Avast WEBforum

Non-English Zone => Русский => Topic started by: makcunknown on May 28, 2012, 02:39:38 PM

Title: Про баннеры.
Post by: makcunknown on May 28, 2012, 02:39:38 PM
Нашёл сайтик, на котором баннер xxx_video_ХХХХ.avi обновляется каждый день или даже каждых пол дня, вот приходится мне его каждый раз отправлять в лабораторию, такой фигнёй занимаюсь уже 5-ый день, к счастью баннеры добавляют в базу на след. день.

Вот ссылка на вирусскан: http://virusscan.jotti.org/ru/scanresult/a27f4ff292931bfe1a60e8549fd8ad5dbaee6a23/478d80f63bbfc9ef6765b3ee7d74ddff04eaeff3

Вопрос вот в чём, в вирусскане всегда в первую очередь определяют такие антивирусы как: F-Secure, G Data и Bit Defender. У них какая то особая защита на них автоматическая по первому коду или есть такие же умельцы как я, просто их тупо отправляют в лабораторию? Может быть есть какой то начальный код в баннере, чтобы антивирус сразу его обнаруживал бы, без всяких отправок в лабораторию? Буквально в баннере меняется пару килобайт и антивирус уже его не видит. Объясните суть пожалуйста. По какому принципу работают F-Secure, G Data и Bit Defender?
Title: Re: Про баннеры.
Post by: makcunknown on May 28, 2012, 04:12:11 PM
Да, Вы ба сказали, просто добавить этот сайт в чёрный список, но дело вот в чём, есть другой сайт, и на этот сайт, где баннер, делается редирект, то есть, URL всегда меняется, а сам сайт остаётся в том же оформлении. В полне возможно баннер не только там обновляется, он распространяется на многие другие сайты.
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 11:04:42 AM
обычная баннерорезка не срубает его?
Title: Re: Про баннеры.
Post by: makcunknown on May 29, 2012, 01:11:31 PM
обычная баннерорезка не срубает его?
при чем тут баннерорезка
тут речь о порнобаннере блокер виндовс.
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 01:38:50 PM
обычная баннерорезка не срубает его?
при чем тут баннерорезка
тут речь о порнобаннере блокер виндовс.
при том, что они чаще всего цепляются при отсутствии баннерорезки, через всплывающие окна типа "нажми сюда, ты выиграл миллион"  и прочею муть. 
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 01:42:18 PM
а поповоду аваста и винлока. нет детекта и да ладно, не смертельно. Он их хорошо мочит экраном поведения.
(http://i.imgur.com/B13s3.png)
Title: Re: Про баннеры.
Post by: j.bonzo on May 29, 2012, 02:23:26 PM
а поповоду аваста и винлока. нет детекта и да ладно, не смертельно. Он их хорошо мочит экраном поведения.
(http://i.imgur.com/B13s3.png)
На скриншоте: Ненадежная программа пытается изменить защищенный ресурс.
                         Целевой объект - \Registry\User\...\Shell
http://virusscan.jotti.org/ru/scanresult/a27f4ff292931bfe1a60e8549fd8ad5dbaee6a23/478d80f63bbfc9ef6765b3ee7d74ddff04eaeff3
DrWeb-Trojan.MBRlock.6
Вопрос: MBR является для Аваста защищаемым ресурсом, как ключи реестра?
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
Title: Re: Про баннеры.
Post by: makcunknown on May 29, 2012, 02:40:21 PM
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
p.s. завтра отпишу по поводу нового баннера в песочнице, сейчас не дома пока.
Title: Re: Про баннеры.
Post by: j.bonzo on May 29, 2012, 02:46:41 PM
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
Если речь идет о mbrlock, то скорее всего компьютер тут же перезагрузиться и ...
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
Title: Re: Про баннеры.
Post by: makcunknown on May 29, 2012, 02:51:33 PM
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
Если речь идет о mbrlock, то скорее всего компьютер тут же перезагрузиться и ...
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/

ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 02:51:55 PM
вот что есть в запасах. но это не блокер, это "убийца mbr " , удаляет загрузочную область.
http://virusscan.jotti.org/ru/scanresult/66a2fb97495b3dcb2798c6ea27b399e06632f40a/3ea117bf9835e7f68b754e3cc37a0f794420cf21
детект есть, но hips не справился. система не запускается.
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 02:54:12 PM
Quote
ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
без разницы как они их видят. Никто не угонится за детектом свежих вирусов или конкретно винлоков. Сейчас вся надежда на HIPS (в народе именуется проактивкой). Я выбираю антивирус из ходя из этого. 
makcunknown, вы делаете очень хорошее дело, отправляя вирусы в лабораторию, за это вам большое спасибо.
Title: Re: Про баннеры.
Post by: j.bonzo on May 29, 2012, 03:10:56 PM
...Сейчас вся надежда на HIPS (в народе именуется проактивкой)...
Народу свойственно ошибаться (или заблуждаться?)...
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует.
http://forum.avast.com/index.php?topic=84963.0
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 03:23:37 PM
...Сейчас вся надежда на HIPS (в народе именуется проактивкой)...
Народу свойственно ошибаться (или заблуждаться?)...
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует.
http://forum.avast.com/index.php?topic=84963.0
а как же? :
Quote
В силу того что HIPS является средством проактивной защиты, программы данного класса не содержат базы данных сигнатур вирусов (однако могут их задействовать, скажем HIPS в Kaspersky Internet Security блокирует запуск известных вредоносных программ независимо от включения либо отключения файлового монитора) и не осуществляет их детектирование. HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует отметить, что эффективность HIPS может доходить до 100%, однако большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.
очень сильно переплетается с проактивкой (http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0). У обоих есть технологии "предсказывания " запускаемого приложения.
Title: Re: Про баннеры.
Post by: j.bonzo on May 29, 2012, 03:41:56 PM
очень сильно переплетается с проактивкой (http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%B0%D1%8F_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B0). У обоих есть технологии "предсказывания " запускаемого приложения.
Не спорю... Анализ поведения, как элемент проактивной защиты -
"...является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems)..."
Title: Re: Про баннеры.
Post by: military on May 29, 2012, 06:22:04 PM
в догоночку  :)
винолок http://virusscan.jotti.org/ru/scanresult/8a7744612bde100ce376d0b88abda009cf8f901d
запуск
(http://i.imgur.com/0PkT9.png)
Экран поведения и тут срубил.
Title: Re: Про баннеры.
Post by: makcunknown on May 31, 2012, 01:36:58 AM
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.

http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c
Title: Re: Про баннеры.
Post by: Dim@rik on May 31, 2012, 05:24:13 AM
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.

http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c

http://updates.drweb.com/   - например 28 числа  Trojan.MBRlock.6(2) (добавлено 2 модификации).

Просто в DrWeb семпл попал быстрее и робот его добавил, это не эвристик.
Title: Re: Про баннеры.
Post by: military on May 31, 2012, 08:42:43 AM
makcunknown, Вы можете в англоязычной ветке задать этот вопрос?
Когда занимался отправкой подозрительных файлов в лабораторию Microsoft, так они связались со мной и предложили отправлять на специальный емаил , таким образом обработка проходила намного быстрее. Может и у Аваста есть нечто похожее?
Title: Re: Про баннеры.
Post by: A. on May 31, 2012, 12:59:34 PM
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.

http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c

Gen:Variant./ битдефендер рулит
Title: Re: Про баннеры.
Post by: makcunknown on May 31, 2012, 06:03:32 PM
Вот снова баннеры шлю, и одни и те же антивирусники видят его сразу же, почему аваст не видит так? Dr.Web видит его постоянно mbr.lock, почему аваст автоматом не может видеть его? По одному и тому же принципу сделан же баннер я так понял.

http://virusscan.jotti.org/ru/scanresult/6dcc3c1f6bb9d00b1cc095cabb65eab4c8852e0c

http://updates.drweb.com/   - например 28 числа  Trojan.MBRlock.6(2) (добавлено 2 модификации).

Просто в DrWeb семпл попал быстрее и робот его добавил, это не эвристик.

Вот снова баннер, Dr.Web не успел(Касперский тоже). Не понятен принцип Bit Defender как так быстро определяет.

Баннера я так понял и в помине нЕбыло вчера(или я не прав), сегодня вечером только на том сайте его вытащил, утром был другой баннер, а VBA32 его видит уже вчерашним(за 30 число) обновлением.

http://virusscan.jotti.org/ru/scanresult/6c614151092dd947a6a26037198bce5ea285d1c8/f11276d1e0b6c0f57790d2fd55735f20f86ef08f
Title: Re: Про баннеры.
Post by: bAGrat on May 31, 2012, 07:07:08 PM
уважаемые , может перейдете на Dr.Web и не будете сравнивать продукты ?
Title: Re: Про баннеры.
Post by: Dim@rik on May 31, 2012, 09:35:52 PM
уважаемые , может перейдете на Dr.Web и не будете сравнивать продукты ?


Уважаемый....а почему не на Касперского? или Microsoft Security Essentials...что вас так задело? Человек пытается понять, почему не которые бренды ловят новые модификации Локеров.


У всех свои минусы и плюсы.
Title: Re: Про баннеры.
Post by: military on May 31, 2012, 09:50:41 PM
Quote
только на том сайте его вытащил,
на том, это на каком? случаем не на блэк сайте, где выкладывают подобные файлы?
и почему вопрос не зададите в англоязычной ветке? логичней подобные вопросы именно им задавать.
Title: Re: Про баннеры.
Post by: A. on May 31, 2012, 09:59:49 PM
Quote
Не понятен принцип Bit Defender как так быстро определяет.

эвристика там крутая, отличает семейства
а для некоторых пару байт добавил и это уже новый образец
Title: Re: Про баннеры.
Post by: makcunknown on June 01, 2012, 06:48:41 AM
Quote
только на том сайте его вытащил,
на том, это на каком? случаем не на блэк сайте, где выкладывают подобные файлы?
и почему вопрос не зададите в англоязычной ветке? логичней подобные вопросы именно им задавать.

Выше писал об этом, этот сайт открывается через редирект, то есть постоянной ссылки нет, всегда url меняется для маскировки от блэк листа.

