Помощь Регистрация
Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 25 из 38
  1. #1

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности

    Exclamation Началась глобальная фигня с regedit, cmd, total commander

    Поймал сегодня с утра.
    По сообщениям в инете проблема накрыла многих
    Разные сообщения:
    08.05.2009
    http://virusinfo.info/showthread.php?t=45411
    Не запускается regedit, cmd, total commander (Пропадают ярлыки, меню "Пуск", потом всё опять появляется). Если запустить второй раз regedit и total commander запускается, cmd - нет. Если их переименовать - запускаются с 1 раза. KIS 7.0 в файле C:\WINDOWS\beukbo.dys обнаружил Trojan.Win32.Small.bxz. CureIt в этом же файле - Tojan.Download.36194. KIS 7.0 начинает лечить, потом выдаёт: "Файл содержит троянскую программу. Лечение невозможно: отсутствуют права на запись.", предлагает удалить. Удаляет, перезагружается - файл на месте. Тоже и с CureIt. Если удалять вручную иногда появляется C:\WINDOWS\beukbo.dysx

    07.05.2009
    http://virusinfo.info/showthread.php?t=45332
    Не запускается Total Commander, командная строка, regedit
    При загрузке Total Commander и командной строки Explorer перезагружается, т.е. визуально пропадает панель задач и ярлыки на рабочем столе на короткое время.
    Проверка СureIT, KIS8 ничего не дала
    ____________________________________________________________________


    ИТОГ:
    В общем не запускается TC, cmd, regedit - при попытке их запуска перегружается эксплорер.
    Файла пока лишнего не нашел....копаю

    Тест на конфикер вроде отрицательный. С сайтов антивиря качать можно, но антивирь не обновляется автоматически.

  2. #2
    LPD:  Ноль-седьмой Аватар для Oleg07
    Регистрация
    18.03.2004
    Пол
    Пол: Мужской
    Авто
    Тушканчик
    Сообщений
    46 428
    Благодарности
    Записей в дневнике
    1
    Регедит запустился, коммандером не пользуюсь

  3. #3
    Аватар для Nusferatus
    Регистрация
    01.12.2006
    Пол
    Пол: Мужской
    Авто
    BMW m3
    Сообщений
    39 637
    Благодарности
    Windows PE удобная штука: загрузился с флэшки, прошерстил систему антивирем, перезагрузился в свою систему.
    Я так от hllp лечился.

  4. #4

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    там хуже история. Эту ботву пока даже касперский не видит. Антивирь ставится и разрешает обновлятся из скаченных файлов, но обновляться с сайта не выходит.
    AVZ с вирусинфо эту заразу вчера и сегодня еще не научился видеть.
    CureIt и TMScan тоже ничего не видят.....мистика.
    А у народа началось!

  5. #5
    Super Moderator
    Георгиевская ленточка
    Аватар для Alex 777
    Регистрация
    24.11.2005
    Пол
    Пол: Мужской
    Авто
    Kia Rio
    Возраст
    40
    Сообщений
    108 164
    Благодарности
    Пока все работает, тьфу тьфу тьфу.
    Все равно, назло всем бесам, здешним и заокеанским, птицы петь над этим лесом будут только по-славянски!!

  6. #6
    Super Moderator
    Георгиевская ленточка
    Аватар для Alex 777
    Регистрация
    24.11.2005
    Пол
    Пол: Мужской
    Авто
    Kia Rio
    Возраст
    40
    Сообщений
    108 164
    Благодарности
    «Лаборатория Касперского» сообщает о детектировании и лечении уникального MBR-руткита.

    Экспертами компании был обнаружен новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска.

    Предыдущие варианты данного руткита освещались в статье «Буткит: вызов 2008».

    Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы.

    Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

    По данным экспертов «Лаборатории Касперского», буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

    Как отмечают эксперты «Лаборатории Касперского», обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. «Лаборатория Касперского» одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

    Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов «Лаборатории Касперского» необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

    «Лаборатория Касперского» также рекомендует всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах



    Не оно?
    Все равно, назло всем бесам, здешним и заокеанским, птицы петь над этим лесом будут только по-славянски!!

  7. #7

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    да. точно! вчера при открытии сайта zaycev.net у меня попытался запуститься Акробат Ридер !!!!!!
    Надо будет искать!

  8. #8
    Аватар для Nusferatus
    Регистрация
    01.12.2006
    Пол
    Пол: Мужской
    Авто
    BMW m3
    Сообщений
    39 637
    Благодарности
    Цитата Сообщение от Alex 777 Посмотреть сообщение
    Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы.
    Блин, классная вещь! Ещёб серверную часть для него найти))

  9. #9
    Аватар для Макс
    Регистрация
    07.12.2006
    Пол
    Пол: Мужской
    Авто
    иж2715=> ваз21213=> ваз21093i=> LADA KALINA=> Lada GRANTA
    Сообщений
    7 175
    Благодарности
    Записей в дневнике
    1
    Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?

