Лингвофорум

Почему-то в СМИ и вообще в Инете достаточно мало обсуждают этих червей, хотя они поразили уже сотни тысяч компов по всему миру, и это очень серьезная угроза. Почему такое невнимание, как думаете?

Кто разбирается, скажите, пожалуйста: если закрыты порты, по которым обычно проникают сии черви, то есть ли угроза компьютеру? Или нет?

Трудно сказать. А у меня была странная вещь. Боролся с трояном на смарте, никак не получалось. Утром просыпаюсь, а его нет! Чудеса.

Цитата: From_Odessa от июня 28, 2017, 11:04если закрыты порты, по которым обычно проникают сии черви, то есть ли угроза компьютеру? Или нет?

Угроза есть всегда, они же не только по портам могут пролезть.

Цитата: Bhudh от июня 28, 2017, 16:42
Угроза есть всегда, они же не только по портам могут пролезть.

А как еще?

Письма, диски, флэшки...

Цитата: From_Odessa от июня 28, 2017, 11:04Почему-то в СМИ и вообще в Инете достаточно мало обсуждают этих червей, хотя они поразили уже сотни тысяч компов по всему миру

Потому что весь мир поставил соответствующий патч еще в апреле.

Цитата: СНовосиба от июня 29, 2017, 05:26
Потому что весь мир поставил соответствующий патч еще в апреле.

Только что-то, похоже, он не очень спасает.

Цитата: СНовосиба от июня 29, 2017, 05:26
Потому что весь мир поставил соответствующий патч еще в апреле.

В апреле 2014? Win10 имеете в виду? Так на ХР ещё продолжают работать практически все организации, несмотря на прекращение её поддержки.

Цитата: BormoGlott от июня 29, 2017, 09:05Win10 имеете в виду? Так на ХР ещё продолжают работать практически все организации, несмотря на прекращение её поддержки.

http://www.oszone.net/31181/Microsoft_Created_the_Windows_XP_Patch_to_WannaCry_in_February

Bhudh, благодарю!

Если я не ошибаюсь, он распространяется только внутри локальной сети Windows. Чтобы заразить локальную сеть, нужно, чтобы кто-то открыл спам-письмо и запустил программу вручную (iq 89). Так что это грозит не всем.

Каким-то неведомым образом заразился им. Вчера настроена была локальная сеть из ноутбука и ПК, и всё было ОК, Касперский не жаловался. Затем ночью я обнаружил, что у мобильника сдох аккумулятор вообще, т.е. даже не заряжается. А мне нужен будильник. Будучи сонным, включил ноутбук, написал "будильник онлайн", открыл самую первую ссылку, поставил будильник, пошёл дальше спать.

Проснулся на полчаса позже, ни телефон (т.к. разряжен), ни этот сайт не сработали. Смотрю — Касперский жалуется про EquationDrug и WannaCry. Нифига не понял. Первая версия — тот сайт был палёный, с вирусом. Но потом вспомнил, что локалку вчера настраивали тоже, а WannaCry, как известно, распространяется через локалки.

Поэтому вторая версия была — вирус перешёл из ПК в ноут по локалке. Тот ПК давно не был подключён к интернету и не имел антивирусника. Поэтому вторая версия была в том, что ПК был заражён, но из-за отсутствия интернета «дремал». А тут подключили локалку, интернет - и вирус возрадовался.

Касперский при удалении этих вирусов сообщил, что нужно перезагрузиться. Но после перезагрузки написал, что восстановление после перезагрузки требует какую-то апгрейденную версию. Опять ничего не понял. Заметил, что файл C:\Windows\mssecsvc.exe появился опять. Касперский сообщал, что EquationDrug в «системной памяти» сидит. Затем Касперский опять удалил mssecsvc.exe. Затем я опять нажал «устранить вирус», заметил, что есть галочка «попробовать удалить без перезагрузки». Сделал, но Касперский сказал, что объект не возможно было обработать. Я нажал на «пропустить» (единственная кнопка) и тогда Касперский написал, что проблем больше нет. Ничего не понял. Тогда опять провёл быструю проверку (она сканирует системную память) и теперь про EquationDrug Касперский  больше ничего не писал.

Тогда я подумал сделать следующее. Я сделал файл mssecsvc.exe размером в 3 байта и положил туда, куда вирус ставит WannaCry, надеясь, что он просто проверяет наличие файла. Затем у файла изменил атрибуты безопасности на запрет любых чтения/запись. Затем написал скрипт, который каждые 10 секунд проверяет, что у mssecsvc.exe размер 3 байта, и если нет - выдаёт сообщение. Таким образом я хоть пойму, когда именно активируется эта хрень, если Касперский почему-то затупил и стал игнорить вирус. Пока сообщений не выдавалось, файл до сих пор 3 байта.

