IIchan Archives — Электроника и ПО

Файл: 5f185ca9677f1083769fc1c5ea2bdb3f.jpg -(529 KB, 1200x900, 5f185ca9677f1083769fc1c5ea2bdb3f.jpg)

Чии Пт 09 октября 2015 15:44:02 No.173975

У двоих знакомых компы в разное время подхватили одну очень неприятную заразу. Она открывает окна, вкладки в браузере, меняет ссылки, пихает на полстраницы баннер и в том же духе.
Что я только не пробовал — AVZ, CureIt, антивири, Autoruns, сервисы, реестр, Program Files, Program Data, AppData, удаление браузеров, установка браузеров... Ни в какую. Эта дрянь не отображается ни в процессах, ни в сервисах, ни в автозагрузке.
В общем с первым случаем я полдня парился, потом плюнул и переустановил винду с паролем админа и всем таким. Во втором случае ВРЕМЯ ещё НЕ ПРИШЛО, но, чую, придётся и тут переставлять.

Собственно, что это за паразит такой, и можно ли с ним справиться?
inb4 установи пинукс

>>	Чии Пт 09 октября 2015 15:45:24 No.173976 Ты хоть в сейфмоде это делал?

>>	Чии Пт 09 октября 2015 16:02:33 No.173977 >>173976 Блджад! Совсем забыл про эту фичу винды. Но всё же, что эта за маскирующаяся хрень?

Чии Пт 09 октября 2015 16:31:28 No.173981

>>173977
Откуда мне знать? Если ты скрипты AVZ использовал, то логично предположить, что ты их взял, обратившись на форум за помощью. Там тебе ничего не сказали по этому поводу, что ли?
По описанию какой-то рандомный червь, коих всегда навалом. Сам не сталкивался, на моей машине за последние лет 10 только раз был майнер, вшитый в Heaven Benchmark, который я скачал с "проверенной" раздачи на NNM.

>>	Чии Пт 09 октября 2015 17:04:03 No.173986 >>173975 ОП, а операционная система какая? Просто интересно, работает ли эта хваленая "защита" в винде? Или опять бутафория.

>>	Чии Пт 09 октября 2015 17:14:33 No.173988 >>173986 Седьмая в обоих случаях. Защита — это фаервол, или что-то новое?

>>	Чии Пт 09 октября 2015 17:27:15 No.173992 >>173975 AppInit_DLLs

>>	Чии Пт 09 октября 2015 17:44:08 No.173996 >>173975 У теюя похотливая рисованная бабищая с большими глазами на пикче - ты заметил это?

>>	Чии Пт 09 октября 2015 18:00:08 No.174002 >>173996 Она не похотливая, а порядочная. Видишь же, недовольна тем, что трусы видно.

Чии Пт 09 октября 2015 20:11:05 No.174009
Файл: sample-6bbda3069f53211ef78a954f154235eb.jpg -(203 KB, 850x1170, sample-6bbda3069f53211ef78a954f154235eb.jpg)

0. Покаяться.

Установи Линупс.

Сообщить Чии название используемого браузера.

Проверить наличии в другом браузере.

Попробовать запустить браузер с чистым профилем.

Проверить файлы типа prefs.js в профиле браузера и/или в папке установки программы.

Проверить заданные DNS сервера в свойствах сетевых подключений.

Установить AdBlock и NoSсript.

Научиться пользоваться компьютером.

>>	Чии Вс 11 октября 2015 09:24:46 No.174043 >>173975 Чем всё закончилось, бездельник?

>>	Чии Вс 11 октября 2015 20:13:49 No.174056 >>174043 Ничем. Ноут так и не подвезли.

>>	Чии Вт 13 октября 2015 07:17:41 No.174108 А как майнер обнаружить?

>>	Чии Вт 13 октября 2015 22:44:29 No.174110 >>174108 По нагрузке, сильным и неестественным просадкам, низким результатам в бенчмарках, бсодам и перегреву. Это же просто процесс, который жрет ресурсы твоего компа.

>>	Чии Вт 13 октября 2015 23:44:04 No.174111 Блин! Купите себе лицензию на какой-нибудь антивирус типа нортона, и все. В них теперь даже защита от дурака стоит.

>>	Чии Ср 14 октября 2015 08:04:42 No.174118 Файл: f935934ce10b69831c90507d663cd1b5.jpg -(856 KB, 1341x2100, f935934ce10b69831c90507d663cd1b5.jpg) >>174111 >защита от дурака стоит Это от шифровальщиков поможет?

>>	Чии Ср 14 октября 2015 13:07:10 No.174120 >>174118 Эти штуки теперь больше похожи на персональных нянек. Они просто не дадут запуститься ничему, что отмечено в их базах как вредоносный код, проверяют все, что ты скачал, даже само тело страницы.

>>	Чии Ср 14 октября 2015 14:39:10 No.174121 >>174110 Давно я не видел майнеров, которые так себя выдают. Обычно они дожидаются простоя пеки и работают, когда никто не видит.