На английском я не шуры муры, было бы конечно хорошо на прямую связаться.
Title: Re: Про баннеры.
Post by: Ivanych on June 01, 2012, 10:32:03 AM
Quote
только на том сайте его вытащил,
и почему вопрос не зададите в англоязычной ветке? логичней подобные вопросы именно им задавать.
На английском я не шуры муры, было бы конечно хорошо на прямую связаться.
У меня в браузере Google Chrome в почте есть перевод писем.Я писал в фирму CyberLink по вопросу пакета программ CyberLinr DVD Suite,которые у меня были предустановлены с операционкой.Мне пришлось открыть эти две страницы и писать в одной,потом копировать в другую.Отлично всё прошло.Меня поняли и писали пару раз ответы.Попробуйте и вы так.И не нужно знания языка.
Title: Re: Про баннеры.
Post by: j.bonzo on June 01, 2012, 03:03:35 PM
...Не понятен принцип Bit Defender как так быстро определяет.
:D
Может они их сами создают при помощи вот такого "конструктора"?
(http://s019.radikal.ru/i638/1206/1a/aea968c77789t.jpg) (http://radikal.ru/F/s019.radikal.ru/i638/1206/1a/aea968c77789.jpg.html)


http://www.symantec.com/connect/blogs/ransomware-crimeware-kits

У меня в браузере Google Chrome в почте есть перевод писем.Я писал в фирму CyberLink по вопросу пакета программ CyberLinr DVD Suite,которые у меня были предустановлены с операционкой.Мне пришлось открыть эти две страницы и писать в одной,потом копировать в другую.Отлично всё прошло.Меня поняли и писали пару раз ответы.Попробуйте и вы так.И не нужно знания языка.
Даже представить сложно, исходя из Вашей манеры ваять тексты. Вот как в Googletranslator выглядит написанное Вами выше:
"I have in Google Chrome in the post is a translation pisem.Ya wrote to the firm on the CyberLink software package CyberLinr DVD Suite, which I had pre-set operatsionkoy.Mne had to open those two pages and write in one, then copy to druguyu.Otlichno all proshlo. Menya understood and wrote a couple of times and you otvety.Poprobuyte tak.I do not need knowledge of the language."
На мой взгляд между Ya wrote и to the firm явно не хватает какого-то глагола...  ;)
(http://s017.radikal.ru/i414/1206/cb/10e143d9837et.jpg) (http://radikal.ru/F/s017.radikal.ru/i414/1206/cb/10e143d9837e.jpg.html)
Надеюсь Вы menya understood?
Title: Re: Про баннеры.
Post by: Ivanych on June 01, 2012, 05:07:42 PM
Извините!!
Я английский проходил в школе.А здесь писать по-английски мне почти не приходится.А,если и воспользовался этим путём,это не значит,что можно подколоть человека или в какой-то степени унизить.Я не пишу там,где я не понимаю.Просто по-человечески предложил этот вариант.Здесь на форуме,а так же в темах писать надо по существу.Вы же сами толкнули меня на свой ответ.Теперь я буду писать в личку тем форумчанам,кто будет подкалывать или унижать другого человека.Надо держать себя в руках и быть культурным.Всего хорошего!!!
Title: Re: Про баннеры.
Post by: George Yves on June 01, 2012, 05:10:51 PM
j.bonzo
Ya Vas tozhe ponyal. :)

Кстати, если Вы исправите вечную пунктуационную ошибку ivanovich'a (вставите пробелы после знаков препинания), то гуглоперевод будет уже более вменяемым и смысл переведённого текста будет достаточно понятен.

PS: Не надо бояться писать/говорить на английском даже с помощью гуглоперевода и т.п. Если ваша цель не свободное владение языком, то этого чаще всего окажется достаточно (хотя бы на некоторое время). Если зайти в главный форум, то там можно увидеть множество подобных сообщений от не владеющих английским языком пользователей. И их понимают. :)
Title: Re: Про баннеры.
Post by: makcunknown on June 02, 2012, 02:15:23 PM
Связался с американцем (админ он или кто, я не знаю) true indian,(по почте ему шлю ссылку на баннеры) баннеры на прямую шлёт на аваст, и сразу в новой базе выходит обнова с ними.
Title: Re: Про баннеры.
Post by: military on June 02, 2012, 02:18:37 PM
а вы боялись  :D
Title: Re: Про баннеры.
Post by: Ligalizovan on June 02, 2012, 02:51:50 PM
Связался с американцем (админ он или кто, я не знаю) true indian,(по почте ему шлю ссылку на баннеры) баннеры на прямую шлёт на аваст, и сразу в новой базе выходит обнова с ними.
Вот это хорошо.
Title: Re: Про баннеры.
Post by: makcunknown on June 02, 2012, 03:56:52 PM
Немного хочу огорчить, отписал вторично в лс, молчит долго, то есть я так понял  моментального обновления в базы я так не добьюсь, печально. Может быть, продвинутые пользователи мне тут помогут связаться, чтобы онлайн был?

p.s.
 Заметил такую фишку, чтобы попадать на этот сайт, где баннер(откуда я каждый день его достаю), можно единажды, то есть если второй раз заходить, то не идёт туда, редирект кидает на другой сайт. Если сменить IP подсоединения к инету, то снова можно на него попасть(но не всегда, я так понял минимум час надо чтобы прошёл). (так я 2 раза в день вылавливаю 2 баннера разных и отправляю в лабораторию). Хороший конструктор винлоков у них создан.
Я не могу понять, как так маскируют сайт, что он один и тот же сайт по оформлению, редиректится на разные левые URL?

Я не знаю как это американцам объяснить, гугл переводчик даже не поможет, пишу одно в англ, перевожу обратно, такой бред получается, хоть плакай....
Title: Re: Про баннеры.
Post by: military on June 02, 2012, 05:57:59 PM
Quote
Я не знаю как это американцам объяснить, гугл переводчик даже не поможет, пишу одно в англ, перевожу обратно, такой бред получается, хоть плакай....
попробуйте с помощью этого сайта http://itranslate4.ru/
Title: Re: Про баннеры.
Post by: Dim@rik on June 02, 2012, 08:51:22 PM
Связался с американцем (админ он или кто, я не знаю) true indian,(по почте ему шлю ссылку на баннеры) баннеры на прямую шлёт на аваст, и сразу в новой базе выходит обнова с ними.



;)  true indian - не админ, он такой же простой пользователь как и вы, и не нужно ему ни чего высылать, он так же высылает вирусы как  и вы и постит вот тут http://forum.avast.com/index.php?topic=64122.795

Мой вам совет, отправляйте файлы через карантин, их добавят, но не сразу...а претендовать на то что вы выслали и его сразу должны добавить, не разумно...в ВирЛаб в день прилетает 50 000 разного хлама, все обрабатывается автоматически, малую долю в ручную добавляют аналитики.   
Title: Re: Про баннеры.
Post by: military on June 02, 2012, 09:28:39 PM
Quote
он так же высылает вирусы как  и вы и постит вот тут http://forum.avast.com/index.php?topic=64122.795
Знаю, что у других вендоров этим способом добавляют быстрее в базы. с авастом так же? или скорость такая же как и через карантин?
Title: Re: Про баннеры.
Post by: Dim@rik on June 02, 2012, 10:07:59 PM
Quote
он так же высылает вирусы как  и вы и постит вот тут http://forum.avast.com/index.php?topic=64122.795
Знаю, что у других вендоров этим способом добавляют быстрее в базы. с авастом так же? или скорость такая же как и через карантин?


ИМХО особой скорости это не прибавляет, все зависит как часто эту ветку посещают вирусные аналитики.

У других вендоров есть тикеты (образцам вирусов присваивается номер), если его долго время не обрабатывают, вы можете указать номер запроса, и хоть как то спросить, что там с семплом, у Аваста нет этой системы, т.е приходится ждать (отправлять несколько раз и тд), при условии что вы знаете что это точно зловред, а если к примеру на VT 5 вендоров якобы увидели что файл возможно заражен (к примеру детект на какой не будь упаковщик), а аналитик посмотрел и знает что это не вирус, он вам этого не скажет :) а вы так и будите отсылать и думать что это что то опасное.

Так что как минимум 70% уверенность что файл вредоносный, отсылаете и ждете...как то так. 
Title: Re: Про баннеры.
Post by: military on June 03, 2012, 10:32:33 AM
Dim@rik, а у virus hunter приоритет проверки файлов не выше чем у простого пользователя?
Title: Re: Про баннеры.
Post by: Dim@rik on June 03, 2012, 11:07:26 AM
Dim@rik, а у virus hunter приоритет проверки файлов не выше чем у простого пользователя?

Нет конечно...это я сам написал, так как являюсь хантером двух АВ компаний, и в свободное от работы и личной жизни время высылаю семплы в вирлабы. Не в Авасте приоритет обработки чуть выше, но последнее время и там не лады (.

 
Title: Re: Про баннеры.
Post by: military on June 03, 2012, 11:12:51 AM
Quote
Авасте приоритет обработки чуть выше, но последнее время и там не лады (.
понятно. Значит так и будем довольствоваться веб формой  :(
Title: Re: Про баннеры.
Post by: military on June 05, 2012, 01:09:20 PM
спасибо makcunknown за интересный винлок.
Как-то обсуждали данный тип винлока. MBR винлок. ( вирус прописывается на диске изменяя его загрузочную запись (MBR) и при форматировании винта не пропадает, а остается.)
Детект http://virusscan.jotti.org/ru/scanresult/22e54eeed62b4c3cd58ddd25ebba4917012952b7/54d132125fe84546a51bc2b5a042633fe743f480
windows xp sp3 / vmware 8.1
Запуск
(http://i5.pixs.ru/thumbs/6/1/5/AshampooSn_4710635_4956615.jpg) (http://pixs.ru/showimage/AshampooSn_4710635_4956615.png)
Ограниченных прав песочницы ему не хватило для запуска.
Перезагрузка чисто.
Вот так выглядит запущенный винлок. (без антивируса)
(http://i.pixs.ru/thumbs/6/6/5/AshampooSn_6444637_4956665.jpg) (http://pixs.ru/showimage/AshampooSn_6444637_4956665.png)
справился на отлично!
Title: Re: Про баннеры.
Post by: makcunknown on June 05, 2012, 01:12:49 PM
Странно, мне песочница не дала его запустить. Не хочу активировать себе его, но вопрос, cureit через livеcd убивать его в мбр?
Title: Re: Про баннеры.
Post by: military on June 05, 2012, 01:16:23 PM
Странно, мне песочница не дала его запустить. Не хочу активировать себе его, но вопрос, cureit через livеcd убивать его в мбр?
не уверен. думаю для этого необходим детект доктора.
Title: Re: Про баннеры.
Post by: koscl on June 05, 2012, 06:20:11 PM
кстати, если компьютер уже заражен вымогателем, то обратите внимание на утилиту ANtiSMS.
очень эффективное простое средство.
работает только с liveCD.
лечит в один клик.
Title: Re: Про баннеры.
Post by: makcunknown on June 05, 2012, 06:27:21 PM
кстати, если компьютер уже заражен вымогателем, то обратите внимание на утилиту ANtiSMS.
очень эффективное простое средство.
работает только с liveCD.
лечит в один клик.

Если это WinLock mbr, то не поможет.
Title: Re: Про баннеры.
Post by: koscl on June 05, 2012, 06:31:26 PM
Если это WinLock mbr, то не поможет.

ну что вы пишите! Почитайте хотя бы мануал, зачем фантазировать?
http://antisms.simplix.info/

Удаляет все известные mbr вымогатели, включая те, которые портят таблицу разделов.
Также сама восстанавливает файлы типа userinit.exe
Title: Re: Про баннеры.
Post by: military on June 05, 2012, 06:57:51 PM
работает. просмотрите последние пару страниц, здесь (http://safetygate.ru/index.php?topic=1744.msg75643#new)
Title: Re: Про баннеры.
Post by: Yurec66 on June 06, 2012, 10:31:42 AM
Прочитал всю ветку так и не понял почему аваст пропускает эту заразу? Вот недавно лечил человеку комп от банера. Правда обошлось без гемора (загрузка в защищенном режиме, откат на раннюю точку), вроде прокатило нормально. Ну так я уже как то очкую, в какой момент ожидать подцепки этой заразы.
Title: Re: Про баннеры.
Post by: makcunknown on June 06, 2012, 10:38:34 AM
Прочитал всю ветку так и не понял почему аваст пропускает эту заразу? Вот недавно лечил человеку комп от банера. Правда обошлось без гемора (загрузка в защищенном режиме, откат на раннюю точку), вроде прокатило нормально. Ну так я уже как то очкую, в какой момент ожидать подцепки этой заразы.

Потому что этой заразы очень много и каждых пол дня эти баннеры клепают по сто их разновидностей, вот как пример, даже мегаантивирус касперский не видит этого баннера:

http://virusscan.jotti.org/ru/scanresult/51a8de2afcefe390e3b2260acfbddb929a4b2d15/f0b2ec3d394e569508429c6be674f4cd7fe07342

WinLock классно ещё максируют, вот я вытаскиваю 2 баннера в день, с сайта, который нельзя занести в черный список, на него я попадаю всегда из под разных ссылок(не с первого раза конечно получается, приходится потыкать =)), то есть всегда редирект на разные url.
Title: Re: Про баннеры.
Post by: Yurec66 on June 06, 2012, 10:48:21 AM
Я так и предполагал, что разработчики не успевают регистрировать маски и т.д. Но все равно как то не уютно себя чувствуешь, если защита не надежная.  :-\
Title: Re: Про баннеры.
Post by: military on June 06, 2012, 11:06:41 AM
Тоже читал отзывы, что аваст пропускает винлок.
спасибо makcunknown за винлоки )) тестирую каждый день, но не пропускает аваст даже свежие винлоки. Подозреваю, что пользователь сам разрешает запуск xxx.avi.exe файла. 
Title: Re: Про баннеры.
Post by: makcunknown on June 06, 2012, 11:13:52 AM
Я раньше не знал, что такое AutoSandBox, теперь за счёт этой защиты, можно и не поймать, но есть не знающие, либо будут тыкать и запускать, несмотря на предупреждения, либо некоторые пользователи  всего-навсего выключают SandBox(ввиду того, что типа эта защита не позволяет запускать некоторые не зловредные приложения. А всего то нужно просто в SandBox добавить в исключения эти самые приложения и всё) и так ловят спокойно, либо не обновлённые версии Аваста, в которых SandBox. SandBox появился с версии 7.0 я так понимаю?
Title: Re: Про баннеры.
Post by: military on June 06, 2012, 11:19:23 AM
Quote
я так понимаю?
все верно. но это проблема пользователя, а не аваста. Мне кажется аваст и с настройками по умолчанию справиться с винлоком, надо попробовать.
Title: Re: Про баннеры.
Post by: Ivanych on June 06, 2012, 11:42:10 AM
А всего то нужно просто в SandBox добавить в исключения эти самые приложения и всё) и так ловят спокойно, либо не обновлённые версии Аваста, в которых SandBox. SandBox появился с версии 7.0 я так понимаю?
В 6.0.1367 есть AutoSandBox в дополнительной защите.
Title: Re: Про баннеры.
Post by: A. on June 06, 2012, 12:00:22 PM
Quote
я так понимаю?
все верно. но это проблема пользователя, а не аваста. Мне кажется аваст и с настройками по умолчанию справиться с винлоком, надо попробовать.
по умолчанию экран поведения стоит автоматически
с такими настройками пропустит
надо чтобы спрашивал.
я в дополнении еще поставил АВГ без мониторов только Компонент Identity Protection
он хорошо работает в паре с проактивкой аваст, если зараза уже проникла, отменит все внесенные малварой в систему изменения (вставки кодов, изменения реестра, открытие портов и т. д.).

Title: Re: Про баннеры.
Post by: George Yves on June 06, 2012, 12:11:53 PM
Прочитал всю ветку так и не понял почему аваст пропускает эту заразу? Вот недавно лечил человеку комп от банера. Правда обошлось без гемора (загрузка в защищенном режиме, откат на раннюю точку), вроде прокатило нормально. Ну так я уже как то очкую, в какой момент ожидать подцепки этой заразы.
Может я и не о том, о чём говорят в этой теме, но разве "отсев" зловредных баннеров это задача одного только антивируса? Не знаю насколько это помогает (потому как ни разу не сталкивался с винлоками), но я, во-первых, вообще не щёлкаю по баннерам (если это не ссылки на сервисы в которых я абсолютно уверен - например, сервисы академий CISCO); во-вторых, у меня установлены дополнительные программы защиты (SpywareBlaster, Spyware Terminator, Threatfire); и в-третьих, в моём Фаерфоксе установлены расширения безопасности из-за которых я баннеры практически не вижу.
Title: Re: Про баннеры.
Post by: military on June 06, 2012, 12:30:54 PM
Quote
по умолчанию экран поведения стоит автоматически
с такими настройками пропустит
:'( ага
(http://i.pixs.ru/thumbs/6/8/0/AshampooSn_3710115_4964680.jpg) (http://pixs.ru/showimage/AshampooSn_3710115_4964680.png)
мне кажется это огромный минус..
Title: Re: Про баннеры.
Post by: Ivanych on June 06, 2012, 01:21:23 PM
Прочитал и посмотрел скрин.
И вижу,что это сообщение выдал McAfee SiteAdvisor,который внутри браузера.
Выходит,что он или блокирует или только предупреждает о уже случившемся ??
Объясните пожалуйста.
Title: Re: Про баннеры.
Post by: military on June 06, 2012, 03:15:23 PM
ivanovich, если это по поводу моего сообщения. То McAfee SiteAdvisor не стоит. Скрин винлокера (блокера, баннера) , которого пропустил аваст с настройками по умолчанию. Обычные блокеры сидят в системе и обычно они синего цвета. Этот круче, он загружается в главную загрузочную запись, с нее начинается загрузка жесткого диска. Если обычные блокеры иногда можно удалить руками через загрузку в Безопасном режиме, то тут это не получиться, система не загружается.
Title: Re: Про баннеры.
Post by: A. on June 06, 2012, 05:11:43 PM
у AVG такая форма есть например http://samplesubmit.avg.com/ru-ru/sample-scanning
ответ всегда приходит. добавляют быстро обычно..
не быстрее доктора но уж точно быстрее аваста  :)
Title: Re: Про баннеры.
Post by: Ivanych on June 06, 2012, 05:25:50 PM
ivanovich, если это по поводу моего сообщения. То McAfee SiteAdvisor не стоит. Скрин винлокера (блокера, баннера) , которого пропустил аваст с настройками по умолчанию. Обычные блокеры сидят в системе и обычно они синего цвета. Этот круче, он загружается в главную загрузочную запись, с нее начинается загрузка жесткого диска. Если обычные блокеры иногда можно удалить руками через загрузку в Безопасном режиме, то тут это не получиться, система не загружается.
Выходит,что тогда надо будет по новой загружать всю операционку с дисков.А перед операцией форматировать диск С: И где их можно подцепить ?? Только адреса не приведи Господи не пишите.А настройки в AVASTe которые стоят по умолчанию,выходит надо будет по другому ставить самому??? А как ???
Title: Re: Про баннеры.
Post by: makcunknown on June 06, 2012, 05:28:53 PM
ivanovich, если это по поводу моего сообщения. То McAfee SiteAdvisor не стоит. Скрин винлокера (блокера, баннера) , которого пропустил аваст с настройками по умолчанию. Обычные блокеры сидят в системе и обычно они синего цвета. Этот круче, он загружается в главную загрузочную запись, с нее начинается загрузка жесткого диска. Если обычные блокеры иногда можно удалить руками через загрузку в Безопасном режиме, то тут это не получиться, система не загружается.
Выходит,что тогда надо будет по новой загружать всю операционку с дисков.А перед операцией форматировать диск С: И где их можно подцепить ?? Только адреса не приведи Господи не пишите.А настройки в AVASTe которые стоят по умолчанию,выходит надо будет по другому ставить самому??? А как ???

Форматирование может не помочь, придётся либо диск делить заного, либо много ещё способов есть, mbr cureit к примеру может удалить, и винда снова запустится.

=====================================================================================================================================

С сегодня мою ссылку уже блокирует аваст, посмотрим что завтра будет, сам винлокер достаю через отключение антивируса на время. (Я не думаю, что зря это делаю(аваст блокирует и как бы забить), так как баннер подобный может ещё где нибудь обитать)

Title: Re: Про баннеры.
Post by: military on June 06, 2012, 05:36:45 PM
Quote
А перед операцией форматировать диск С: И где их можно подцепить ?? Только адреса не приведи Господи не пишите.А настройки в AVASTe которые стоят по умолчанию,выходит надо будет по другому ставить самому??? А как
в том то и дело, что форматирование не поможет. вирус не на жестком диске, он вообщем в памяти. Можете познакомиться с загрузочными дисками AntiSMS (http://forum.simplix.ks.ua/viewtopic.php?id=399) и Kaspersky Rescue Disk (http://www.kaspersky.ru/virusscanner) . Это на тот случай если он пролезет. Но винлок точно не проходит с настройками AutoSandbox и Экран Поведения  в Спрашивать. Тогда при запуске винлока надо будет выбрать запустить в песочнице или запретить. 
Title: Re: Про баннеры.
Post by: Ligalizovan on June 06, 2012, 05:51:08 PM
makcunknown
Мне вот интересно... где вы эти локеры находите, вы может сами делаете их?
Title: Re: Про баннеры.
Post by: A. on June 06, 2012, 06:15:49 PM
или запретить.

так он запуститься. придеться уходить в ребут
надо "запретить и закрыть"
Title: Re: Про баннеры.
Post by: makcunknown on June 07, 2012, 02:16:58 AM
makcunknown
Мне вот интересно... где вы эти локеры находите, вы может сами делаете их?

=)), смысл мне их делать и отсылать в лабораторию(и если посмотреть номера то телефонов Московские, я живу на Дальнем Востоке)? Пытался найти конструктор(по экспериментировать), но все гасятся авастом.
Title: Re: Про баннеры.
Post by: military on June 07, 2012, 09:46:34 AM
Quote
Пытался найти конструктор(по экспериментировать), но все гасятся авастом.
у вас эксклюзивные блокеры, их таким конструктором не с бацаешь.  :)
Эти блокеры от гурманов своего дела.
Title: Re: Про баннеры.
Post by: A. on June 07, 2012, 11:47:46 AM
гораздо эффективней отправлять другим чехам в AVG
 добавляют всегда :) на след день уже
Title: Re: Про баннеры.
Post by: military on June 07, 2012, 11:51:39 AM
гораздо эффективней отправлять другим чехам в AVG
 добавляют всегда :) на след день уже
аваст тоже быстро добавляет. просто отчет не высылает по отправленному файлу.
так?
Title: Re: Про баннеры.
Post by: A. on June 07, 2012, 11:58:31 AM
гораздо эффективней отправлять другим чехам в AVG
 добавляют всегда :) на след день уже
аваст тоже быстро добавляет. просто отчет не высылает по отправленному файлу.
так?


по моим наблюдениям невсегда быстро. бывало и неделями в карантине лежало без детекта.
а бывало и через сутки уже

ответ пару раз даже приходил :)
-
Quote
-

Hello,
thank you for samples. We will check them and add in our databese.

Thank you&  best regards

Filip Chytrý
Virus analyst

Avast Software a.s.
Trianon office building
Budějovická 1518/13a
140 00 Praha 4
Title: Re: Про баннеры.
Post by: military on June 23, 2012, 10:49:58 PM
Сегодня опытным путем пришел к важному выводу:
тестировал аваст на запуск винлоков.  3 винлока, два сразу перемещены в карантин, так и не успели вылезти. Первый винлок при выборе запретить и закрыть - после перезагрузки блокирует систему. При выборе закрыть и переместить в карантин - после перезагрузки все чисто. проверял 2 раза.
Вывод: обязательно аутосандбокс и экран поведения переводим в режим спрашивать, при появлении сообщения выбираем закрыть и переместить в карантин и перезагружаем компьютер. Это в бета версии.
В финальной достаточно выбрать закрыть и запретить.
Title: Re: Про баннеры.
Post by: makcunknown on June 24, 2012, 03:31:35 AM
Сегодня опытным путем пришел к важному выводу:
тестировал аваст на запуск винлоков.  3 винлока, два сразу перемещены в карантин, так и не успели вылезти. Первый винлок при выборе запретить и закрыть - после перезагрузки блокирует систему. При выборе закрыть и переместить в карантин - после перезагрузки все чисто. проверял 2 раза.
Вывод: обязательно аутосандбокс и экран поведения переводим в режим спрашивать, при появлении сообщения выбираем закрыть и переместить в карантин и перезагружаем компьютер.

Почему бы по стандарту, изначально в Авасте бы так не устанвить на спрашивать, а не автоматически.
Title: Re: Про баннеры.
Post by: military on June 24, 2012, 08:43:15 AM
Quote
Почему бы по стандарту, изначально в Авасте бы так не устанвить на спрашивать, а не автоматически.
потому что изначально все антивирусы настроены для "домохозяек " на автомате.
У некоторых при появлении алерта антивируса возникают головные боли и мигрени.
Title: Re: Про баннеры.
Post by: makcunknown on July 14, 2012, 02:39:55 AM
Очень печально конечно, но этот баннер уже неделю отправляю в лабораторию и на почту к ним, тишина.

http://virusscan.jotti.org/ru/scanresult/4fe91cfe63540d8c0b28817008c68866feef3874
Title: Re: Про баннеры.
Post by: makcunknown on July 17, 2012, 03:01:30 AM
Hello,
 thank you for samples. We will check them and add in our databese.

 Thank you& best regards

 Filip Chytrý
 Virus analyst

 Avast Software a.s.
 Trianon office building
 Budějovická 1518/13a
 140 00 Praha 4

Отписали, а добавить, так и не добавили. Что за бред?
Title: Re: Про баннеры.
Post by: makcunknown on October 15, 2012, 03:49:29 AM
Сюда буду выкладывать скрины вирусов, которые не видит аваст (Далее отправленных в лабораторию). Просто как пример (статистика для меня), какое количество я отправляю в лабораторию.

Просьба кто не может или не знает как отправить фаил вирус в лабораторию, скидывать мне на почту makcg@mail.ru .

И так начну. До этого уже было выслано мною более 100 винлоков и 50 крипто вирусов, блокирующих доступ в инете через браузеры.

(http://img.pixs.ru/storage/1/3/3/winlockjpg_7074396_6061133.jpg)
Title: Re: Про баннеры.
Post by: Dim@rik on October 15, 2012, 04:32:10 PM
Сюда буду выкладывать скрины вирусов, которые не видит аваст (Далее отправленных в лабораторию). Просто как пример (статистика для меня), какое количество я отправляю в лабораторию.

Просьба кто не может или не знает как отправить фаил вирус в лабораторию, скидывать мне на почту makcg@mail.ru .

И так начну. До этого уже было выслано мною более 100 винлоков и 50 крипто вирусов, блокирующих доступ в инете через браузеры.

(http://img.pixs.ru/storage/1/3/3/winlockjpg_7074396_6061133.jpg)

А за чем это тут выкладывать?

Есть тема, и достаточно ссылки с VT.

http://forum.avast.com/index.php?topic=64122.840
Title: Re: Про баннеры.
Post by: makcunknown on October 16, 2012, 12:57:58 PM
Dim@rik
Здесь моя статистика. Там пусть пиндосы свои пиндостанские вирусы показывают.

Блокирует инет в браузерах.

(http://img.pixs.ru/storage/4/3/2/scanjpg_3789120_6073432.jpg)
Title: Re: Про баннеры.
Post by: George Yves on October 16, 2012, 06:30:18 PM
Здесь моя статистика. Там пусть пиндосы свои пиндостанские вирусы показывают.
Хотел бы Вам напомнить, что здесь форум международного сообщества, а не национальные квартиры. И прекратите использовать ненормативную лексику.
Title: Re: Про баннеры.
Post by: makcunknown on October 18, 2012, 03:44:05 PM
Блок интернета в браузерах. Помог одному гостю здесь. Спасибо ему.

(http://img.pixs.ru/storage/6/8/4/scanjpg_4601250_6094684.jpg)
Title: Re: Про баннеры.
Post by: Nicholas@ on October 19, 2012, 03:42:14 AM
чисто мое мнение нужно к антивирусу поставить firewall и банеры не будут лести у меня у брата стоит Avast и Windows 7 Firewall Control и уже я забыл как убирать с  его компа баннеры  а раньше стаял просто Avast и мне приходилось убирать эти баннеры чуть не каждый день если уж вы поймали бан то вот вам в помощь прога пока еще не разу не подводила AntiSMS
Title: Re: Про баннеры.
Post by: makcunknown on October 24, 2012, 12:13:59 PM
Hosts trojan's

(http://s42.radikal.ru/i095/1210/27/080af78453e1.jpg)

(http://s017.radikal.ru/i433/1210/27/aee62a7f90a5.jpg)
Title: Re: Про баннеры.
Post by: makcunknown on October 29, 2012, 04:59:33 AM
Winlock

(http://img.pixs.ru/storage/7/4/6/winlockjpg_1412853_6180746.jpg)
Title: Re: Про баннеры.
Post by: Ivanych on October 29, 2012, 12:41:33 PM
Я ни разу не ловил эти гадости.Я много раз писал,что у меня стоит и AIS,и Защитник и Брандмауэр Windows.Поэтому у кого стоит бесплатный на год Avast и есть эти два защитника,то лучше их включить,а не грузить и диск и систему.Защитник обновляет свою базу определений.А брандмауэр стоит прекрасно.Но,решать самому хозяину.
Title: Re: Про баннеры.
Post by: makcunknown on October 30, 2012, 04:40:39 AM
Ещё букетик предоставлю.

taskhosts

(http://img.pixs.ru/storage/3/1/6/hostsjpg_5436763_6190316.jpg)

(http://img.pixs.ru/storage/3/1/7/hosts1jpg_8892120_6190317.jpg)


Блокировщик инета в браузерах.

(http://img.pixs.ru/storage/3/1/3/blockjpg_7486704_6190313.jpg)
Title: Re: Про баннеры.
Post by: Nicholas@ on November 06, 2012, 06:51:30 AM
Я ни разу не ловил эти гадости.Я много раз писал,что у меня стоит и AIS,и Защитник и Брандмауэр Windows.Поэтому у кого стоит бесплатный на год Avast и есть эти два защитника,то лучше их включить,а не грузить и диск и систему.Защитник обновляет свою базу определений.А брандмауэр стоит прекрасно.Но,решать самому хозяину.
у меня у братишки стоит бесплатный на год Avast и брандмауэр Windows 7 Firewall Control и защитник включен а он все же поймал банер давно он их не ловил думал ну славо богу а тут такое бах бах и вот он банер что то аваст не работает в вставляет Баннеры себе в базу 
Title: Re: Про баннеры.
Post by: Ligalizovan on November 06, 2012, 01:49:24 PM
Nicholas@
Баннер можно поймать с любым антивирусом.
Title: Re: Про баннеры.
Post by: Nicholas@ on November 07, 2012, 10:51:32 AM
Nicholas@
Баннер можно поймать с любым антивирусом.
Спорить не буду но пока сколько я не седел на не хороших сайтах где их можно поймать не разу еще не ловил их там может вы скажите это везении то я скажу вряд ли что это везение у меня на виртуалки стаит  Comodo internet Security Premium и еще не попадался не один бан я на этих сайтах давно лажу хотьбы один поймать
Title: Re: Про баннеры.
Post by: Sergey888 on November 07, 2012, 05:54:40 PM
Nicholas@
Баннер можно поймать с любым антивирусом.
Спорить не буду но пока сколько я не седел на не хороших сайтах где их можно поймать не разу еще не ловил их там может вы скажите это везении то я скажу вряд ли что это везение у меня на виртуалки стаит  Comodo internet Security Premium и еще не попадался не один бан я на этих сайтах давно лажу хотьбы один поймать

Чтобы не ловить всякую дрянь настройка браузера значительно важнее антивируса. А если по теме, то антивирусу от Comodo пока еще далеко до аваста а устанавливать его как фаервол тут не могу не отметить что фаервол у него отличный, но после многолетнего пользования разными фаерволами понял, что это скорее инструмент торможения системы, чем реальная защита. Поэтому от использования фаерволов отказался.
Title: Re: Про баннеры.
Post by: Nicholas@ on November 08, 2012, 06:58:35 AM
Nicholas@

то антивирусу от Comodo пока еще далеко до аваста а устанавливать его как фаервол тут не могу не отметить что фаервол у него отличный, но после многолетнего пользования разными фаерволами понял, что это скорее инструмент торможения системы, чем реальная защита. Поэтому от использования фаерволов отказался.
сколько людей столько и мнений
Title: Re: Про баннеры.
Post by: makcunknown on November 14, 2012, 03:32:58 PM
А вот и новый вирус шифровчик-мошенник  http://forum.kaspersky.com/lofiversion/index.php/t234075-1500.html  уже пару моих знакомых такое отловили. Из прочитанного там, я понял, что это не винлок вручную удалить и не восстановить jpg, doc через hex после пенетратора, это опасная штука получается. Борьбы против такого пока вроде нет, ну только если конечно не ловить такое.

p.s. http://virusscan.jotti.org/ru/scanresult/134bb6bbc87ac9eb631dc71b6a73e97eef4c40ba
Title: Re: Про баннеры.
Post by: Anmawe on November 16, 2012, 11:40:25 AM
makcunknown, где они его подхватили ? Можно просто бэкап на другой носитель или носители делать важной информации , куда троян не доберется.
Title: Re: Про баннеры.
Post by: makcunknown on January 27, 2013, 05:22:17 AM
Продолжаю свою историю.

(http://i082.radikal.ru/1301/e5/128bb4c169cf.jpg)
Title: Re: Про баннеры.
Post by: makcunknown on January 28, 2013, 01:30:57 AM
Вирус mbr(Даже после установки винды, вирус пингует какой то сайт, то есть бот робот, вполне возможно для DDoS атак), но не баннер. Лечится либо удалением разделов, либо восстановлением mbr.

Title: Re: Про баннеры.
Post by: Nicholas@ on January 28, 2013, 10:16:26 AM
а что говорят разработчики по поводу этого
Title: Re: Про баннеры.
Post by: makcunknown on January 28, 2013, 01:31:45 PM
а что говорят разработчики по поводу этого

Вопрос не ясен. Что они должны сказать?
Title: Re: Про баннеры.
Post by: military on January 28, 2013, 02:59:21 PM
Quote
Что они должны сказать?
Вообщем, что говорят?  :)
запускать не пробовал?
Title: Re: Про баннеры.
Post by: amid525 on January 28, 2013, 03:09:43 PM
так они не знают, что сказать :-\ 
 (шутка) ;D
Title: Re: Про баннеры.
Post by: Nicholas@ on January 29, 2013, 07:32:35 AM
на сколько мне извесно avast пропускает банеры на комп
Title: Re: Про баннеры.
Post by: amid525 on January 29, 2013, 10:19:10 AM
Пример в студию! ;)
Title: Re: Про баннеры.
Post by: Nicholas@ on January 29, 2013, 11:01:18 AM
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер 
Title: Re: Про баннеры.
Post by: makcunknown on January 29, 2013, 11:31:53 AM
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер 

Я бы так прямо не заявлял. Что мешает эти баннеры отсылать в лабораторию, чтобы повторно не ловить их? Во вторых, могу сказать, что нод32, др.веб и каспер тоже пропускают баннеры и давольно таки часто(По поводу нода и др.веба видно по скринам, которые я тут выкладывал).
Title: Re: Про баннеры.
Post by: amid525 on January 29, 2013, 12:33:19 PM
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер
Ну, так нужно было и сказать, - фактов нет. Только слухи...
 Разговор, ни о чем.  :)
Title: Re: Про баннеры.
Post by: Ivanych on January 29, 2013, 09:32:02 PM
пример не могу привести но столько друзей не лазило по эротичным сайтам и не только по ним все лавили банер
=================
Я если и лезу туда(у меня только три сайта),то только в SafeZone.И всё чисто и опрятно!Главное головой думать!
Title: Re: Про баннеры.
Post by: amid525 on January 29, 2013, 09:46:09 PM
А вот мне порой, даже хочется, что-нибудь для разнообразия подхватить!(поизучать, повоевать так сказать.. О последствиях не переживаю, т.к всегда могу откатиться через СТМ):)  Но не получается.. :-\ Кругом одни алерты или от Аваста, или от Комодо. Стенка.
Title: Re: Про баннеры.
Post by: j.bonzo on January 29, 2013, 10:47:54 PM
...О последствиях не переживаю, т.к всегда могу откатиться через СТМ):) 
:o Crazy...
И чем поможет СТМ при заражении мбрлокером, повреждающим таблицу разделов?
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 12:23:38 AM
попробуйте кому невлом  ;)
http://rghost.ru/43410444
локер винды, нужна чисто реакция экрана поведения
Win32:Malware-gen это и так понятно  :)
код на разблокировку если ч0  -> 534227775

http://img815.imageshack.us/img815/9720/20611181.png


Title: Re: Про баннеры.
Post by: j.bonzo on January 30, 2013, 01:29:31 AM
...попробуйте кому невлом...
Выложите файл в запароленном архиве.
Я, например, даже скачать его не могу, чтобы "донести" до компьютеров с Авастом, а антивирус отключать не собираюсь, т.к. сразу после нажатия "Скачать" на странице со ссылкой начинается "активность" в папке Temp.
(http://i.pixs.ru/thumbs/3/5/5/ScreenShot_4691131_6964355.jpg) (http://pixs.ru/showimage/ScreenShot_4691131_6964355.jpg)
(http://i.pixs.ru/thumbs/3/6/8/ScreenShot_6427358_6964368.jpg) (http://pixs.ru/showimage/ScreenShot_6427358_6964368.jpg)
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 01:33:56 AM
...попробуйте кому невлом...
Выложите файл в запароленном архиве.
Я, например, даже скачать его не могу, чтобы "донести" до компьютеров с Авастом, а антивирус отключать не собираюсь, т.к. сразу после нажатия "Скачать" на странице со ссылкой начинается "активность" в папке Temp.
(http://i.pixs.ru/thumbs/3/5/5/ScreenShot_4691131_6964355.jpg) (http://pixs.ru/showimage/ScreenShot_4691131_6964355.jpg)
(http://i.pixs.ru/thumbs/3/6/8/ScreenShot_6427358_6964368.jpg) (http://pixs.ru/showimage/ScreenShot_6427358_6964368.jpg)

выкинь свой нортон на помойку
Title: Re: Про баннеры.
Post by: j.bonzo on January 30, 2013, 01:38:00 AM
выкинь свой нортон на помойку
Рядом с твоими мозгами?
Кто, блин, выкладывает вирусы в свободный доступ без архива с паролем?
Title: Re: Про баннеры.
Post by: Nicholas@ on January 30, 2013, 07:24:54 AM
выкинь свой нортон на помойку
Зря вы так например мой CIS 6 тоже говорит что это вирус
Title: Re: Про баннеры.
Post by: Nicholas@ on January 30, 2013, 07:29:18 AM
ex_avira_user
здесь нельзя выкладывать вирусы это может привести к большому шолбану от админов
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 09:13:11 AM
...О последствиях не переживаю, т.к всегда могу откатиться через СТМ):) 
:o Crazy...
И чем поможет СТМ при заражении мбрлокером, повреждающим таблицу разделов?
Вы на примере ссылки выше http://rghost.ru/43410444 ?
Нет проблем. :) Отключил специально Аваст(т.к веб экран блокировал). Далее, на мое удивление, Комодо ф(проактивка), оказался беспомощным :P (только успел показать окошко о вредоносном объекте) и тут-же картинка о блокировке системы. Все ф-ции системы нейтрализованны, курсор только в окошке мог перемещаться..
Выключаю принудительно комп. Включаю. В момент первой заставки СТМ (перед загрузкой винды), вызываю базу снимков. Выбираю последний. Перезагрузка...,  и Вуаля!. Все как ни в чем не бывало.. ;)
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 09:42:01 AM
выкинь свой нортон на помойку
Рядом с твоими мозгами?
Кто, блин, выкладывает вирусы в свободный доступ без архива с паролем?

зачем на личности переходишь ?
лично тебя я не оскорблял.

...О последствиях не переживаю, т.к всегда могу откатиться через СТМ):) 
:o Crazy...
И чем поможет СТМ при заражении мбрлокером, повреждающим таблицу разделов?
Вы на примере ссылки выше http://rghost.ru/43410444 ?
Нет проблем. :) Отключил специально Аваст(т.к веб экран блокировал). Далее, на мое удивление, Комодо ф(проактивка), оказался беспомощным :P (только успел показать окошко о вредоносном объекте) и тут-же картинка о блокировке системы. Все ф-ции системы нейтрализованны, курсор только в окошке мог перемещаться..
Выключаю принудительно комп. Включаю. В момент первой заставки СТМ (перед загрузкой винды), вызываю базу снимков. Выбираю последний. Перезагрузка...,  и Вуаля!. Все как ни в чем не бывало.. ;)
на авасте ктонить проверьте плз
из модулей только экран поведения в режиме спрашивать
остальное офф

мне просто влом  ставить этот софт и регать потом чтобы файлик только затестить

Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 09:44:21 AM
ex_avira_user, ну как, удивил СТМ?  :)
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 10:08:33 AM
Quote
на авасте ктонить проверьте плз
из модулей только экран поведения в режиме спрашивать
Нет реакции :(

Quote
мне просто влом  ставить этот софт и регать потом чтобы файлик только затестить
А вот это зря, или легкомысленно!
Этот  софт(есть не просит), -  и кой-какая гарантия, от "кривых рук", или когда антивирусы прошляпили. ;)
Title: Re: Про баннеры.
Post by: military on January 30, 2013, 10:16:32 AM
Quote
Вы на примере ссылки выше http://rghost.ru/43410444 ?
аваст фри, экран поведения, autosanbox- спрашивать.
(http://i.imgur.com/LMEUcRO.png)
вылез баннер, псле перезагрузки все чисто. (так он и работает, проверенно на сотни винлоках)
Comodo fw , песочница отключена, т.к после нее в 100% случаях система останется чистая (тестировать песочницу уже не интересно). HIPS вкл.
1. Разрешаю запуск
(http://i.imgur.com/41lyeR2.png)
2. Запрещаю и выбираю закрыть приложение.
(http://i.imgur.com/QjXt58d.png)
Чисто
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 10:22:52 AM
Quote
на авасте ктонить проверьте плз
из модулей только экран поведения в режиме спрашивать
Нет реакции :(



у меня стоит(стоял) симантек
там СОНАР молчит 0 реакции

а по поводу репутации это лол
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 10:26:33 AM
military, так у тебя Аваст заблокировал? У меня не спрашивал ничего, возможно из-за отключенной песочницы :(

Да и Комодо промолчал..  Ты под админом в системе? Я да. Может в этом причина.. :-\
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 10:28:44 AM
Quote
Вы на примере ссылки выше http://rghost.ru/43410444 ?
аваст фри, экран поведения, autosanbox- спрашивать.


8 бета ?
Title: Re: Про баннеры.
Post by: military on January 30, 2013, 10:30:17 AM
amid525
провел повторный тест. Комодо выдал сразу 2 алерта. 1. Хипс . 2. Облако сработало и предложило удалить файл.
Аваст 7 финал все в спрашивать. Под админом, хрюша сп3
(http://i.imgur.com/a3pdZRB.png)
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 10:36:45 AM
military

 ::) надо ставить тогда..

просто авг 2013 IP из всей коллекции только этот и еще 1 пропустил
но там жеский винлок.. Identity не реагирует

буду ставить на пару к авг..
Title: Re: Про баннеры.
Post by: military on January 30, 2013, 10:41:59 AM
ex_avira_user
имхо IP AVG и Аваст "в спрашивать" практически одинаковые, оба могут из большого кол-ва винлоков, один да пропустить, не смертельно ). Тестировали с makcunknown , полистайте первые страницы этой темы.
Ну а Comodo fw отрабатывает всегда.
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 10:46:26 AM
military, комодо только облаком выдал алерт, но он был бессмысленным, т.к винлок уже запустился за ним сразу, блокировав курсор и т.д..
У тебя exploer.exe в правилах проактивной защиты, как стоит? У меня как "системное приложение". Может в этом проблема.. ::)
Title: Re: Про баннеры.
Post by: military on January 30, 2013, 10:50:44 AM
amid525
странно, мне давал нажать на сообщения, плюс делал скриншоты. Ты перезагрузку делал? Скорее всего не делал.
Конфиг Проактив.
(http://i.imgur.com/bYls0hf.png)
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 11:15:56 AM
Почему эксплорер у тебя  как "установка и обновление"?

Комодо 5, только сообщения в облаке показывает.(и на семерке)
А по поводу аваста 8(тоже на w7), экран поведения показал предупреждение "что делать". На запрет - не отреагировал. Как скрылось его окно, под ним уже сидит экран винлокера
Title: Re: Про баннеры.
Post by: military on January 30, 2013, 11:24:43 AM
Quote
Почему эксплорер у тебя  как "установка и обновление"?
Не знаю почему, специально ничего не менял.
Аваст 8 не тестирую, считаю его даже не бетой, имхо.
Винлок после сообщения аваста проскочил, но после перезагрузки все чисто. Не знаю почему, но винлоки он таким образом мочит.
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 11:34:57 AM

Винлок после сообщения аваста проскочил, но после перезагрузки все чисто. Не знаю почему, но винлоки он таким образом мочит.
Да, похоже  и у меня так.. Стоит просто выйти из системы(не перезагружаясь), как все нормально.
Но вот Комодо 5, удивил. :-\  Есть у тебя возможность на 5-ом проверить?
Title: Re: Про баннеры.
Post by: military on January 30, 2013, 11:44:53 AM
amid525
comodo fw 5 (проактивный режим- конфигурация) , песочницу отключил.
1. Разрешил (http://i.imgur.com/CI0IamO.png)
2. Запретил
(http://i.imgur.com/HYNztfs.png)
нажал запретить, винлока нет, но экран пустой.
Перезагрузился, чисто. Explorer - доверенное приложение.
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 12:16:35 PM
Короче разобрался.. :)
Оказывается, для хр и 7, при комодо 5, нужны особые настройки защиты.
А именно - включение режима "контроль исполнения приложений" (ранее этот режим был отключен, т.к выдавал много ненужных вопросов), и считал что защита особо не пострадает.. Однако.. ::)
И в правилах проактивной защиты, для процесса explorer.exe, - должно быть "пользовательская политика". В инных вариантах (системное приложение, обновление..) - винлок проходит! :D
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 12:40:20 PM
У меня експолрер помечен(мной) как доверенное. Но на онлайн проверке - показывает как неизвестное.(может из-за того что пропатчены системы обе?)
По этому, только в пользовательской политике все под контролем..
И лейк тест весь прошел ;D Ранее, парочку-тройку пропускал..
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 04:02:15 PM
ex_avira_user
имхо IP AVG и Аваст "в спрашивать" практически одинаковые, оба могут из большого кол-ва винлоков, один да пропустить, не смертельно ). Тестировали с makcunknown , полистайте первые страницы этой темы.
Ну а Comodo fw отрабатывает всегда.

поставил 8бета
теперь АВГ проактив стал выдавать вопросы по этому файлу совместно с авастом
лол  ;D
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 04:18:09 PM
Это Аваст ему стал подсказывать, из-за сострадания...  ;D
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 05:33:42 PM
Это Аваст ему стал подсказывать, из-за сострадания...  ;D

ну тогда попробуй запусти  ;)
что скажет проактивочка аваста
http://rghost.ru/43426143

(http://www.pcrisk.com/images/stories/internet-crime-complaint-center-virus.jpg)


Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 05:59:58 PM
Сработал в начале веб экран аваста. Отключил.
Запустил, сработал сетевой экран аваста.. Отключил.
Запустил вновь файл, (комодо всю дорогу выдавал сообщения, я разрешал ему), тем не менее, ни чего более не произошло... ???

С своей задачей, считаю Аваст дважды справился. )
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 06:29:12 PM
ну.. а такое http://rghost.ru/43427555
до сих пор не определяет  :o :D
Title: Re: Про баннеры.
Post by: amid525 on January 30, 2013, 06:37:01 PM
Да, Аваст не среагировал, только защита Комодо. Но ему давал добро.. Что должно произойти? Никаких внешних признаков.. ???
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 07:31:41 PM
Да, Аваст не среагировал, только защита Комодо. Но ему давал добро.. Что должно произойти? Никаких внешних признаков.. ???
FakeAV
 https://www.virustotal.com/file/b7479acd30af35df8a95a2a0a81b03b45cc1525ebe2a94962cfbf98e7585606f/analysis/
Title: Re: Про баннеры.
Post by: George Yves on January 30, 2013, 08:27:03 PM
поставил 8бета
Советую удалить эту версию, потому что нет никакой гарантии, что Вы установили себе именно программу от Аваста, а не троян, прикрывающийся его видом. Тот установочный файл, который бродит по сети с названием Аваст 8 бета в лучшем случае может оказаться всего лишь альфа-версией, не пригодной для качественной защиты компьютера и к тому же украденной у компании. Вам нравится использовать краденное?
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 08:35:11 PM
поставил 8бета
Советую удалить эту версию, потому что нет никакой гарантии, что Вы установили себе именно программу от Аваста, а не троян, прикрывающийся его видом. Тот установочный файл, который бродит по сети с названием Аваст 8 бета в лучшем случае может оказаться всего лишь альфа-версией, не пригодной для качественной защиты компьютера и к тому же украденной у компании. Вам нравится использовать краденное?

незнаю, отсюда качал http://www.comss.ru/page.php?id=337
этот ресурс надежный ящетаю
а бета на то и бета вроде ..
Title: Re: Про баннеры.
Post by: George Yves on January 30, 2013, 09:00:31 PM
ex_avira_user
Вы используете краденную бета-версию (а точнее - альфа-версию), предназначенную для закрытого тестирования. Вы любите использовать краденное?
Title: Re: Про баннеры.
Post by: Ivanych on January 30, 2013, 09:27:16 PM
ex_avira_user
Вы используете краденную бета-версию (а точнее - альфа-версию), предназначенную для закрытого тестирования. Вы любите использовать краденное?
-------------------------------------------------
Господи!
Читаю и балдею!
Где только скачивают,где только находят всяких гадостей,где только их тестируют!
Вы,что не можете хоть денёк-два отдохнуть от этого всего?
Отдохните,посмотрите хороший фильм или сериал.
Всё тестируют,скачивают,удаляют.
У меня такое впечатление создаётся,что вы может вообще не спите?
Давайте лучше все пойдём баиньки!
Всем сладких снов!
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 09:42:11 PM
ex_avira_user
Вы используете краденную бета-версию (а точнее - альфа-версию), предназначенную для закрытого тестирования. Вы любите использовать краденное?

в вашем вопросе чувствуются нотки провакации
George Yves, вам нравится провоцировать учасников форума? ;D

все, я закрылся и ушел тестировать  :P
Title: Re: Про баннеры.
Post by: George Yves on January 30, 2013, 09:47:47 PM
Нет, я Вас не провоцировал. Я намекал на последствия, но теперь уже поздно. Ваши "старания" не остались не замеченными администрацией форума. Прошу не удивляться, когда в лучшем случае Вы будете ограничены в правах на форуме, а в худшем - забанены. Использование и поощрение к использованию краденного наказуемо не только по УК.
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 10:00:36 PM
Нет, я Вас не провоцировал. Я намекал на последствия, но теперь уже поздно. Ваши "старания" не остались не замеченными администрацией форума. Прошу не удивляться, когда в лучшем случае Вы будете ограничены в правах на форуме, а в худшем - забанены. Использование и поощрение к использованию краденного наказуемо не только по УК.

бетка то в своболном доступе лол
 104.02 MB (Beta)
http://www.comss.ru/page.php?id=337
Title: Re: Про баннеры.
Post by: George Yves on January 30, 2013, 10:16:55 PM
Comss.ru не является представителем или филиалом AVAST SOFTWARE. Этот сайт занимается распространением краденного ПО. "Официальной" может быть только версия, распространяемая самой компанией AVAST SOFTWARE со своих серверов и сайтов.

PS: Вы по-прежнему желаете использовать краденную собственность?
Title: Re: Про баннеры.
Post by: ex_avira_user on January 30, 2013, 11:02:48 PM
Quote
Этот сайт занимается распространением краденного ПО
комментарии излишни  ;D


хорош оффтопить
мы тут за баннеры трем
Title: Re: Про баннеры.
Post by: makcunknown on January 31, 2013, 03:38:41 AM
Ещё один winlock

(http://s017.radikal.ru/i410/1301/38/e71157a3b4ad.jpg)
Title: Re: Про баннеры.
Post by: amid525 on January 31, 2013, 08:00:10 AM
PS: Вы по-прежнему желаете использовать краденную собственность?
George Yves,  а если посмотреть это с другой стороны? Ведь тестирование бетки(и чем больше людей), помогает вычислить больше глюков, недостатков, и этим помочь разработчикам оперативно все исправлять. Ведь не все они могут учесть! Или нужно дождаться релиза, а после тыкать носом, этим убивая авторитет Аваста?
Большинство вендоров, наоборот это приветствуют, выкладывая в паблик.

Title: Re: Про баннеры.
Post by: Black__Angel on January 31, 2013, 05:04:36 PM
Полностью согласен с amid525! Странная политика Аваста.
Title: Re: Про баннеры.
Post by: amid525 on January 31, 2013, 06:32:37 PM
Так может, они вовсе и не против?
Title: Re: Про баннеры.
Post by: ex_avira_user on January 31, 2013, 06:48:44 PM
Так может, они вовсе и не против?

пойду спрошу  :D
Title: Re: Про баннеры.
Post by: Ivanych on January 31, 2013, 09:55:26 PM
PS: Вы по-прежнему желаете использовать краденную собственность?
George Yves,  а если посмотреть это с другой стороны? Ведь тестирование бетки(и чем больше людей), помогает вычислить больше глюков, недостатков, и этим помочь разработчикам оперативно все исправлять. Ведь не все они могут учесть! Или нужно дождаться релиза, а после тыкать носом, этим убивая авторитет Аваста?
Большинство вендоров, наоборот это приветствуют, выкладывая в паблик.
======================================================
Это скорее всего будет тогда приветствоваться фирмой,если в 8-ке Бэтке стоят галочки на передачу информации по работе этой программы в настройках.А если галочки не стоят,то что толку её ставить тогда?Ради спортивного интереса?Или человеку нечем заняться дома на досуге?Есть ведь книги,телевизор,фильмы.Или Чем бы дитя не тешилось,лишь бы не плакало?Я на это не пошёл бы!А он пусть сам решает.Хозяин Барин!
Title: Re: Про баннеры.
Post by: j.bonzo on January 31, 2013, 10:55:24 PM
Вы на примере ссылки выше http://rghost.ru/43410444 ?
Нет проблем. :) Отключил специально Аваст(т.к веб экран блокировал). Далее, на мое удивление, Комодо ф(проактивка), оказался беспомощным :P (только успел показать окошко о вредоносном объекте) и тут-же картинка о блокировке системы. Все ф-ции системы нейтрализованны, курсор только в окошке мог перемещаться..
Выключаю принудительно комп. Включаю. В момент первой заставки СТМ (перед загрузкой винды), вызываю базу снимков. Выбираю последний. Перезагрузка...,  и Вуаля!. Все как ни в чем не бывало.. ;)
Это блокировщик ОС, а не MBR. Когда повреждается таблица разделов никакую базу снимков Вы не вызовите. Не считывается информация о разделах на жестком диске, в том числе и о том, где эта база снимков находится. Только баннер.
Title: Re: Про баннеры.
Post by: ex_avira_user on January 31, 2013, 11:46:02 PM
Quote
Это блокировщик ОС, а не MBR. Когда повреждается таблица разделов никакую базу снимков Вы не вызовите. Не считывается информация о разделах на жестком диске, в том числе и о том, где эта база снимков находится. Только баннер.
вот MBR можете протестить проактив аваста
http://rghost.ru/43456584
пасс: avast

unlock code: 45746777 (советую записать гденибудь)
Title: Re: Про баннеры.
Post by: amid525 on February 01, 2013, 07:57:17 AM
Файловый экран Аваста при распаковке прибил )
Title: Re: Про баннеры.
Post by: ex_avira_user on February 01, 2013, 09:27:02 AM
Файловый экран Аваста при распаковке прибил )

лоол ! не новый сампл далеко..
Title: Re: Про баннеры.
Post by: makcunknown on February 12, 2013, 11:46:19 AM
новенького нашёл.

http://virusscan.jotti.org/ru/scanresult/35a5a5dde8bf04359b98069e594614c4c8a2e205/46115e2b96f2773d42613cb27000ce91e368663f
Title: Re: Про баннеры.
Post by: makcunknown on February 14, 2013, 05:02:49 AM
WinLock под видом dll библиотеки, не знаю даже как он активировался.

http://virusscan.jotti.org/ru/scanresult/c03928b304fece3b1c5385c98f6e2ad2f7f24f00

Ещё один, по байтово, оба весят одинаково, но по содержанию разные. Видать на одной и той же WinLock проге создавались.

http://virusscan.jotti.org/ru/scanresult/127b292a22f7db79a8cfcff2a8fe2911ad23bbb5
Title: Re: Про баннеры.
Post by: makcunknown on February 21, 2013, 01:46:35 PM
dll блокирует интернет в браузерах

http://virusscan.jotti.org/ru/scanresult/e34532a5a0d74608da04055fc051863423b58c9d
Title: Re: Про баннеры.
Post by: Nicholas@ on February 22, 2013, 02:30:23 PM
makcunknown
Мужик ты все выкладываешь и выкладываешь и выкладываешь а толку то лучше не выходит
Title: Re: Про баннеры.
Post by: makcunknown on February 23, 2013, 02:57:40 AM
Почему это толку то нет? Другие не поймают уже эту гадость, в лабораторию же всё улетает.
Title: Re: Про баннеры.
Post by: Nicholas@ on February 23, 2013, 06:05:32 AM
да и что какой вариант хоть что нибудь добавили в базу?
и еще где же вы их ловите?
Title: Re: Про баннеры.
Post by: makcunknown on February 23, 2013, 08:09:01 AM
Nicholas@
да и что какой вариант хоть что нибудь добавили в базу?
Не понял вопрос.

и еще где же вы их ловите?
За счёт клиентов, ловлю я их не сам.
Title: Re: Про баннеры.
Post by: Nicholas@ on February 24, 2013, 04:22:46 AM
я имею виду Баннеры в аваст в базу добавились?
как вы это узнаете?
Title: Re: Про баннеры.
Post by: makcunknown on February 27, 2013, 01:09:57 AM
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Title: Re: Про баннеры.
Post by: military on February 27, 2013, 02:27:37 PM
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Разработчики что говорят по этому поводу?  :)
Title: Re: Про баннеры.
Post by: makcunknown on February 27, 2013, 03:16:21 PM
Все вирусы, которые я нахожу, отправляю в аваст и храню у себя до первого их выявления авастом.
Разработчики что говорят по этому поводу?  :)

А что им говорить? Просто добавляют и всё.
Вознаграждать меня за это надо =)
Title: Re: Про баннеры.
Post by: j.bonzo on February 28, 2013, 01:48:30 PM
А что им говорить? Просто добавляют и всё.
Здесь, по-моему, есть один интересный момент. Что просто добавляют? Сигнатуру или хэш конкретного файла?
Например...
Программа с цифровой подписью, 100% ПНП (устанавливает тулбар без ведома пользователя)
(http://i5.pixs.ru/thumbs/3/8/2/001jpg_5074623_7254382.jpg) (http://pixs.ru/showimage/001jpg_5074623_7254382.jpg)
В день выхода новой версии детекта нет.
https://www.virustotal.com/ru/file/a810f17426a03041c887f98a310dc35a3f65529491ac67b97c18c365e2b83ab0/analysis/1361826808/
(http://i5.pixs.ru/thumbs/4/2/9/002jpg_9547134_7254429.jpg) (http://pixs.ru/showimage/002jpg_9547134_7254429.jpg)
Через два дня добавлен детект (Win32:Downloader-SPO [PUP] )
https://www.virustotal.com/ru/file/a810f17426a03041c887f98a310dc35a3f65529491ac67b97c18c365e2b83ab0/analysis/1361976927/
Ура? Не-а. Потому что эту программу уже "освежили".
(http://i5.pixs.ru/thumbs/4/7/3/003jpg_2175742_7254473.jpg) (http://pixs.ru/showimage/003jpg_2175742_7254473.jpg)
Детекта снова нет.
(http://i5.pixs.ru/thumbs/4/9/0/004jpg_1952390_7254490.jpg) (http://pixs.ru/showimage/004jpg_1952390_7254490.jpg)
И так по кругу...
ИМХО: По-моему нечто аналогичное происходит и с теми сэмплами, которые Вы отправляете в вирлаб Аваста.



Title: Re: Про баннеры.
Post by: amid525 on February 28, 2013, 03:03:49 PM
..Возможно и не таким уж, и зловредом посчитали, после анализа. :) Каспер, Нортон и большинство других, тоже не детектят.
Title: Re: Про баннеры.
Post by: j.bonzo on February 28, 2013, 05:10:46 PM
..Возможно и не таким уж, и зловредом посчитали, после анализа...
Я отследил несколько "жизненных циклов" этой программы.
https://www.virustotal.com/ru/file/23d314c5bc0a6c860d4ffe4110c081f01eee72a1dbb3093f432517fae0bfac81/analysis/1361403154/
https://www.virustotal.com/ru/file/e683e6f2286da9c5c5d5852e373203080857634ae62e1e468d89e08c67ca2918/analysis/1361528536/
Как раз после анализа детект появляется, но к тому времени распространяется уже другая версия программы, содержащая все тот же тулбар.
Уверен, что через несколько дней, версия этой программы с цифровой подписью от 27.0.2 будет опять определяться Авастом как Win32:Downloader-SOR [PUP] .
Т.е. детект явно по хэшу, а не сигнатурный.
P.S. 01.03 vt:
https://www.virustotal.com/ru/file/432e08a072e86926a29403d3bddbd802a04336b3fc9cf5cfef3dba67b54e0654/analysis/1362098188/
отличие: Win32:Downloader-SPW [PUP] (Может это определение будет распространятся на последующие версии этой ПНП?)







Title: Re: Про баннеры.
Post by: makcunknown on March 01, 2013, 01:10:03 AM
j.bonzo
У меня совсем другой момент, я всякими тулбарами даже и не занимаюсь, а именно только WinLock's и библиотеки(dll) блокировщики интернета в браузерах, я уверен, что их то и не убирают, как в вашем случае.


p.s. Ещё один WinLock

http://virusscan.jotti.org/ru/scanresult/87a650438c5ad99d537173ede75568512792a523
Title: Re: Про баннеры.
Post by: Nicholas@ on March 04, 2013, 02:48:17 AM
тоже вот один WinLocker подцепил
http://virusscan.jotti.org/ru/scanresult/977769c74065e28bc0adac1bbb4fe8f7c3887106/7ea87899702a218dd1c18f6f9773cef9b79bad89
отправил в лабораторию avast теперь жду что то не какого не привета не ответа  >:(
Title: Re: Про баннеры.
Post by: amid525 on March 04, 2013, 08:39:34 PM
В первый раз увидел такое окошко у Аваста фри, при загрузке одного банера. Ранее, в 7-ом такого не видел  ???

Title: Re: Про баннеры.
Post by: makcunknown on March 27, 2013, 03:19:26 AM
Криптовирус.

http://virusscan.jotti.org/ru/scanresult/397fc1889b727088ac872855aaf8032412598e09
Title: Re: Про баннеры.
Post by: makcunknown on April 20, 2013, 03:30:35 AM
Блокирует интернет.

http://virusscan.jotti.org/ru/scanresult/38a3ebeb74a18e18d4b73c036d798c371d9a9688
Title: Re: Про баннеры.
Post by: koscl on April 20, 2013, 08:38:34 AM
кстати, баннеры, которые меняют пароль на учётные записи windowd вряд ли будут хоть как то детектироваться проактивкой: http://av-help.narod.ru/012.html

вроде выход очевиден: антивирус должен ругаться на exe архивы, которые содержат в себе автозапуск. это бы нанесло серьёзный удар по школоте.
Title: Re: Про баннеры.
Post by: afix on April 20, 2013, 08:43:18 AM
кстати, баннеры, которые меняют пароль на учётные записи windowd вряд ли будут хоть как то детектироваться проактивкой: http://av-help.narod.ru/012.html

вроде выход очевиден: антивирус должен ругаться на exe архивы, которые содержат в себе автозапуск. это бы нанесло серьёзный удар по школоте.
МВАМ меня не пустил на данную ссылку.
Title: Re: Про баннеры.
Post by: koscl on April 21, 2013, 02:33:03 PM
напишите авторам МВАМ, что у них очередной ложный детект.
Title: Re: Про баннеры.
Post by: afix on April 21, 2013, 02:34:51 PM
напишите авторам МВАМ, что у них очередной ложный детект.
делать мне больше нечего... ??? просто я добавил IP в исключения МВАМ и дело в шляпе :P
Title: Re: Про баннеры.
Post by: koscl on April 21, 2013, 05:06:15 PM
дак авторам аваста кто-нибудь сможет отписать на ангельском, что нужно детектить EXE-архивы , если в них есть автозапуск?
хотя бы если включен детект "потенциально опасных программ".
Title: Re: Про баннеры.
Post by: George Yves on April 21, 2013, 07:23:52 PM
дак авторам аваста кто-нибудь сможет отписать на ангельском, что нужно детектить EXE-архивы , если в них есть автозапуск?
хотя бы если включен детект "потенциально опасных программ".
Составьте грамотно по-русски такое обращение, а я его переведу.
Title: Re: Про баннеры.
Post by: amid525 on May 13, 2013, 07:34:32 PM
Quote
блокировщик  MBR. Когда повреждается таблица разделов никакую базу снимков Вы не вызовите. Не считывается информация о разделах на жестком диске, в том числе и о том, где эта база снимков находится. Только баннер.
вот MBR можете протестить проактив аваста
http://rghost.ru/43456584
пасс: avast

unlock code: 45746777 (советую записать гденибудь)
;D
Решил побаловаться снова с  блокировщиками, (этот в прошлый раз, почему-то не решился запускать..  :) ) Сегодня с пять штук, успешно поборол разными средствами.. И вспомнил об этом "страшном вредителе разделов", как описано. :). Отключил аваст, сомодо ф.,  дал блокиратору сделать черное дело запустив его.., и перезагрузить ось.. Получил после перезагрузки блокировку с первых секунд.... :o  :'(
Ладно. Вырубаю комп, повторно включаю, вызываю СТМ по кнопке home, при инициализации Оси(до появления банера).. Ну, и как предпалогал, СТМ от комодо(о его возможностях речь шла), с легкостью восстановил систему по снимку. Ничего не повредилось. ;)
Title: Re: Про баннеры.
Post by: amid525 on May 13, 2013, 07:49:12 PM
Сегодня с пять штук, успешно поборол разными средствами..
К стати, Понравилась фирменная фишка от Кериш Доктора "деблокер". Убирает с рабочего стола(когда система уже заблокирована) любой баннер одним нажатием клавиши... :D Есть у кого-то еще,  подобные способности? ::)
Title: Re: Про баннеры.
Post by: _George_ on May 13, 2013, 07:56:16 PM
Ху из Кериш?
Title: Re: Про баннеры.
Post by: amid525 on May 13, 2013, 08:02:31 PM
http://www.kerish.org/ru/product.php
Title: Re: Про баннеры.
Post by: afix on May 13, 2013, 08:14:20 PM
http://www.kerish.org/ru/product.php
купил по акции 2-летнюю лицензию по цене 1-летней в прошлом году. Особой пользы от неё не вижу,ворчит потихоньку женским голосом о какой-то там работе... Это из серии "поставил и забыл" :)
Title: Re: Про баннеры.
Post by: amid525 on May 13, 2013, 08:29:18 PM
Польза, очень хорошая...  :) Много раз, блокировала то, что пропускал Аваст(трояны, скрытые загрузчики, винлокеры..), а если уж винлок проскочил, убивает без перезагрузки), не говоря о обслуживании системы и  т.д..
Title: Re: Про баннеры.
Post by: makcunknown on May 14, 2013, 02:12:22 AM
Убирал баннеры, mbr, восстанавливал загрузку, даже после критического повреждения реестра без всяких программ, вручную. =)
Title: Re: Про баннеры.
Post by: military on May 14, 2013, 02:05:12 PM
Убирал баннеры, mbr, восстанавливал загрузку, даже после критического повреждения реестра без всяких программ, вручную. =)
Тебе и не положено по другому  :)
amid525, раньше после долгого использования CTM, появлялось сообщение о недостаточном размере диска, типа диск заполнен, а в действительности места хватает. Не сталкивался с подобной или может быть другие проблемы были?
У тебя какая версия установлена?
Title: Re: Про баннеры.
Post by: amid525 on May 14, 2013, 02:59:04 PM
Я ведь, тебе уже отвечал по этому поводу!  :) После многочисленных изменений в системе, со временем, очередные снимки разрастаются по размеру. И нужно иногда(раз в пару недель - месяцев), в зависимости от количества снимков и интенсивности изменений, делать обновление базового снимка. Или, делать сжатие, дефрагментацию снимков(есть опция). И снова появится свободное место(что имеется на самом деле на диске).  ;)
Вот мои настройки
Title: Re: Про баннеры.
Post by: Ivanych on May 14, 2013, 10:11:50 PM
Я ведь, тебе уже отвечал по этому поводу!  :) После многочисленных изменений в системе, со временем, очередные снимки разрастаются по размеру. И нужно иногда(раз в пару недель - месяцев), в зависимости от количества снимков и интенсивности изменений, делать обновление базового снимка. Или, делать сжатие, дефрагментацию снимков(есть опция). И снова появится свободное место(что имеется на самом деле на диске).  ;)
-----------------------------------------------------------------------------------------------------------------------------------
Зачем такая головная боль?
Я уже больше года слежу за размером диска С:\,по расписанию делаю-Очистку диска:Удаление всех точек,кроме последней точки восстановления:Дефрагментацию.А также подчищаю прогой CCleaner,и прогой AuslogicsBoostSpeed делаю только!!! очистку диска и удаление историй .И размер папок на диске C:\ колеблется в+ или в- на 200Мб всего!Если я не установлю ничего нужного,то место на системном диске одно и тоже!
Title: Re: Про баннеры.
Post by: amid525 on May 14, 2013, 10:51:54 PM

Зачем такая головная боль?

ivanovich, Где? головной боли, - ни какой нет.
Во то что ниже, у вас, - это похоже на головную боль и возню.
Quote
делаю-Очистку диска:Удаление всех точек,кроме последней точки восстановления:Дефрагментацию.А также подчищаю прогой CCleaner,и прогой AuslogicsBoostSpeed делаю только!!! очистку диска и удаление историй

А когда подхватите MDR блокера,  - еще большую головную боль поимеете.  :'(

А в СТМ, - только раз в месяц обновить базовый снимок, одним нажатием клавиши...  И спать спокойно. :)
Title: Re: Про баннеры.
Post by: j.bonzo on May 15, 2013, 03:38:05 PM
...И вспомнил об этом "страшном вредителе разделов", как описано. Отключил аваст, сомодо ф.,  дал блокиратору сделать черное дело запустив его.., и перезагрузить ось.. Получил после перезагрузки блокировку с первых секунд....
Блокировка означает повреждение таблицы разделов в mbr?  :)

...Ну, и как предпалогал, СТМ от комодо(о его возможностях речь шла), с легкостью восстановил систему по снимку...
Ваши предпАложения, на мой взгляд, в корне неправильные, т.к. попади Вы на локер, подменяющий оригинальную mbr и перемещающий ее в другие секторы, либо "убивающий" таблицу разделов, пришлось бы восстанавливать оригинальную mbr, после чего "...CTM will be destroyed":
http://forums.comodo.com/help-ctm/what-happen-if-a-program-tries-to-modify-the-mbr-while-ctm-is-installed-t62043.0.html
Title: Re: Про баннеры.
Post by: amid525 on May 15, 2013, 04:47:16 PM
Хорошо, дайте мне такой блокер, попробую!  А пока, слова.. :)
Title: Re: Про баннеры.
Post by: Anmawe on May 27, 2013, 06:48:09 PM
Экран поведения с настройкой "Определять автоматически" блокирует винлоки, которых нет в базе, и сообщает ли что какая-то программа пытается прописаться в автозагрузку ? Если в настройках стоит "спрашивать", то конечно сообщает.

Как по вашим наблюдением обстоит дело, когда настроено "Определять автоматически " ? Насколько надежно оставить настройки по-умолчанию ?
Title: Re: Про баннеры.
Post by: Ivanych on May 28, 2013, 12:07:26 AM
Экран поведения с настройкой "Определять автоматически" блокирует винлоки, которых нет в базе, и сообщает ли что какая-то программа пытается прописаться в автозагрузку ? Если в настройках стоит "спрашивать", то конечно сообщает.
Как по вашим наблюдением обстоит дело, когда настроено "Определять автоматически " ? Насколько надежно оставить настройки по-умолчанию ?
У меня в расширенных настройках Экрана поведения везде стоят галочки и выбрано Спрашивать.
Title: Re: Про баннеры.
Post by: amid525 on May 28, 2013, 08:23:43 AM
Экран поведения с настройкой "Определять автоматически" блокирует винлоки, которых нет в базе,


Экран поведения, ("недо-хипс"), не важно какая настройка, не понятно зачем, т.к не видел от него еще не разу дельного уведомления...
Винлоки он тоже не видит(тех по крайней мере, что я проверял), а видит файловый экран. Если его отключить, система заблокирована...
Quote
и сообщает ли что какая-то программа пытается прописаться в автозагрузку ? Если в настройках стоит "спрашивать", то конечно сообщает.
Очень редко..
Только Win Patrol  у меня, исправно уведомляет о всех прописках в автозагрузке, сервисах, надстройках браузеров и т.д..
Title: Re: Про баннеры.
Post by: makcunknown on August 09, 2013, 03:44:09 AM
Ещё парочку нашёл, до этого ещё 2 было, времени нЕбыло появиться на форуме.

http://virusscan.jotti.org/ru/scanresult/16969da53bf7d9d4382ea8a2b1aa850fdb847c2a
http://virusscan.jotti.org/ru/scanresult/f45ffea65d35d5f43eb190b91b4d8d0aabfa969e
Title: Re: Про баннеры.
Post by: makcunknown on August 10, 2013, 06:24:16 AM
Winlock каким то образом этот винлок работает через фаил реестра через java скрипт, сам скрин не скину, но в нём очень много букв Интерпол на английском и ввести код разблокировки )

http://virusscan.jotti.org/ru/scanresult/53965c884f7d11d360a1a84a0f687fdd53f980bd
Title: Re: Про баннеры.
Post by: amid525 on August 10, 2013, 08:57:26 AM
Скинь в л.с своего зверька.
Title: Re: Про баннеры.
Post by: George Yves on August 10, 2013, 09:54:54 AM
Winlock каким то образом этот винлок работает через фаил реестра через java скрипт, сам скрин не скину, но в нём очень много букв Интерпол на английском и ввести код разблокировки )

http://virusscan.jotti.org/ru/scanresult/53965c884f7d11d360a1a84a0f687fdd53f980bd
Интерпол? Очень интересно! На форуме уже давно обсуждают "полицейские" зловреды: в США они пишут, что это ФБР, в Европе - национальная полиция, а в России, значит, Интерпол. Можете дать подробности и текст с требованием выкупа?
Title: Re: Про баннеры.
Post by: makcunknown on August 11, 2013, 03:40:36 AM
George Yves

Скрин не удалось сделать, и навряд ли получится его снова запустить, т.к. там ярлык ссылается на реестр + сам фаил *.js начинает запускаться как winlock.

Текст был на английском.
Title: Re: Про баннеры.
Post by: makcunknown on August 23, 2013, 04:46:52 AM
http://virusscan.jotti.org/ru/scanresult/102bfc64cf161886450feb7280422b54db36e47e

Ещё один подобный winlock интерпол, скрин не сделал, всё на английском там. Так и прикол в том, что, удалял прошлый интерпол у этого же пользователя(Хотя там был winlock через скрипт *.js, а здесь через обычный reg фаил). Через пол часа снова вылез, но другой. Так и не нашёл в чём причина поимки его. Плюс, после этого winlock стала глючить винда, подозрение на сетевые настройки, хотя всё в порядке с ними. Брандмауэр тоже перестал запускаться после winlock, но инет работает нормально. Ковыряния винды ни чем не помогли, за последние дни подозрительных файлов нет. Если он же снова поймает подобный винлок, придётся сносить винду. Стоит WinXp офф с последними обновлениями.

Пойманные файлы вот такие, очень насторожил фаил весом в 90mb, в прошлом винлоке такой же подобный фаил был на 90mb. Никаким архиватором не открывается.

http://i.pixs.ru/storage/5/5/0/virjpg_7165342_8823550.jpg
Title: Re: Про баннеры.
Post by: makcunknown on August 29, 2013, 07:43:31 AM
Клиент поймал вирус и по глупости открыл его, (касперский его не видел, а проверил на авасте, обнаружен.) Шифровальщик данных. Это очень печально, потому что sos@ausi_iq108 не поддаётся дешифровке.

Всем советую! ни в коем случае не открывать письма, в которых содержатся *.exe файлы.

Скрин вируса на рабочем столе.
http://s37-temporary-files.radikal.ru/3c9631fdf7cc4b939ddb03bcecf10928/-929206895.png
http://s32-temporary-files.radikal.ru/e974c9c295a04989a4108cdfedfa1922/-929206895.jpg

Title: Re: Про баннеры.
Post by: Nikol@y on August 29, 2013, 07:57:39 AM
... Это очень печально, потому что sos@ausi_iq109 не поддаётся дешифровке.

http://forum.drweb.com/index.php?showtopic=314850&page=3#entry684741
Title: Re: Про баннеры.
Post by: makcunknown on August 29, 2013, 08:03:36 AM
... Это очень печально, потому что sos@ausi_iq109 не поддаётся дешифровке.

http://forum.drweb.com/index.php?showtopic=314850&page=3#entry684741

Это я читал, во-первых нужен dr.web ключ, чтобы оставить им заявку, во вторых, многое они не расшифруют, 108 код новый.