Попросили помочь убрать AdWare

← →
Piter © (2009-12-25 13:44) [0]

Как я понял по объяснениям, у знакомого AdWare внутри Internet Explorer"а. То есть, при запуске windows и входе в сеанс ничего не выскакивает. Когда открывается браузер и там идет работа - вот там внутри браузера послание о том, что нужно для разблокировки послать SMS.

Чем вооружиться для похода в гости, какой алгоритм действий? (я сам не сталкивался на своем компе с такой проблемой). Это какое-то расширение для IE, где они хранятся / настраиваются? Или это внешняя EXE, которая как-то реагирует на запуск браузера?

В общем, с пустыми руками я там может долго буду разбираться, какие программы взять для очистки, куда там смотреть (настройки браузера, реестр, файлы)?
Версию IE не знаю, предполагаю что дефолтная с XP, то есть IE 6, но может быть старше.

← →
Piter © (2009-12-25 13:46) [1]

и что настроить, чтобы он так легко не мог этого подцепить в следующий раз? JS отключать нельзя, функционал слишком многих сайтов поползет. ActiveX может какой отключить или еще что?

← →
boa_kaa © (2009-12-25 13:49) [2]

autoruns

вкладка Internet Explorer

← →
oldman © (2009-12-25 13:59) [3]

> Когда открывается браузер и там идет работа - вот там внутри
> браузера послание о том, что нужно для разблокировки послать
> SMS.

На вирусы проверься. Не помешает.

← →
Piter © (2009-12-25 14:00) [4]

boa_kaa © (25.12.09 13:49) [2]

это имеется в виду: http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx ?

Это все что нужно?

oldman © (25.12.09 13:59) [3]
На вирусы проверься. Не помешает

ну там стоит антивирус.

← →
test © (2009-12-25 14:01) [5]

Piter © (25.12.09 13:46) [1]
FireFox + noScript

← →
vajo (2009-12-25 14:16) [6]

Dr.Web CureIt!® - точно поможет

← →
Piter © (2009-12-25 14:33) [7]

test © (25.12.09 14:01) [5]
FireFox + noScript

что такое noScript? Если это отключение JS - не подойдет, большинство средне ориентированных юзер сайтов (аля одноклассники, вконтакте) плохо работают без этого.

← →
oldman © (2009-12-25 14:36) [8]

> внутри браузера послание о том, что нужно для разблокировки
> послать SMS.

Но это-то точно не работа нормальных программ.
Ищи таки вирус.

← →
Anatoly Podgoretsky © (2009-12-25 15:08) [9]

> Piter (25.12.2009 13:44:00) [0]

Виста + UAC + IE8 в защищенном режиме (по умолчанию).

← →
KSergey © (2009-12-25 15:14) [10]

Как уже было написано - CureIt!, запущеный в безопасном режиме с поддержкой коммандной строки, спасет почто наверняка.

← →
Piter © (2009-12-25 16:06) [11]

oldman © (25.12.09 14:36) [8]
Ищи таки вирус.

не, ну смотря что ты называешь вирусом, а точнее трояном. Я к тому, что это вряд ли так сказать... "самостоятельный" троян. То есть, он не в виде EXE"шника. Так бы он висел в памяти - он блокировал бы сразу весь рабочий стол, такие тоже есть.

А этот судя по всему в виде плагина для IE или как-то так.

Я разделяю на 3 вида программ:

1) вирусы - это которые внедряют свое тело внутрь чужих EXE файлов, раньше только они и были, сейчас их уже все меньше

2) трояны - это самостоятельный программы, главная задача которых стартовать вместе с windows в виде отдельного процесса и далее распространяться, используя те или иные механизмы

3) плагины к различным программам, то есть не самостоятельные программы. Обычно в виде плагинов для браузеров.

← →
KSergey © (2009-12-25 16:13) [12]

> Piter © (25.12.09 16:06) [11]
> не, ну смотря что ты называешь вирусом,

А есть вариации, разве?

Это в любом случае некий код, котрый скрытно устанавливается с систему и предпринимает попытки к самораспространению каким-либо способом.

При этом каким бы способом он ни делал вышеперечисленное - вирусом он быть не перестает.

← →
sniknik © (2009-12-25 16:15) [13]

> Если это отключение JS - не подойдет
отключение обычно настраивается... т.е. можно отключить только вредоносные с твоей точки зрения скрипты.

p.s. предпочитаю Adblock Plus.

← →
Piter © (2009-12-25 16:28) [14]

KSergey © (25.12.09 16:13) [12]

у меня другая терминология немного, см. [11]

sniknik © (25.12.09 16:15) [13]
p.s. предпочитаю Adblock Plus

а он борется в том числе с попытками инжекта в браузер FF? Я думал он только рекламу рубит (банеры).