>>	Чии Пт 16 октября 2015 19:35:48 No.174202 >>174121 perfmon.msc в помощь.

>>	Чии Пт 16 октября 2015 19:42:26 No.174203 >>174120 Но в шифровальщиках нет вредоносного кода. Там три с половиной строчки простейших скриптов, которые не выглядят опасными и самое обычное gpg, которое тоже нельзя расценить как опасное.

>>	Чии Сб 17 октября 2015 14:04:52 No.174219 >>174203 Что мешает настроить детектор на последовательность строчек кода?

>>	Чии Сб 17 октября 2015 15:43:11 No.174220 >>174203 Что мешает проверять на наличие команд удаления файлов? Шифровальщик не может писать в тот же файл.

>>	Чии Сб 17 октября 2015 17:18:40 No.174226 >>174009 >Установить AdBlock и NoSсript. Установить uMatrix и uBlock Origin. пофиксил, те уже продались

>>	Чии Сб 17 октября 2015 17:37:32 No.174227 >>174226 Но ведь NoScript не продался! И вообще, uMatrix — это скорее прямая замена для RequestPolicy, а с носкриптом они без проблем живут вместе.

>>	Чии Сб 17 октября 2015 17:50:11 No.174228 >>174227 Noscript у меня не блокирует yadro.ru, а uMatrix блокирует.

>>	Чии Сб 17 октября 2015 18:06:16 No.174229 Любители сидеть в презервативе, обвесившись зойщитными антискриптами собрались.

>>	Чии Сб 17 октября 2015 18:07:36 No.174230 >>174229 Небось и ебёшся без презерватива?

>>	Чии Сб 17 октября 2015 18:09:28 No.174231 >>174229 Мемчик "Enjoy your AIDS" как нельзя более к месту к этому посту.

Чии Сб 17 октября 2015 22:17:37 No.174242

>>174230
Для 2д вайф не нужны презервативы.

>>174231
У меня за 15+ лет пользования ПК не было ни одного случая, когда ПК был чем-то заражен и требовал бы серьезной чистки или переустановки винды.
Не знаю по каким вы там сайтам шароебитесь, что вам noscript нужен. Может и по баннерам кликаете?

>>	Чии Сб 17 октября 2015 22:21:58 No.174243 >>174242 У меня куча всякой хуйни подгружается на readmanga и hentaichan/

>>	Чии Сб 17 октября 2015 23:00:16 No.174244 >>174242 Не, я однажды реально подхватил баннер с бабами. Полюбовался, нажал ctrl-alt-f1 и прибил wine. Он мне обещал, что хард отформатирует. Даже тут обманули.

>>	Чии Сб 17 октября 2015 23:14:56 No.174245 >>174243 Поставь адблок, дятел.

>>	Чии Вс 18 октября 2015 07:43:36 No.174248 >>174245 Стоит мюблок и мюматрикс, даун.

Чии Вс 18 октября 2015 12:02:02 No.174254

>>174228
Ну так Noscript и не предназначен для автоматического блокирования. В нём же нет подписок на списки всякой вредоносной гадости, как в uMatrix. Он наоборот оставляет весь выбор пользователю. Разные задачи они выполняют, хоть и смежные.

>>174242
Да сейчас почти с каждого сайта тянется всякая аналитика, статистика и прочая гадость, которая как минимум впустую нагружает ресурсы компьютера. С парочкой плагинов веб становится намного чище.

黒童女 Вс 18 октября 2015 12:30:42 No.174256
Файл: screenshot_2015-10-18_121459.png -(38 KB, 522x360, screenshot_2015-10-18_121459.png)

У Firefox, кстати, появился встроенный блокировщик. Да и Self-Destructing Cookies наверно можно снести.

Пробую юзать uMatrix и uBlock. Не понравилось, что они слишком паранойят. Тот же ютуб перестал работать, пока не разрешишь googlevideo.com и gstatic.com. Наверняка в чёрном списке и yandex.st.

Чии Вс 18 октября 2015 12:53:55 No.174257

>>174256
Ну, в стабильной ветке его ещё ждать и ждать. А какие-то настройки у него есть?

А в uMatrix настройки по умолчанию скорее близки к оптимальным же. Блокируется активное содержимое и печеньки со сторонних сайтов, но в то же время разрешены стили и картинки для всего, кроме явно запрещённых доменов.

黒童女 Вс 18 октября 2015 13:24:43 No.174258

>>174257
Derp хотел добавить про настройки, но забыл

> Ну, в стабильной ветке его ещё ждать и ждать.

В стабильной вроде же выкатили уже? Просто оно дефолтом отключено.
Поищи privacy.trackingprotection. в about:config.

> А какие-то настройки у него есть?

Весьма топорные, разрешить / запретить защиту на этом сайте. Всё или ничего. Так что пока не очень юзабельно.

Чии Вс 18 октября 2015 14:59:49 No.174259

>>174258

> Поищи privacy.trackingprotection. в about:config.

О, и правда же.

> Так что пока не очень юзабельно.