Потом я перешёл на ПК. Там две ОСи, и только одна запускалась в последнее время. Поэтому я запустился с другой, которая вряд ли заражена (если заражение шло ноутбук > ПК). Поискал mssecsvc.exe в файлах обеих ОС - ничего нет.

Вот сиди теперь и думай, что это нафиг было. Сейчас делаю полную проверку ноута напоследок. Или тот сайт был палёный, или кто-то из родственников, когда заходил в гости и сидел, где-то подцепил. Шантажных сообщений пока не видел.

Цитата: Алексей Гринь от августа 11, 2017, 11:12C:\Windows\mssecsvc.exe

Намёк?

Цитата: Bhudh от августа 11, 2017, 18:47

Цитата: Алексей Гринь от августа 11, 2017, 11:12C:\Windows\mssecsvc.exe

Намёк?

Вряд ли. Скорее ms sec svc, Mircosoft Security Service.

Установил нового Касперского на ПК, нашёл и там в одной из ОС (mssecsvc.exe). Сегодня утром проверял - не было, т.е. ноутбук > ПК. Но пока ничего не происходит, никто ничего не требует. Не особо переживаю, т.к. все важные проекты забекаплены в нескольких местах, но всё равно ниприятна.

Так что всё указывает на злое*учий сайт «будильник онлайн» и дырявый Chrome.

Нафиг я вообще по-русски написал «будильник онлайн». Ведь никогда в рунет не лезу (кроме ЛФ). Спросонья был, ступил. Стоит хоть пальцем затронуть говнорунет, сразу окажешься в шлаках по шею.

Кто знает - является ли эта штука (ntuser.vbe) червем? Погуглил, не нашел внятной инфы. Да, поиск начал из-за того, что папки на флешке стали ярлыками. В ТС видно, что данные на месте, но что-то создает ярлыки. Пробовал эту штуку удалять, так она снова появляется. Неужто надо будет качать антивирус?

Цитата: true от февраля 21, 2018, 10:28Неужто надо будет качать антивирус?

Надо, Федя, надо.

Цитата: true от февраля 21, 2018, 10:28
Неужто надо будет качать антивирус?

А как вы без него живёте? :o У меня вообще лицензия стоит.

Цитата: Awwal12 от февраля 21, 2018, 11:08
А как вы без него живёте?

Да уж лет пять как. Раз в полгода прохожу Курелтом и фсе.

Цитата: Awwal12 от февраля 21, 2018, 11:08
А как вы без него живёте? :o

Практически все те годы, когда у меня на компе была винда (а это были 2000 и XP SPкакой-то), я не пользовался никакими антивирусами. Антивирусы были на всяких рабочих компах по лабораториям в универе, в институтах всяких (и из-за них, в частности, эти компы все как один тормозили). Один раз я делал попытку таки поставить антивирус на свой комп (это было в тот период, когда особо допекали вирусы, распространявшиеся на флэшках, пользуясь свойством винды по умолчанию врубать автозапуск), но это практически моментально привело к обрушению системы, и пришлось этот антивирус как-то выпиливать (то ли штатными средствами винды через "сервисную" загрузку, то ли вообще загрузившись из другой системы), и больше я таких попыток не делал.

На работу нам несколько лет назад (ну, типа, примерно 4-5 лет назад, кажется) купили новый комп с лицензионной XP, эта XP некоторое время проработала, но потом всё-таки пала под напором вирусов, которыми её засрали некоторые сотрудники. Умеют же люди!

...Но тем временем шёл 21-й век, вслед за XP пришла семёрка (которую я видел и регулярно вижу, поскольку она стоит на мамином компе), а за ней восьмёрка и десятка (которых я вообще вживую ещё ни разу не видел хотя бы на чужих компах, и уж тем более не работал на таких компах) - и до сих пор, тем не менее, остаётся актуальным такое понятие как "антивирус"...

Цитата: Awwal12 от февраля 21, 2018, 11:08
А как вы без него живёте?

Нормально живу.

Сам ни разу хапал. Просто не захожу никогда на непроверенные сайты. Вложения с подозрительных писем не открываю.