← →
boa_kaa © (2009-12-25 16:41) [15]

> Piter © (25.12.09 14:00) [4]

он самый
удали через него, но перед этим посмотри, куда ссылается объект, удали источник

← →
Anatoly Podgoretsky © (2009-12-25 16:54) [16]

> KSergey (25.12.2009 16:13:12) [12]

Иногда явно устанавливаемый в систему, по щелчку и с согласием, так называемый легальный вирус - большинство тулбаров и BHO

← →
boa_kaa © (2009-12-25 16:57) [17]

> Anatoly Podgoretsky © (25.12.09 16:54) [16]
> Иногда явно устанавливаемый в систему

увы, совсем не "иногда" :(

← →
Anatoly Podgoretsky © (2009-12-25 17:16) [18]

> boa_kaa (25.12.2009 16:57:17) [17]

Я про то, что не стоит забывать и про легальные источники, вот с ними особо плохо, почти все антивирусы и adware пропускают их. Defender еще в какой то мере справляется, отлавливая изменения в реестре.

← →
stas © (2009-12-25 17:36) [19]

Piter © (25.12.09 13:44)
ищи cmedia.dll. Переименуй папку с ней потом удали.
обычно она лежит:
C:\Documents and Settings\[user]\Application Data
где [user] имя пользователя.

← →
Anatoly Podgoretsky © (2009-12-25 17:56) [20]

Это если у него cmedia, а таких троянов великое множество.

← →
Anatoly Podgoretsky © (2009-12-25 18:11) [21]

Если предположить, что это cmedia, то вот обсуждение
http://www.sql.ru/forum/actualthread.aspx?tid=699924

← →
Anatoly Podgoretsky © (2009-12-25 18:18) [22]

Кстати этот вирус как раз относится к легальным, он даже в Add and Remove Programs создает свои записи, как и положено.

← →
Игорь Шевченко © (2009-12-25 18:19) [23]

> http://www.sql.ru/forum/actualthread.aspx?tid=699924

ужас какой

> а он борется в том числе с попытками инжекта в браузер FF? Я думал он только рекламу рубит (банеры).
с инжектом в том числе, если он будет осуществлен в скрипте. т.е. ему в принципе пофигу что "рубить", главное чтоб под ег фильтры подпадало.

ну вот, для примера (хотя я и не ожидаю с дельфимастера ничего такого, но представим что то что он "зарубил" было вредоносным...)
http://img44.imageshack.us/img44/6020/delphimaster.png

зовется SiteAccess.dll. внетряется ни к какому броузеру, а непосредственно к Explorer.exe. Файл переименовывается, удаляется из реестра его привязки к эксплореру.ехе и перегружается, потом удаляется.

---
P.L.U.R. and WBR, NailMan aka 2:5020/3337.13

> Игорь Шевченко (25.12.2009 18:19:23) [23]

Ужас обычный, ламерский.

Anatoly Podgoretsky © (25.12.09 17:56) [20]
Я в последнее время только cmedia встречал. 3 чела подряд обращались.
Кстати OnLine Armor помог. Но он задалбывает сильно...

> stas (25.12.2009 19:33:28) [28]

Поскольку он один из последних.

← →
Smile (2009-12-25 19:57) [30]

> Piter © (25.12.09 13:44)

Сильно напоминает бАян от 23.12.2009
Только там не присутствовало понятие "друга".
Рецепт на все случаи один - лечись.
Средства тебе уже предлагали именно в определенной последовательности, хотя это и не важно:)

CureIt, но более квалифицированно - AVZ

решил поставить им Firefox.

Какие плагины рекомендуете установить (окромя Adblock Plus), какие настройки произвести, чтобы снизить вероятность подцепления заразы?

Нужно, чтобы работало JS + флеш (всякие вконтакты, одноклассники, ютубы, онлайн проигрывание музыки и фильмов), но при этом всякие дополнения автоматически отсекались и даже не предлагалось ничего установить. Работать должно в автоматическом режиме без задавания всяких вопросов (ибо тут фифти фифти, могут нажать Да, могут Нет).

http://img40.imageshack.us/img40/3103/plugins.png
ну что тут можно предложить? ...

блин, да просто пробегись по перечисленным сайтам, и установи все что предложит (флеш да плагины для проигрывания), а после зайди в настройки, безопасность и с ними галочку с "задавать вопрос", и он если сайта нет в разрешённых умолчаниях ничего с него не поставит (можеш и сайт мазилы оттуда исключить).

> Piter (27.12.2009 00:32:31) [31]

Сама технология плагинов порочна с точки зрения безопасности.

Попросили помочь убрать AdWare Найти похожие ветки