылки и тому подобное. Забрать утилитку можно отсюда.
После того, как утилита будет загружена, запускаем ее, и смотрим, что она покажет. Обычно она говорит, что запущено, из какого ключа реестра это запущено и т.п. Если у вас есть опыт общения с реестром Windows - проблем определить нелегитное приложение не составит труда. В противном случае... вы и сами можете догадаться, к чему это может привести.
Кстати говоря, HiJackThis не всесилен, как, впрочем, и антивирусы.
И кстати, рекомендация всем - несмотря на то, каким антивирусом вы пользуетесь, спасательный диск каспера лучше иметь под рукой, причем со свежими базами. Если нужна инструкция по обновлению оных - напишу следующим комментарием.

URL
2008-04-30 в 00:39 

Гость
Hikedaya, спс за полезную прогу, но ничего там подозрительного не нашел... вообще вручную нашел только 1 след от вируса, это wmplayer.exe в папке temp. удалил... ) вроде никому не отсылал сообщения, думаю что ве норм)

URL
2008-04-30 в 00:46 

Hikedaya
Hikedaya
Rise and shine!
Гость не за что. Но оффлайн проверку я бы провести все же порекомендовал. Что поделать - паранойя - естественное состояние при моей работе :) Ну а там по нарастающей - Firewall, HIPS и тому подобное... Паранойя... ;)

URL
2008-04-30 в 14:15 

Гость
большое спасибо, а то я сильно пере испугался
удачи!

URL
2008-04-30 в 14:17 

Гость
касперский нашел троян Trojan-PSW.Win32.LdPinch.sez
это тот же самый троян, про который здесь говорят.
з.ы. как вирус мог проникнуть на компьютер, если пришло только это сообщение, но я не заходил по этой сслыке?

URL
2008-04-30 в 18:56 

Hikedaya
Hikedaya
Rise and shine!
Гость Нет, LdPinch.sez - это более старая модификация зловреда. Была обнаружена Лабораторией Касперского еще 30 марта. Уточнить можно один момент - после чего антивирус выдал алерт о наличии заразы на компе?

URL
2008-05-02 в 12:50 

Гость
Сегодня пришло по асе где то в 13.00
"Привет, смотри!!!
co-opworld.com/new/top/30/
Классная вещь! "
Сразу почувствовал неладное, спасибо предупридили, нашел вас по яндексу.

Странно что еще в 2 блогах есть ссылки на эту страницу с сообщением "Прикольный сайт,много стеба.
co-opworld.com/new/top/30/"

URL
2008-05-02 в 15:04 

Hikedaya
Hikedaya
Rise and shine!
Гость Интересная ситуация вырисовывается. Пользователь sosweet4u намеренно оставляет ссылку на своем дневнике, а также в каком-то сообществе. Является ли он ничего не подозревающей жертвой, или наоборот, зачинщиком этого бардака - неясно. Как бы то ни было, предупреждение я на том дневнике оставил, понаблюдаю за реакцией.

URL
2008-05-02 в 19:14 

ritor
ritor
Хаотичный нейтрал.
(20:47:55 29/04/2008)
Привет, смотри!!! :)
http:// co-opworld.com/new /top/10/
Классная вещь! :-)


по ссылке касперь обругался(тогда):
the URL: http:// co-opworld.com /new/top /10/

The folowing error was encountered:
The requested object is INFECTED. The following viruses Trojan-Spy.HTML.Prikolfraud.b were found

причём зараженный юзер - со смарта работает, вроде бы.

URL
2008-05-02 в 19:32 

Hikedaya
Hikedaya
Rise and shine!
ritor Этот мне уже известен. Там весь подкаталог \top - носитель заразы, не только каталог \10 или \30 или еще что-либо.