  10. #10
    Moderator Аватар для Qok
    Регистрация
    03.09.2004
    Пол
    Пол: Мужской
    Сообщений
    51 798
    Благодарности
    Цитата Сообщение от Alex 777 Посмотреть сообщение
    Пока все работает, тьфу тьфу тьфу.
    Аналогично. Стоит лицензионный NOD32, на работе Avira Premium.
    I Am The Most Peculiar Man.

  11. #11

    Регистрация
    02.08.2007
    Пол
    Пол: Мужской
    Авто
    Hyundai Accent
    Возраст
    39
    Сообщений
    1 527
    Благодарности
    Блин, а я думал, это винда так глючила. На одном из компов во вторник такая беда стряслась. NOD32 молчал. Чтобы долго не разбираться, накатил стандартный образ и забыл, благо все доки централизованно хранятся.

  12. #12
    Аватар для dalex
    Регистрация
    15.02.2006
    Пол
    Пол: Мужской
    Авто
    Kia Sorento
    Возраст
    36
    Сообщений
    17 303
    Благодарности
    Цитата Сообщение от Макс Посмотреть сообщение
    Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?
    С сайта майкрософт )

  13. #13
    Super Moderator
    Георгиевская ленточка
    Аватар для Alex 777
    Регистрация
    24.11.2005
    Пол
    Пол: Мужской
    Авто
    Kia Rio
    Возраст
    40
    Сообщений
    108 164
    Благодарности
    Цитата Сообщение от Макс Посмотреть сообщение
    Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?
    У меня есть..
    Все равно, назло всем бесам, здешним и заокеанским, птицы петь над этим лесом будут только по-славянски!!

  14. #14

    Регистрация
    11.07.2007
    Пол
    Пол: Мужской
    Возраст
    33
    Сообщений
    12 655
    Благодарности
    Цитата Сообщение от Alex 777 Посмотреть сообщение
    Пока все работает, тьфу тьфу тьфу.
    +1

  15. #15
    Banned (Read Only) Аватар для evn
    Регистрация
    27.07.2005
    Авто
    ██████
    Сообщений
    28 457
    Благодарности
    Цитата Сообщение от Макс Посмотреть сообщение
    Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?
    Загрузить Windows XP SP3 можно с сайта Microsoft Download Center в виде пакета установки (303,8 MB) или образа диска (367,0 MB), а также воспользоваться службой Windows Update.

  16. #16

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    В общем мистика. После выходных взялся за свой комп.
    Перепробовал уже все антитулкиты от Dr.Web, AVZ, KAV, и в довесок снес свой антивирь и установил KAV2009.
    Не могу снести заразу и все тут.....сидит где-то собака.
    Уже вроде и MBR пофиксил, а все равно при запуске регедита, командной строки, тотал командера, и прочих командеров вылетает эксплорер и явно что-то начинает грузить память. Процесс эксплорером не видно.

  17. #17
    Moderator
    Регистрация
    19.03.2009
    Пол
    Пол: Мужской
    Возраст
    40
    Сообщений
    10 962
    Благодарности
    Цитата Сообщение от goschahn Посмотреть сообщение
    В общем мистика. После выходных взялся за свой комп.
    Перепробовал уже все антитулкиты от Dr.Web, AVZ, KAV, и в довесок снес свой антивирь и установил KAV2009.
    Не могу снести заразу и все тут.....сидит где-то собака.
    Уже вроде и MBR пофиксил, а все равно при запуске регедита, командной строки, тотал командера, и прочих командеров вылетает эксплорер и явно что-то начинает грузить память. Процесс эксплорером не видно.
    в верхних сообщениях (по моему твоих) ссылка на вирус.инфо

    там есть инструкции как бороться.

  18. #18

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    их инструкции - туфта. Деланный выпендреж суппортов касперского.
    И руткит их КАВ2009 не ловит. Не видит ничего, а активность видна, но не могу зацепится за конкретные файлы....видимо глубоко.
    Особенно здорово по ОПЕРЕ видно. Она иногда начинает занимать 2Gb памяти, хотя по сетевому адаптеру почти ничего не ходит.....только вероятно мои пароли куда-то уплывают (((

    На форуме касперского есть еще несколько "везунчиков" с проблемой как на моем компе.
    Сейчас перетираем проблему, но ничего хорошего.
    Скорее всего придется сносить систему.

  19. #19

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    О! Нашел подсказку!
    Cause
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Aux (or Aux1, Aux2, Aux3 etc) has strange value like :-

    C:\WINDOWS\system32\..\ppfrvd.waq
    C:\WINDOWS\system32\..\ryqkue.idb
    C:\WINDOWS\system32\wdmaud.sys
    C:\docume~1\%user%\locals~1\temp\..\adfdpj.dsa

    (Note: c:\windows\system32\wdmaud.drv & c:\windows\system32\drivers\wdmaud.sys are legit files!)