У шефа стоит лицензия - толку никакого. Тем же вирусом-шифровальщиком (предком того же WannaCry) убил 30% данных на общем винте в конторе. Убил бы и все данные, но у меня файлы на глазах начали переименовываться, и я сразу роутер вырубил.

Касперский, кстати, на него вообще никак не среагировал.

Цитата: Toman от февраля 21, 2018, 14:52
На работу нам несколько лет назад (ну, типа, примерно 4-5 лет назад, кажется) купили новый комп с лицензионной XP, эта XP некоторое время проработала, но потом всё-таки пала под напором вирусов, которыми её засрали некоторые сотрудники. Умеют же люди!

Тоже не понимаю, как им это удается. Но вот как-то на ютубе в рекомендованных вылез ролик про даркнет, мне стало интересно, нафига этот даркнет нужен, там значит втирали про вход в даркнет через поиск в торе в дакдакго "siberian mouse". Я попробовал, но буквально каждый сайт, выданный поиском, грозил уничтожить мою операционку одним махом. Теперь вот имею подозрение, что люди так активно засерают винду как раз через поиск цп или может быть наркотиков.

Цитата: jvarg от февраля 21, 2018, 15:04Тем же вирусом-шифровальщиком (предком того же WannaCry) убил 30% данных на общем винте в конторе. Убил бы и все данные, но у меня файлы на глазах начали переименовываться, и я сразу роутер вырубил.

А почему в вашей конторе пользователи могут запускать случайные файлы с флешек или с почты?

Цитата: СНовосиба от февраля 21, 2018, 16:06
А почему в вашей конторе пользователи могут запускать случайные файлы с флешек или с почты?

У нас вся контора - это четыре ноутбука, объединенные в локалку с одним общим диском.

Компьютерной тупостью отличается только шеф, но там я понадеялся на Касперского, который я только ему и установил.

Запретить ему открывать файлы с почты я не могу, так как он хочет контролировать все деловую переписку. Вдруг мы там с конкурентами ненужной информацией обмениваемся?

Зачем вам вообще локалка, используйте вайфай.

Цитата: Easyskanker от февраля 21, 2018, 16:57
Зачем вам вообще локалка, используйте вайфай.

В смысле?

У нас и есть локалка через вайфай.

В смысле без общего диска.

Цитата: true от февраля 21, 2018, 10:28
Кто знает - является ли эта штука (ntuser.vbe) червем? Погуглил, не нашел внятной инфы. Да, поиск начал из-за того, что папки на флешке стали ярлыками. В ТС видно, что данные на месте, но что-то создает ярлыки. Пробовал эту штуку удалять, так она снова появляется. Неужто надо будет качать антивирус?

Чтобы достать файлы, ещё можно поставить в свойствах папки галочку "отображать скрытые" и наоборот убрать галочку "скрывать системные".

Инсталлированный антивирус вам (и нормальному юзеру) не нужен (например, при веб-сёрфинге эффективнее защищает адблок, а не бестолковый экранный антивирус).

Чтобы удалить источник заражения, попробуйте прогнать "прогонными" антивирусами, лучше несколькими подряд.
Попробуйте также поискать подозрительный процесс в Диспетчере задач и найти по нему.
Или, если известно время заражения, попробуйте поискать вручную.
И скорее всего, зараза будет лежать в пользователь/AppData/

Если ничего не помогает, меняйте Винду.

Цитата: wehnām от февраля 21, 2018, 17:26
Чтобы удалить источник заражения, попробуйте прогнать "прогонными" антивирусами, лучше несколькими подряд.

Да, уже качаю Dr.Web CureIt.

Цитата: wehnām от февраля 21, 2018, 17:26
Чтобы достать файлы, ещё можно поставить в свойствах папки галочку "отображать скрытые" и наоборот убрать галочку "скрывать системные".

Не, с файлами все в порядке.

Цитата: wehnām от февраля 21, 2018, 17:26
Если ничего не помогает, меняйте Винду.

Легче флешку выбросит нахрен.

Цитата: true от февраля 21, 2018, 18:16
Легче флешку выбросит нахрен.

А, так источник на флэшке?
Тогда заформатируйте её и дело с концами.
Комп всё равно чистить надо.

Цитата: jvarg от февраля 21, 2018, 16:22Запретить ему открывать файлы с почты я не могу,

Ну и пусть файлы открывает. А программы-то зачем разрешать запускать? В Касперскрм по-моему есть контроль за разрешенными программами, а в винде есть аналогичная системная политика. Запретите выполнение из временных папок и съемных и сетевых дисков, и будет вам счастье.

Цитата: wehnām от февраля 21, 2018, 18:19

Цитата: true от февраля 21, 2018, 18:16
Легче флешку выбросит нахрен.

Тогда заформатируйте её и дело с концами.

Если бы... Даже после полного формата он снова лезет.

Тогда это 100% не на флешке.
Сидит на диске и записывает себя на флешку при её вставлении. Или изображает, что действует с флешки (неплохой способ заставить пользователя самому уничтожить полезные данные). Или просто кто-то что-то не так понял.

Цитата: wehnām от февраля 21, 2018, 17:26
Если ничего не помогает, меняйте Винду.

На линукс :)

Bhudh, вот скрин прилагаю. Видно, что файлик на флешке. По советам из сети его удаляю, а он снова лезет.
Советуют найти его по адресу из свойств любого из созданных им на флешке ярлыков. Если на скрине не понятно, то вот дублирую

ЦитироватьC:\Windows\system32\cmd.exe /c start ntuser.vbe&stArT ExPLoRer "boot"&rem f4k

Давно решенная проблема восьмилетней давности, скачайте касперский фри, почистите флешку, почистите комп, потом вставьте флешку и снова ее почистите.

Цитата: true от февраля 22, 2018, 05:34
Видно, что файлик на флешке. По советам из сети его удаляю, а он снова лезет.

На флешке это уже клон. Оригинал где-то на компе, который и заражает флешку.

Если бы я мог вот так взять и скачать файл весом в 200-300 мб, а то и больше, вопросов бы не было. У меня скорость 16-20 кб/с, что вы ;)

Цитата: jvarg от февраля 22, 2018, 05:57
Оригинал где-то на компе

С таким же названием?

Точно, прятался в папке user/user. Удалил. Пока не лезет.

Цитата: true от февраля 22, 2018, 05:58
Если бы я мог вот так взять и скачать файл весом в 200-300 мб, а то и больше, вопросов бы не было. У меня скорость 16-20 кб/с, что вы ;)

У вас есть интернет-салоны?

Цитата: Easyskanker от февраля 22, 2018, 06:18
У вас есть интернет-салоны?

Вроде есть где-то. Давно этой темой не интересовался.

Там можно скачать, записать на CD-R и дома установить.

Цитата: Easyskanker от февраля 22, 2018, 06:30
Там можно скачать, записать на CD-R и дома установить.

Если бы это было так - все там бы и записывали фильмы, игры и прочую лабуду. Однако ни о чем таком я не слышал. Знаю, что некоторые ходят просмотреть почту.

Да и если уж платить деньги, то легче сто метров пройти и купить диск с ПО. Один хрен по цене столько же выйдет.

Цитата: Easyskanker от февраля 22, 2018, 06:30
скачать

Как раз скачиваю кое-какие файлы. Вот это обычная скорость (плюс-минус).
А теперь представьте, что вам надо фильм на полтора гига :)

Цитата: true от февраля 22, 2018, 07:12

Цитата: Easyskanker от февраля 22, 2018, 06:30
Там можно скачать, записать на CD-R и дома установить.

Если бы это было так - все там бы и записывали фильмы, игры и прочую лабуду. Однако ни о чем таком я не слышал. Знаю, что некоторые ходят просмотреть почту.

Дык до эпохи дешевого безлимита так и делали. Не фильмы с играми конечно, потому что в салонах интернет тоже был г*но, хоть и не настолько ужасное, но по мелочи много чего себе скидывали.

Цитата: true от февраля 22, 2018, 08:40
Как раз скачиваю кое-какие файлы. Вот это обычная скорость (плюс-минус).
А теперь представьте, что вам надо фильм на полтора гига :)

Вы вернули мой 2007.

Цитата: Easyskanker от февраля 22, 2018, 12:40
Вы вернули мой 2007.

Аналогично.

Я до этого из дома в интернет только через сотовый выходил, специально в браузере картинки отключал для экономии трафика.

Если нужно было что-то тяжелое скачать - на работе это делал.

Как раз в 2007 у нас в доме появилась возможность подключиться к нормальному безлимитному интернету.

С тех пор старые времена с ужасом вспоминаю...

Цитата: jvarg от февраля 22, 2018, 13:04
Я до этого из дома в интернет только через сотовый выходил, специально в браузере картинки отключал для экономии трафика.

Я как раз на днях именно для этого пытался старую Оперу запустить. Там удобно реализовано отключение загрузки картинок в один клик.