URL
2008-05-02 в 23:33 

Гость
блин мне тоже пришло
причем от знакомого по дурости я его включил nod32 и фаерволл ничего не сказали
видать уже поздно пить боржоми?
система вынь 2003

URL
2008-05-02 в 23:47 

ritor
ritor
Хаотичный нейтрал.
о, я не один такой извращенец-дома с 2003 серваком работать? %)

URL
2008-05-02 в 23:56 

Гость
та да
незнаю но он мне както более внушает доверия))))
все бы ничего но этот пинч гавнюк

URL
2008-05-03 в 00:59 

Hikedaya
Hikedaya
Rise and shine!
Гость Если работаете под администраторской учетной записью - не имеет значения, какая операционка стоит. Для пинча же вообще неважно, какого типа учетка загружена в данный момент. Он лезет в пользовательские данные. Совет - просканировать компьютер на наличие этой дряни, а после этого сменить пароли на все ресурсы. Чем быстрее - тем лучше.
Что же до НОД32 и файрволла... не буду разводить очередную священную войну, что лучше, а что хуже из антивирусов, но скажу, что в данной ситуации любой файрволл будет бессилен - закачка идет через доверенное приложение (браузер) при помощи доверенного же действия (обращение к серверу через порт 80).

URL
2008-05-03 в 19:16 

Гость
как его ручками удалить?

URL
2008-05-03 в 23:04 

Гость
(18:00:49 13/04/2008)
Привет, смотри!!! :)
avoscotes.net/component/top10/
( avoscotes.net/component/top10/chief.zip )
Классная вещь! :-)

03/05/2008 (01:54 GMT +02:00)
Привет, смотри!!! :)
co-opworld.com/new/top/30/
Классная вещь! :-)

это дрянь еще с середины апреля ходит, и продолжает расползаться, первый раз когда получил ссылку, подозрителен стал этот прикол, видео чтобы весило килобайты да еще и в зип архив закинуто, ну скачал по глупости но преждем чем открыть проверил на вирусы архивчик, какой точно там троян оказался не помню, снес и думал проблема решена, но как оказалось вирус еще был и на самом сайте, просканировал комп каспером 5-ым, нашел его родимого, Trojan-Spy.HTML.Prikolfraud.c
Правда вероятно от того что у меня qip установлен на диске Е троян его не нашел и рассылать от меня ничего не стал

URL
2008-05-04 в 00:15 

Hikedaya
Hikedaya
Rise and shine!
Гость 1 Хороший вопрос. Лично мне неизвестны все места, где может эта дрянь прописаться. Но поскольку она стартует вместе с запуском системы, логично поискать ее следы в реестре. В этом может помочь программа HiJackThis, ссылка на нее уже была здесь приведена. Троян можно определить также по наличию исполняемых файлов в нетипичных для них местах, самый яркий пример - файл с названием svchost.exe, лежащий в каталоге Documents and Settings или в любом из его подкаталогов. В качестве еще одной цели можно предположить наличие файла ntos.exe, там же, между прочим.
Единственная точная рекомендация, которую можно дать - предотвращать возможность появления заразы на компе. Это проще, чем потом ее изводить.

Гость 2 За сайт avoscotes - спасибо, пост обновил. Что до папки QIP и ее расположении - вас спасло не это. Во-первых, троян не сумел проникнуть на ваш компьютер, так как был остановлен антивирусом. Во-вторых - к вам пытался пролезть не пинч, а нечто другое, причем даже более древнее, чем мой экземпляр (если предположение об индексах в конце имени заразы верное - чем старше буква, тем моложе зловред)

URL
2008-05-04 в 07:26 

Рии-хард
М-да нелегко... в архиве такую же гадость выловили....

URL
2008-05-04 в 07:51 

Госпожа Ия-тян
Госпожа Ия-тян
Сюрреализм это я! Ибо я один способен развивать его дальше! С.Дали
Надо всех пинчей дихлофосом и тапком как тараканов, кстати куличики с изюмом были:) Были потому, что их давно сьели.

URL
2008-05-12 в 00:54 

Гость
Ув. собеседники. мною был скачан файл chief.zip с одного из вышеперечисленных сайтов. Архив просмотрел увидел подозрительный файл, закрыл удалил...
При скачке, переходе, открытии НОД неоднократно ругался... файл (архив) поместил в карантин... в логах пишется что соединение по данному адресу было закрыто...

Вопрос.
какова вероятность инфицирования? можно ли нодом вылечится?

URL
2008-05-12 в 01:13 

Hikedaya
Hikedaya
Rise and shine!
Гость Скажу честно - в случае с установленным НОДом - не знаю, так как не пользуюсь этим антивирусом. Ситуация очень сильно зависит от того, на какую именно ссылку вы щелкали. Если прямиком на архив, а в процессе скачивания, копирования, открытия архива (именно архива, не его содержимого!) антивирус ругался и уверял, что в архиве находится зараза, и вы все же вняли совету программы и не стали открывать содержимое архива - то заразы не будет. Если же после щелчка по ссылке вы вышли на сайт... тут я могу только гадать.
В любом случае - оффлайн проверка, это первое, что я могу предложить.

URL
2008-05-12 в 08:35 

Гость

Ув. собеседники. мною был скачан файл chief.zip с одного из вышеперечисленных сайтов. Архив просмотрел увидел подозрительный файл, закрыл удалил...
При скачке, переходе, открытии НОД неоднократно ругался... файл (архив) поместил в карантин... в логах пишется что соединение по данному адресу было закрыто...

Вопрос.
какова вероятность инфицирования? можно ли нодом вылечится?

----------------------------

Гость Скажу честно - в случае с установленным НОДом - не знаю, так как не пользуюсь этим антивирусом. Ситуация очень сильно зависит от того, на какую именно ссылку вы щелкали. Если прямиком на архив, а в процессе скачивания, копирования, открытия архива (именно архива, не его содержимого!) антивирус ругался и уверял, что в архиве находится зараза, и вы все же вняли совету программы и не стали открывать содержимое архива - то заразы не будет. Если же после щелчка по ссылке вы вышли на сайт... тут я могу только гадать.
В любом случае - оффлайн проверка, это первое, что я могу предложить.

Чтож, сканил комп тем же нодом, антивирусные базы самые последние. Показаний о том что комп чем либо болеет не нашлось. Кстати, уважаемые юзеры, советую вставить поисковик троянов AD-Aware вроде бы... он прекрасно работает с другими антивирами но расчитан правда на поиск и убиение именно троянов.
Т.к. нод не находит пока ничего, просканю AD Aware и отпишусь здеьс тогда.

URL
2008-05-13 в 08:58 

Гость

Чтож, сканил комп тем же нодом, антивирусные базы самые последние. Показаний о том что комп чем либо болеет не нашлось. Кстати, уважаемые юзеры, советую вставить поисковик троянов AD-Aware вроде бы... он прекрасно работает с другими антивирами но расчитан правда на поиск и убиение именно троянов.
Т.к. нод не находит пока ничего, просканю AD Aware и отпишусь здеьс тогда.

Просканил и Ad-Aware. Результат откризательный, т.е. инфекции на компе не обнаружил. Так же, в НОДе есть такая удобная штука, добавление ссылок с целью их последующего блокирования. Защита стоит на всех антивирах (NOD32 & Ad-Aware) по максимуму. Пробовал переходить по зараженным ссылкам в целях эксперимента. Начинают вопить как сумасшедшие и тут же блокируют всё...

Считаю что одного антивира (+брандмаузер) не хватает. Юзайте народ дополнение защиты в виде таких прог как Ad-Aware или его аналог Spy Emergency.

ПЫ. СЫ.
На компе нету брандмаузера (стоит тока тот что виндовый)
Установлен NOD32 3.0.621.0
Установлен Ad-Aware 2007 Pro

URL
2008-05-13 в 10:32 

Hikedaya
Hikedaya
Rise and shine!
Гость Считаю что одного антивира (+брандмаузер) не хватаетСчитаю что одного антивира (+брандмаузер) не хватает
На самом деле не все так категорично. Этих двух средств вполне может хватить, если соблюдать одно нехитрое правило - не лазить туда, куда не следует. Но уж если залезли в дебри - вот тогда да, параноидальный режим с максимальными ограничениями может помочь, и то не факт :)

URL
2008-05-16 в 20:50 

Гость
Ха блин, сегодня от меня были отправлены такие сообщения по списку. Я заражен.
Что делать? ААААААА

URL
2008-05-17 в 02:41 

Hikedaya
Hikedaya
Rise and shine!
Гость Что делать - как раз известно. Прежде всего - перестать паниковать ;) Пинч - это еще не конец света.
Как я уже неоднократно писал - лучшим средством при удалении этой мерзости может стать оффлайн проверка. Выполняется либо с загрузочного диска Касперского, либо просто вынимается винт, тащится на машину с установленным антивирусом, цепляется как второй жесткий диск и проверяется. После уничтожения всех экземпляров заразы винт можно водворять на место.
Почему именно оффлайн проверка? Я параноик, а такой метод в большей степени отвечает критериям параноидальности, нежели все остальные, за исключением, пожалуй, полного форматирования раздела ;)

URL
2008-05-18 в 10:40 

Гость
ПРИВЕТ ВСЕМ!Я ТОЖЕ ПОЛУЧИЛ ТАКУЮ ССЫЛКУ НУ ДРУГА.ВОПРОС ТАКОЙ Я ВЫХОЖУ В АСЮ СОТОВЫИ МОГУ ЛИ Я ЧЕМ ЛИБО ЗАРАЗИТЬСЯ И КАК?ЗАРАНЕЕ СПАСИБО!

URL
2008-05-20 в 11:43 

Гость
Это ппц.Как лох повелся на эту хрень.Очень обидно...Причем пришло давно,я как то внимания не обратил...А у меня все пароли от асек друзей на компе...Чую плохо будет...

URL
2008-05-20 в 11:52 

ritor
ritor
Хаотичный нейтрал.
O_o

неужели это рассуждениятипичного пользователя?.. ужос какой -_-

URL
2008-05-20 в 18:47 

Гость
мдя, щас с моей старой аськи мне пришло... мне кажется, что он себя не оставляет в системе, 1 раз запускается при скачивании, делает свои черные дела и закрывается. так что советую пароли сменить.

URL
2008-05-21 в 10:10 

ritor
ritor
Хаотичный нейтрал.
+1

Привет, смотри!!!
http:// ipnick.com/top10/
Классная вещь!

URL
2008-05-23 в 10:35 

Гость
+1 к ipnick только в папке top50

URL
2008-05-24 в 14:52 

Гость
Мне какая-то сука закинула файл chief.zip (ссылку не дам, мало ли :)) оказался Троян - мутированный Вин32, самое обидное - это было во френд ленте ЖЖ - но я тот день просмотреть не могу, большее 1000 постов назад, и по поисковым словам не могу вычислить. Там было что-то типа "Босс наказывает нерадивого клерка" - не могу найти :(

URL
2008-05-24 в 14:53 

Гость
Именно!
http:// ipnick.com/top10/

Мне какая-то сука закинула файл chief.zip, оказался Троян - мутированный Вин32, самое обидное - это было во френд ленте ЖЖ - но я тот день просмотреть не могу, большее 1000 постов назад, и по поисковым словам не могу вычислить. Там было что-то типа "Босс наказывает нерадивого клерка" - не могу найти :(

URL
2008-05-24 в 20:35 

Гость
Я правильно, что любые вирусы (пинчи, трояны) могут попасть на комп даже если не запускал никаких файлов, а просто посетил какой -либо сайт?
Например, мне пришла ссылка на http:// ipnick.com/top50/
Что это м.б. вирь, я почуял :) Поэтому зашел только по следующей ссылке: http:// ipnick.com
Ничего не загружал. Было пусто.
Т.е. я гарантированно ничем не заразился?
Заранее спасибо.

URL
2008-05-29 в 13:27 

Гость
у меня Каспер (InternetSecurity) заблокировал данную страницу
(ipnick.com/top50/)

А САМО СООБЩЕНИЕ ПРИШЛО С АСЬКИ НА СОТОВОМ (нокиа н70)

URL
2008-05-31 в 14:22 

Гость
Привет!
а мне вот такое прислали:

Привет, смотри!!! :)
ipnick.com/top20/
Классная вещь! :-)

Каким-то магическим образом хватило моска не открывать. Пришло через аську человека, которого обычно днем в субботу на работе нет, плюс вообще редко с ним пишусь, потому что он владелец сайта. На этот сайт размещаю новости, когда сайт вдруг не размещает (висит, не грузицца) только тогда списываюсь с этим человеком.
В общем, отношения нельзя назвать дружескми, поэтому сначала залепила часть ссылки в поисковик и нашла ваше описание.
СПАСИБО ОГРОМНОЕ! :five:

URL
2008-06-04 в 00:21 

Гость
Hikedaya Привет!!!
цитата «P.S. Для любопытных - подкинули мне хорошую диаграммку, которая показывает, что именно ворует пинч, весьма занятно.

Рекомендуется посмотреть, где из перечисленного списка у вас сохранены пароли и вычистить их оттуда. Во избежание, так сказать ;) »

Дай пож-та ссылку на эту диаграмму, надо срочно посмотреть, где из перечисленного списка у вас сохранены пароли и вычистить их оттуда. Потому что я подцепил этот вирус((( с этого адреса http: // ipnick.com/top20/
Вот история: в общем у меня два номера icq, 1-й семизнак, 2-й обычный 9-знак,......дней 7 назад от сестренки пришло такое сообщение "Классная вещь......" вот, я думаю посмотрю, всё таки от сестры же...запустил и ничего не произошло, я подумал не открылось и бросил это дело.....
..а теперь самое главное, вчера запустил 1-й семизнак, а на втором 9-знаке поставил скрытый.......сижу и бай на 2-ом пишет "Ваш номер/парль исп-ся на др. ком-ре...", я опять нажал "В сети", через секунд 2-3 опять иа же надпись.....и так раз 10 я пытался бороться с вирусом))....потом пишет "Превышено число подключений"........через 30 минут, попробовал запустить - пошло....и тут посыпались сообщения, типа "Нафиг вирусы шлёшь" и т.д................а кто то попался и пишет "Не открывается!!!))) (заразился)"
Главное когда у меня отключился 9-знак, в 7-знаке показывает что я в сети.....значит троян сам заходит на сервер и отправляет сообщения и следовательно Хацкер написавший трояна тоже владеет паролем(((((

КАКИЕ ПАРОЛИ ЭТОТ ТРОЯН МОЖЕТ ЗАПОЛУЧИТЬ??? Пожалуйста напишите!! И где он прописывается в системе !!! СПАСИБО!

URL
2008-06-05 в 13:18 

Hikedaya
Hikedaya
Rise and shine!
Гость Дай пож-та ссылку на эту диаграмму, надо срочно посмотреть, где из перечисленного списка у вас сохранены пароли и вычистить их оттуда.
Прямая ссылка на диаграмму выглядит вот так:
www.ixbt.com/cm/kaspersky-summit2k7/trvor.gif
Если по каким-то причинам у вас не открывается данное изображение, вот что на нем перечислено:
IE, Outlook Express, Firefox, Opera, CuteFTP, FAR, The Bat, MS Outlook (полный), Mail.ru Agent, Eudora, Thunderbird, ICQ, Miranda, Trillian, GAIM, MSN Messenger и др.
Как видите, список достаточно обширен.
Учитывая огромное количество зараженных русскоязычных пользователей, рискну предположить, что в этот список попадает и QIP, поскольку данный клиент ICQ по некоторым обзорам используется по нашей стране больше всего. И тот факт, что в списке его нет, мало, о чем может сказать.

URL
2008-06-08 в 17:09 

Гость
Сегодня включив асю получила от друга сообщение:
Привет, смотри!!! :)
httр://ipnick.com/top5/
Классная вещь! :-)

Прочитав поняла что что-то не то, по манере разговора, ну не ставит обычно человек восклицательные знаки в переписке. Потом вспомнила, что сегодня, общаясь по телефону, он заметил что выскочило сообщение мол ваша аська испльзуется на другом компьютере..но както внимание не обратил, ну может из знакомых кто зашел...Ну и какраз если посмотреть по времени в тоже время сообщение мне и пришло, я была оффлайн.
Это значит что у человека от которого я получила эту вредную ссылку на компьютере вирус, или же взломали аську?
P.S Спасибо что разместили такой замечательный пост)) Я вбила в яндекс адрес сайта прежде чем заходить)
Лучше лишний раз не поленитесь, вбивайте в поисковик все незнакомые ссылки, целее будете))

URL
2008-06-08 в 18:28 

Hikedaya
Hikedaya
Rise and shine!
Гость Это значит что у человека от которого я получила эту вредную ссылку на компьютере вирус, или же взломали аську?
В данном случае ваш корреспондент поймал вирус. Если быть точнее - троянскую программу, которая пароли ворует. Этот же троян и сообщения рассылает. Если человек увидел сообщение о том, что его номер используется еще кем-то, значит его пароль уже на стороне - менять сразу же.

он заметил что выскочило сообщение мол ваша аська испльзуется на другом компьютере..но както внимание не обратил, ну может из знакомых кто зашел...
А вот это по меньшей мере странно. Для чего передавать данные своего номера еще кому-то? Нет, такого подхода я никогда не пойму...

URL
2008-06-08 в 19:29 

Гость
Hikedaya, мне пришло :
Привет, смотри!!!
ipnick.com/top5/
Классная вещь!

липа-сайт обновился, я по дурости открыл, скачал,извлёк из архива,запустил, но ничё не заметил, теперь знаю что это пинч, сразу поменял пароли в асе и агенте, возможно ли то что у меня всё равно угонят пассы ?

URL
2008-06-08 в 21:13 

Hikedaya
Hikedaya
Rise and shine!
Гость возможно ли то что у меня всё равно угонят пассы ?
Возможно, если троян до сих пор в системе. А есть он там или нет - может показать только антивирусная проверка. Что, собственно, и рекомендую провести. Если ничего не найдется - поменять пароли еще разок, для пущей уверенности.

URL
2008-06-08 в 21:48 

Гость
Hikedaya,спасибо, но вот у друга эта модификация вируса палится KIS 7, а у меня нод32 v3 и ничего не видно.
у него каспер спалил вирь когда он заходил на сайт.

Вируса в системе думаю не должно быть потому что вирь создаёт в C:\Temp файл wmedia.exe, а я его стёр сразу же.
завтра поставлю каспер или сделаю реинсталл винды

URL
2008-06-08 в 21:54 

Hikedaya
Hikedaya
Rise and shine!
Гость у друга эта модификация вируса палится KIS 7, а у меня нод32 v3 и ничего не видно
Вот именно поэтому стоит иметь в загашниках загрузочный диск с каспером на нем. Делается он стандартными средствами самого антивира, в седьмой версии так точно эта функция есть. Ну и периодически базы вручную на этом диске обновлять - задача тривиальная. НОД хорош, но если идет работа в опасной среде, то лучше полагаться не на один антивир, а на целую их пачку.

URL
2008-06-09 в 09:37 

Гость
А можно ли просканить какой нибудь утилиткой типо AVZ или CureIT, хоть я их и очень не люблю?

URL
2008-06-09 в 09:43 

Hikedaya
Hikedaya
Rise and shine!
Гость Можно. Но подробных рекомендаций по их использованию я дать, к сожалению, не смогу. У меня еще не было случая в практике, когда нужно было вычищать хвосты зловредов с их помощью. А в моей системе они ничего не находили ;)

URL
2008-06-12 в 14:43 

Гость
12/06/2008 (05:00 GMT +03:00)
Привет, смотри!!! :)
ipnick.com/top5/
Классная вещь!

Блин и висело ведь у контакта предупреждение. "Не открывай линку"((Каспер спалил трояна на входе в сайт.

URL
2008-06-12 в 16:33 

Hikedaya
Hikedaya
Rise and shine!
Гость Спалил трояна - и хорошо. А вам впредь будет урок ;)

URL
2008-06-16 в 03:51 

Гость
так как его руками вычистить? подскажите имя файла, который запускается автоматом, или имя дээлэлки.. или че там запускается... (прожка avtoruns.exe показывает их все и дает возможность вырубить и вычистить из реестра). из всего подобного, приведенному здесь, софта ЕСТЬ ВОЗМОЖНОСТЬ юзать тока аутпост секьюрити сьют про. в него встроен антивирус. при проверке он не может получить доступ к некоторым файлам (из-зи траблов с веником). как узнать, в моем ли компе эта хрень, т.к. ася юзалась и с другого компа??

URL
2008-07-27 в 17:21 

Гость
Привет, смотри!!! :)
westsidex.com/top7/
Классная вещь! :-)

еще один сайт

URL
2008-07-27 в 17:22 

Гость
Гость 2008-07-27 в 17:21

p.s.: не заходила, не проверяла.

URL
2009-11-27 в 10:00 

Гость
Вот трояна пинч 3+Криптор не палится после криптовки советую

URL
2009-11-27 в 15:54 

Hikedaya
Hikedaya
Rise and shine!
Гость А вот целенаправленная выкладка зловредов, да еще и средств к его маскировке не приветствуется.

URL
 [?]:
   

Прежде, чем нажать кнопку "Отправить", впишите код, изображенный на картинке:

Записная книжка

главная