  20. #20

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
    Сорри за плохой английский )))
    Я нашел у себя лишний параметр aux по рецепту выше
    Нашел файл vbe.ydm в корне windows , сшиб параметр в реестре, перегрузился и заархивировал с удалением vbe.ydm и еще дллку рядышком с той же датой.

    Усе! Все заработало обратно.....зря я снес оперу и тотал коммандер )))))

    Каспер и ДрВеб при прямом тыке в эти файлы в архиве ничегошеньки не видят.
    Касперский онлайн с проверкой файла молчит как рыба.

    А файл-то непростой )))))

  21. #21

    Регистрация
    12.05.2009
    Пол
    Пол: Мужской
    Сообщений
    1
    Благодарности
    Цитата Сообщение от goschahn Посмотреть сообщение
    DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
    Сорри за плохой английский )))
    Я нашел у себя лишний параметр aux по рецепту выше
    Нашел файл vbe.ydm в корне windows , сшиб параметр в реестре, перегрузился и заархивировал с удалением vbe.ydm и еще дллку рядышком с той же датой.

    Усе! Все заработало обратно.....зря я снес оперу и тотал коммандер )))))

    Каспер и ДрВеб при прямом тыке в эти файлы в архиве ничегошеньки не видят.
    Касперский онлайн с проверкой файла молчит как рыба.

    А файл-то непростой )))))
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Aux
    По этой наводке только что грохнул у себя заразу )) Спасибо!

  22. #22
    Moderator Аватар для Qok
    Регистрация
    03.09.2004
    Пол
    Пол: Мужской
    Сообщений
    51 798
    Благодарности
    Слава рецепту от Dr. goschahn!!!
    I Am The Most Peculiar Man.

  23. #23

    Регистрация
    29.06.2005
    Сообщений
    5 083
    Благодарности
    Касперские, которым я выслал архив с вирьем ответили:
    Tue, 12 May 2009 01:31:24 +0400 Тема:RE: вирус [KLAN-28093644] Здравствуйте,


    vde.ydm,
    vde1.ydm - Trojan.Win32.Small.aatg

    Детектирование файлов будет добавлено в следующее обновление.

    vmmreg32.dll

    Вредоносный код в файле не обнаружен.

    >From:
    >Sent: May 12 2009 12:37AM
    >To: "New Virus"
    >Subject: вирус
    >
    > Нашел вирус.
    > Обезвредил и запаковал вам.
    > Обсуждение здесь:
    > http://www.autosaratov.ru/phorum/showthread.php?t=62476
    >
    > С уважением, Георгий
    >
    С уважением, В******в П*****ий
    Вирусный аналитик

  24. #24
    Аватар для BigKot
    Регистрация
    04.03.2005
    Пол
    Пол: Мужской
    Авто
    К2
    Возраст
    40
    Сообщений
    2 128
    Благодарности
    Цитата Сообщение от goschahn Посмотреть сообщение
    DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
    Сорри за плохой английский )))
    Нет панацеи на все случаи жизни!
    В своё время ждал три недели, пока появится первый антивирь, который сможет лечить новую заразу!
    Обнаруживать и удалять начали многие где-то через недельку...

  25. #25
    Аватар для Макс
    Регистрация
    07.12.2006
    Пол
    Пол: Мужской
    Авто
    иж2715=> ваз21213=> ваз21093i=> LADA KALINA=> Lada GRANTA
    Сообщений
    7 175
    Благодарности
    Записей в дневнике
    1
    а я проблемы пока не видел...

Страница 1 из 2 12 ПоследняяПоследняя
Похожие темы
  1. Админ, ну чего за фигня такая? Форум умирает
    от Stealth™ в разделе Советы, отзывы, критика, рекомендации
    Ответов: 275
    Последнее сообщение: 07.03.2014, 15:22
  2. Чё за фигня? Вопрос про мой последний визит на форум.
    от Gangster в разделе Советы, отзывы, критика, рекомендации
    Ответов: 8
    Последнее сообщение: 28.11.2007, 10:45
  3. Фигня или Дело?
    от Евгений в разделе Автомобильный
    Ответов: 10
    Последнее сообщение: 10.08.2005, 15:20
  4. Эээх! Ну что за пятница така началась? :-( Хмуро и сыро.
    от Qok в разделе Полезно. Интересно. Познавательно
    Ответов: 9
    Последнее сообщение: 01.07.2005, 15:31
  5. Ну, млин ВЕСНА началась!
    от sem в разделе Автомобильный
    Ответов: 28
    Последнее сообщение: 16.04.2004, 23:22
Ваши права
  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •