Началась глобальная фигня с regedit, cmd, total commander

[goschahn]

Поймал сегодня с утра.
По сообщениям в инете проблема накрыла многих
Разные сообщения:
08.05.2009
http://virusinfo.info/showthread.php?t=45411
Не запускается regedit, cmd, total commander (Пропадают ярлыки, меню "Пуск", потом всё опять появляется). Если запустить второй раз regedit и total commander запускается, cmd - нет. Если их переименовать - запускаются с 1 раза. KIS 7.0 в файле C:\WINDOWS\beukbo.dys обнаружил Trojan.Win32.Small.bxz. CureIt в этом же файле - Tojan.Download.36194. KIS 7.0 начинает лечить, потом выдаёт: "Файл содержит троянскую программу. Лечение невозможно: отсутствуют права на запись.", предлагает удалить. Удаляет, перезагружается - файл на месте. Тоже и с CureIt. Если удалять вручную иногда появляется C:\WINDOWS\beukbo.dysx

07.05.2009
http://virusinfo.info/showthread.php?t=45332
Не запускается Total Commander, командная строка, regedit
При загрузке Total Commander и командной строки Explorer перезагружается, т.е. визуально пропадает панель задач и ярлыки на рабочем столе на короткое время.
Проверка СureIT, KIS8 ничего не дала
____________________________________________________________________


ИТОГ:
В общем не запускается TC, cmd, regedit - при попытке их запуска перегружается эксплорер.
Файла пока лишнего не нашел....копаю

Тест на конфикер вроде отрицательный. С сайтов антивиря качать можно, но антивирь не обновляется автоматически.

 

[Oleg07]

Регедит запустился, коммандером не пользуюсь

 

[Nusferatus]

Windows PE удобная штука: загрузился с флэшки, прошерстил систему антивирем, перезагрузился в свою систему.
Я так от hllp лечился.

 

[goschahn]

там хуже история. Эту ботву пока даже касперский не видит. Антивирь ставится и разрешает обновлятся из скаченных файлов, но обновляться с сайта не выходит.
AVZ с вирусинфо эту заразу вчера и сегодня еще не научился видеть.
CureIt и TMScan тоже ничего не видят.....мистика.
А у народа началось!

 

[Alex 777]

Пока все работает, тьфу тьфу тьфу.

 

[Alex 777]

«Лаборатория Касперского» сообщает о детектировании и лечении уникального MBR-руткита.

Экспертами компании был обнаружен новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска.

Предыдущие варианты данного руткита освещались в статье «Буткит: вызов 2008».

Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы.

Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным экспертов «Лаборатории Касперского», буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Как отмечают эксперты «Лаборатории Касперского», обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. «Лаборатория Касперского» одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов «Лаборатории Касперского» необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

«Лаборатория Касперского» также рекомендует всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах



Не оно?

 

[goschahn]

да. точно! вчера при открытии сайта zaycev.net у меня попытался запуститься Акробат Ридер !!!!!!
Надо будет искать!

 

[Nusferatus]

Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы.

Блин, классная вещь! Ещёб серверную часть для него найти))

 

[Макс]

Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?

 

[Qok]

Пока все работает, тьфу тьфу тьфу.

Аналогично. Стоит лицензионный NOD32, на работе Avira Premium.

 

[Demon™]

Блин, а я думал, это винда так глючила. На одном из компов во вторник такая беда стряслась. NOD32 молчал. Чтобы долго не разбираться, накатил стандартный образ и забыл, благо все доки централизованно хранятся.

 

[dalex]

Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?

С сайта майкрософт )

 

[Alex 777]

Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?

У меня есть..

 

[Radik]

Пока все работает, тьфу тьфу тьфу.

+1

 

[evn]

Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?

Загрузить Windows XP SP3 можно с сайта Microsoft Download Center в виде пакета установки (303,8 MB) или образа диска (367,0 MB), а также воспользоваться службой Windows Update.

 

[goschahn]

В общем мистика. После выходных взялся за свой комп.
Перепробовал уже все антитулкиты от Dr.Web, AVZ, KAV, и в довесок снес свой антивирь и установил KAV2009.
Не могу снести заразу и все тут.....сидит где-то собака.
Уже вроде и MBR пофиксил, а все равно при запуске регедита, командной строки, тотал командера, и прочих командеров вылетает эксплорер и явно что-то начинает грузить память. Процесс эксплорером не видно.

 

[Буржуй]

В общем мистика. После выходных взялся за свой комп.
Перепробовал уже все антитулкиты от Dr.Web, AVZ, KAV, и в довесок снес свой антивирь и установил KAV2009.
Не могу снести заразу и все тут.....сидит где-то собака.
Уже вроде и MBR пофиксил, а все равно при запуске регедита, командной строки, тотал командера, и прочих командеров вылетает эксплорер и явно что-то начинает грузить память. Процесс эксплорером не видно.

в верхних сообщениях (по моему твоих) ссылка на вирус.инфо

там есть инструкции как бороться.

 

[goschahn]

их инструкции - туфта. Деланный выпендреж суппортов касперского.
И руткит их КАВ2009 не ловит. Не видит ничего, а активность видна, но не могу зацепится за конкретные файлы....видимо глубоко.
Особенно здорово по ОПЕРЕ видно. Она иногда начинает занимать 2Gb памяти, хотя по сетевому адаптеру почти ничего не ходит.....только вероятно мои пароли куда-то уплывают (((

На форуме касперского есть еще несколько "везунчиков" с проблемой как на моем компе.
Сейчас перетираем проблему, но ничего хорошего.
Скорее всего придется сносить систему.

 

[goschahn]

О! Нашел подсказку!
Cause
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Aux (or Aux1, Aux2, Aux3 etc) has strange value like :-

C:\WINDOWS\system32\..\ppfrvd.waq
C:\WINDOWS\system32\..\ryqkue.idb
C:\WINDOWS\system32\wdmaud.sys
C:\docume~1\%user%\locals~1\temp\..\adfdpj.dsa

(Note: c:\windows\system32\wdmaud.drv & c:\windows\system32\drivers\wdmaud.sys are legit files!)

 

[goschahn]

DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
Сорри за плохой английский )))
Я нашел у себя лишний параметр aux по рецепту выше
Нашел файл vbe.ydm в корне windows , сшиб параметр в реестре, перегрузился и заархивировал с удалением vbe.ydm и еще дллку рядышком с той же датой.

Усе! Все заработало обратно.....зря я снес оперу и тотал коммандер )))))

Каспер и ДрВеб при прямом тыке в эти файлы в архиве ничегошеньки не видят.
Касперский онлайн с проверкой файла молчит как рыба.

А файл-то непростой )))))