Внимание! Вирус!

Если вы хотите что-то узнать или обсудить по правилам, сайту или форуму, то добро пожаловать на этот форум. Вопросы, касающиеся определенной версии Героев, задавайте в соответствующих форумах
Аватара пользователя
Alan Prost
Fairy Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 794
Зарегистрирован: 16 сен 2002, 18:43
Откуда: Russia, Krasnodar
Контактная информация:

4 фев 2004, 15:59Сообщение

Вирусная атака кажется закончилась. Сегодня за весь день мне пришло только два письма с вирусами (и до 50-ти в день на той неделе).

Ситуация следующая. Даже если у вас нет антивирусной программы - бороться с вирусами Novarg и MeMail во всех их модификациях - можно.
1. Любое не ожидаемое вами письмо с приаттаченным zip-файлом или rar-файлом - сразу удалить.
2. Удалить - мало, удалить (delete) - это всего лишь перенести в корзину. Надо ещё потом очистить (empty) корзину и потом папку "корзина" сжать (compress). Но и этого недостаточно. Надо ручками залезть (например для Бата. Для Аутлока, подозреваю, аналогично - поправьте, кто рубит в аутлоке!) в C:\Program Files\The Bat!\MAIL\(ваш ящик - у меня, например)alan_heroes\Attach и там найти этот злобный зиповско-раровский файл и удалить его! Всё дело в том, что аттачи сохраняются автоматом и при полном удалении письма (delete -> empty -> compress) аттачи не удаляются вместе с "телом" письма. Кстати, Касперский эти вирусы сам не лечит, а аттачи даже сам не может удалить - он по любому укажет вам зараженный файл и "направит" вас в папку с аттачами.
3. Удалив аттач даже комбинацией Shift+Delete, проследите, что Ваша корзина (уже другая, не почтовая) пуста, так как не всегда "минуякорзиночное" удаление удаляет файл на самом деле.

Но и это еще не всё.

4. Еще нужно "ручками" залезть в C:\Documents and Settings\ваша настройка - у меня, например)andrey\Local Settings\Temp и удалить всё содержимое папки Temp (саму папку - не удалять!). Объяснять долго а искать вам в этой папке - ещё дольше + там есть куча скрытых файлов. Поэтому проще всё удалить! Прежде чем что-то удалять, закройте свой почтовый браузер, так как часть темп-файлов может использоваться почтовым браузером и удалить их не удастся .

Такие ежедневные профилактические меры позволят вам очиститься от червей, при условии, что вы из любопытства не запускали аттачи. Ну а когда вы всё удалили - не мешает проверить компьютер антивирусником Касперского с последним обновлением.

И убедительная просьба ко всем игрокам! Не практикуйте пересылку архивированных файлов друг другу, хотя бы некоторое время! Лично мне - если мне придет архивированный аттач - я его безжалостно удалю - вместе с письмом!!! Слишком велики потери от вирусного "баловства" :(
Не уверен - не обгоняй:)

Аватара пользователя
Alan Prost
Fairy Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 794
Зарегистрирован: 16 сен 2002, 18:43
Откуда: Russia, Krasnodar
Контактная информация:

4 фев 2004, 16:56Сообщение

Это первый за последние дни радостный исход сканирования на моем компе.
Не уверен - не обгоняй:)

Аватара пользователя
DellFor
Champion
Champion
Сообщения: 123
Зарегистрирован: 26 июн 2003, 12:57
Откуда: Пятигорск

4 фев 2004, 21:45Сообщение

Хорошо когда провайдер хороший! Ни спама, ни вирей, аж скучно :D
Не в один из 4 ящиков 2 бесплатных, так не чего не закатилось. (специально катать не надо :twisted: ). Возможно это работа и тех кто "ручками" всё удалял. Так скажем дружно СПАСИБО! Обычно, всем, всё, так лень объяснять! :roll:
и это всё тоже пройдёт

Аватара пользователя
Alan Prost
Fairy Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 794
Зарегистрирован: 16 сен 2002, 18:43
Откуда: Russia, Krasnodar
Контактная информация:

5 фев 2004, 11:13Сообщение

DellFor писал(а):Хорошо когда провайдер хороший! Ни спама, ни вирей, аж скучно :D
Не в один из 4 ящиков 2 бесплатных, так не чего не закатилось. (специально катать не надо :twisted: ).
Это да :) Но в том и дело, что Лига Героев сама является в какой-то мере провайдером :) Почтовый сервер с Лиговскими адресами и сервер с контентом и базами сайта в двух метрах от моего рабочего места.