Тогда сохраняем спокойствие и продолжаем использовать uMatrix. Но в целом скорее хорошо, что подобные штуковины и в чистую лису начинают запихивать.

>>	Чии Вс 18 октября 2015 21:20:56 No.174260 >>174244 Смотрит порно через вайн и хвастается. Большой мальчик, что.

Чии Вт 20 октября 2015 16:00:02 No.174262

HiJackThis + CureIt + ручками почистить локал, роаминг, програм дата, програм файлз, темпы, Roaming\Microsoft\Internet Explorer\, коммон файлз в програм файлз, папку майкрософт в роаминг и локал + удалить все браузеры и все их файлы в соответствующих папках.

>>	Чии Чт 22 октября 2015 21:42:02 No.174327 А посоветуйте наименее требовательный к ресурсам антивирус для нетбука с Atom N280.

>>	Чии Пт 23 октября 2015 01:18:10 No.174333 >>174327 Debian + xfce или другое лёгкое окружение.

>>	Чии Пт 23 октября 2015 01:42:22 No.174334 >>174333 Это же не антивирус, а ОС.

>>	Чии Пт 23 октября 2015 02:24:10 No.174336 >>174334 Это решение проблемы вирусов в условиях низкого быстродействия аппаратного обеспечения. Думал, тебе ехать, а не шашечки.

>>	Чии Пт 23 октября 2015 03:14:58 No.174337 >>174336 Ты вообще читал сообщение, на которое отвечал? Там спрашивалось конкретно про антивирус, а не про поиск решения проблемы вирусов.

>>	Чии Пт 23 октября 2015 07:45:32 No.174339 >>174337 Значит, SRP тебе тоже не подходит, так? Тогда сходи в магазин и вместо антивируса касперского купи себе докторвеб.

>>	Чии Пт 23 октября 2015 13:45:29 No.174347 >>174339 Доктор Веб наименее требовательный среди всех возможных антивирусных программ?

>>	Чии Сб 24 октября 2015 16:48:13 No.174369 >>174327 А зачем он на калькуляторе? Чтобы вконтактик заходить антивирус не нужен.

>>	Чии Сб 24 октября 2015 17:18:56 No.174370 >>174369 А что, если не только вконтактик, но на винде?

>>	Чии Сб 24 октября 2015 19:39:20 No.174371 >>174370 Тогда настрой SRP.

>>	Чии Сб 24 октября 2015 19:52:15 No.174372 >>174327 Avast

>>	Чии Сб 24 октября 2015 20:33:43 No.174373 >>174371 Это обеспечивает мониторинг процессов и всяческих каналов распространения вредоносного кода?

>>	Чии Сб 24 октября 2015 21:53:28 No.174377 Зачем вам вообще винда на нетбуках с атомом, это какая-то изощренная форма мазохизма?

>>	Чии Вс 25 октября 2015 00:28:04 No.174395 >>174377 Я в пазлквест играю.

>>	Чии Вс 25 октября 2015 00:28:39 No.174396 >>174395 А, и еще спец программы всякие, которых на линуксах нет.

>>	Чии Вс 25 октября 2015 00:45:34 No.174399 >>174377 Эрпоге мейкер (за исключением ереси по имени MV) не хочет невинду.

>>	Чии Вс 25 октября 2015 02:44:22 No.174408 >>174399 Из-под вайна же.

>>	Чии Вс 25 октября 2015 05:27:45 No.174411 >>174372 Даже он ощутимо грузит процессор. Вот в MS Security Essentials есть полезная опция ограничения использования процессора во время сканирования.

>>	Чии Вс 25 октября 2015 14:16:44 No.174415 >>174408 На нетбуке с атомом? Я не настолько буддист. Кроме того, та версия вайна, которую я тыкал, не до конца справилась с RMXP. Ну, как не до конца: формально он запускался, фактически работать с ним было невозможно.

>>	Чии Вт 03 ноября 2015 17:31:49 No.174587 >>173975 Просто почисти браузер, всегда пользуюсь одной и той-же статьей когда получаю проблемы с рекламой в браузере. http://geek-nose.com/kak-ubrat-reklamu-v-brauzerax-yandeks-chrome-opera/ На край попробуй adw почистить

>>	Чии Вт 03 ноября 2015 21:12:52 No.174588 >>174587 >Просто почисти браузер Нет, Чии, может быть намного хуже - это может быть что-то вроже DPI, но в ОС. Сам такое видел.

Чии Сб 07 ноября 2015 01:46:58 No.174668

Похоже на подмену DNS.
DNS-запросы к чему-то вездесущему и распространенному, как например google-analytics перенаправляются на вредоносный сайт, оттуда грузятся скрипты третьих сторон, не гугла, они и показывают рекламу.
Лечится изучением логов и гуглением. Если так, то HiJackThis поможет. Если AVZ, то Восстановление системы.
Если хайджек сидит в самом браузере локально, AdwCleaner.

>>	Чии Сб 07 ноября 2015 13:28:03 No.174674 ОП, файл hosts-то смотрел?