Для внешних (как ты говоришь - бесплатных) ящиков - вероятность "поймать" вирус - близка к нулю. Ибо администрация mail.ru и ему подобных вряд ли заинтересована в потере собственного престижа и у них стоят серверные версии антивирусников. В противном случае, если сервер бесплатных ящиков будет фатально заражен, народ просто поуходит на более чистоплотные серверы.
Кстати, большинство писем с вирусами приходит с ......@mail.ru , ......@yandex.ru и т.п., но понятно и то, что обладатели таких ящиков абсолютно ни при чем. Я регулярно получаю вирусы с адреса chaospobedit@yandex.ru, но мне также понятно, что Хаос даже не догадывается, что его адрес используется вирусом для самораспространения. (Вернее, уже догадывается :). Так как я попросил его выступить публично на разных форумах и предупредить тех, кто не в курсе, что он абсолютно не причастен к рассылке вирусов. Репутация - дороже всего на свете!)

В нашем же случае - увы :( Мы пока не в состоянии поставить серверную антивирусную защиту на "Лигу" :(. Это дорого стоит :( (Больше 1000 евро). А вот, например, на моем спайдеровском ящике - вирусных проблем нет, так как там реализована антивирусная блокировка. (Хотя, какая разница? Компьютер то у меня - один :) Достаточно одного источника, одной ложечки дёгтя :) )
Вот и приходится пока что......... "ручками"...... :)
Не уверен - не обгоняй:)

Аватара пользователя
mystic
Zealot
Zealot
Сообщения: 81
Зарегистрирован: 17 окт 2002, 21:54
Откуда: Ст.Оскол

5 фев 2004, 13:59Сообщение

Я - Албанский вирус, но в связи с очень плохим развитием технологии в моей
стране к сожалению я не могу причинить вред
вашему компьютеру. :oops: Пожалуйста будьте так любезны стереть один из важных
файлов с вашего компьютера
самостоятельно и перешлите меня другим.
Заранее благодарен за понимание и сотрудничество.

Албанавирус.

Аватара пользователя
twister
Archangel
Archangel
Сообщения: 343
Зарегистрирован: 16 фев 2003, 12:57
Откуда: Россия, Сочи
Контактная информация:

5 фев 2004, 17:33Сообщение

Странно мне на mail.ru пришел mydoom :)...и пришел с буржуйским доменом:), есть куча порграмм, которые отсылают письмо с адреса какого хочешь...
2Alan: а вот как они догадались прислать с мыла Хаоса:) или Хаос раскрыл аттач?
Надеюсь, ты меня понял :)
По всем вопросам обращаться к секретутке

Аватара пользователя
Alan Prost
Fairy Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 794
Зарегистрирован: 16 сен 2002, 18:43
Откуда: Russia, Krasnodar
Контактная информация:

5 фев 2004, 17:50Сообщение

twister писал(а): .......
2Alan: а вот как они догадались прислать с мыла Хаоса:) или Хаос раскрыл аттач?
Очевидно, что вирусы (если это не made in Albania) умнеют. Они забираются в твои адресные книги и находят твоих корреспондентов. Чтобы ты сразу не удалил письмо и купился на "звонок от приятеля". Вполне возможно, что и моим адресатам приходят лжеписьма с моего ящика. :( Если это случилось - просьба ко всем немедленно сообщить мне. Избавиться от этого не удастся, но человек хотя бы сможет мне поверить, что письмо пришло под маской моего e-mail, но не с моего IP. И недоразумение удастся уладить.
Не уверен - не обгоняй:)

Аватара пользователя
twister
Archangel
Archangel
Сообщения: 343
Зарегистрирован: 16 фев 2003, 12:57
Откуда: Россия, Сочи
Контактная информация:

5 фев 2004, 18:13Сообщение

Вирусы всегда адреса по всему винту сканировали...даже txt формат...значит Хаос с вирем сидит:)...и участвует в дос атаках на microsoft.com и sco.com :)
Надеюсь, ты меня понял :)
По всем вопросам обращаться к секретутке

Аватара пользователя
Alan Prost
Fairy Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 794
Зарегистрирован: 16 сен 2002, 18:43
Откуда: Russia, Krasnodar
Контактная информация:

5 фев 2004, 18:28Сообщение

twister писал(а): ..и участвует в дос атаках на microsoft.com и sco.com :)
Сам черт ногу сломит - кто кого атакует :)
Касперский заявляет (по телеку), что авторы Новарга, Мимейла, Майдума - россияне.
А вот тут - приведена информация, которая ставит всё с ног на голову :) Особенно, после заявления sco о премии $250К за голову автора вируса :)
Не уверен - не обгоняй:)

Аватара пользователя
twister
Archangel
Archangel
Сообщения: 343
Зарегистрирован: 16 фев 2003, 12:57
Откуда: Россия, Сочи
Контактная информация:

5 фев 2004, 19:07Сообщение

Странно конечно,..Линукс забирает у маст даев не так много потенциальных клиентов.
Надеюсь, ты меня понял :)
По всем вопросам обращаться к секретутке

Аватара пользователя
hawkmoon
Zealot
Zealot
Сообщения: 99
Зарегистрирован: 21 июл 2003, 12:52
Откуда: Ярославль
Контактная информация:

5 фев 2004, 22:56Сообщение

Мне например не пришло ни одного письма с вирусом, хотя пару раз пришло уведомление с какого-то левого сайта что я рассылаю вирус на адреса которые я в первый раз увидел. А вообще по поводу писем полезно соблюдать некоторую что ли этику или заранее предупреждать что пришлешь файл или когда присылаешь говорить что это за файл и что в нем лежит. Вирусу до этого додуматься сложно тем более до того чтобы присылать два письма подряд на один и тот же адрес

Chameleon
Azure Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 6063
Зарегистрирован: 22 дек 2002, 13:40
Откуда: Петрозаводск
Контактная информация:

6 фев 2004, 02:59Сообщение

hawkmoon писал(а):Мне например не пришло ни одного письма с вирусом, хотя пару раз пришло уведомление с какого-то левого сайта что я рассылаю вирус на адреса которые я в первый раз увидел.
Извини, конечно, но скорее всего ты заражен....
CMEPTb, Little Angel of Death
"Если ничто другое не помогает, прочтите, наконец, инструкцию." - Аксиома Кана

Oxygen
Black Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 3386
Зарегистрирован: 19 окт 2002, 14:53
Откуда: Москва
Контактная информация:

6 фев 2004, 03:33Сообщение

Внимание пользователям Win XP. Проверьте есть ли у вас в процессах такая штука TASKMON.EXE! если есть, то мочите сразу же и не задумываясь, (лежит в system32) такой службы в ХР НЕТ вообще и быть не должно. И ставьте фаерволы, там сразу видно заражен комп или нет.
Голова - это то место, которым мы думаем, что мы думаем.

Kerhan
Crusader
Crusader
Сообщения: 46
Зарегистрирован: 26 май 2003, 09:58
Откуда: Екатеринбург
Контактная информация:

6 фев 2004, 09:28Сообщение

CMEPTb писал(а): Извини, конечно, но скорее всего ты заражен....
Вирус при рассылке подменяет адресс источника рассылки на произвольный из адресной книги.
ЗЫ. У меня на рабочую почту 1,5 недели сыпалось по 30-50 писем в день. И с 10 отправленных как бы от меня.

Утилита от нортона для лечения вируса.
http://securityresponse.symantec.com/av ... Mydoom.exe
При обнаружении заразы - она будет немедленно уничтожена в такой последовательности:

1. Будет остановлен процесс, запущенный вирусом W32.Novarg.A@mm (он же Mydoom.A), W32.Mydoom.B@mm.

2. Будет остановлен вирусный подпроцесс под Explorer.exe.

3. Будет произведено физическое удаление всех файлов, принадлежащих вирусам W32.Novarg.A@mm (он же Mydoom.A), W32.Mydoom.B@mm.

4. Будет произведено удаление всех ключей реестра, добавленных вирусами W32.Novarg.A@mm (он же Mydoom.A), W32.Mydoom.B@mm.
Equilibris - наш аддон к Heroes IV! Сайт аддона

Аватара пользователя
Alan Prost
Fairy Dragon
Почетный член КС — Honored Member
Почетный член КС — Honored Member
Сообщения: 794
Зарегистрирован: 16 сен 2002, 18:43
Откуда: Russia, Krasnodar
Контактная информация:

6 фев 2004, 12:33Сообщение

Ну вот :( Я тоже являюсь разносчиком вируса :(. Естественно - это сделано помимо моей воли :(

Hi. This is the qmail-send program at actiononline.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<snikers@progamer.ru>:
user is over quota

--- Below this line is a copy of the message.

Return-Path: <alan@heroesleague.ru>
Received: (qmail 14056 invoked by uid 1002); 6 Feb 2004 09:14:45 -0000
Received: from ppp135-178.dialup.mtu-net.ru (HELO heroesleague.ru) (62.118.135.178) Мой - 62.183.34.226 - добавлено мною.
by 162 with SMTP; 6 Feb 2004 09:14:45 -0000
From: alan@heroesleague.ru
To: snikers@progamer.ru
Subject: Hi
Date: Fri, 6 Feb 2004 12:30:32 +0300
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0013_0C2D82AD.BC846151"
X-Priority: 3
X-MSMail-Priority: Normal

This is a multi-part message in MIME format.

Очевидно, что Лига и её почтовый сервер никогда не соединялись по Диалапу и никогда не хостились в Москве (mtu-net.ru)
Не уверен - не обгоняй:)