Началась глобальная фигня с regedit, cmd, total commander

[Denis Usenko]

DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
Сорри за плохой английский )))
Я нашел у себя лишний параметр aux по рецепту выше
Нашел файл vbe.ydm в корне windows , сшиб параметр в реестре, перегрузился и заархивировал с удалением vbe.ydm и еще дллку рядышком с той же датой.

Усе! Все заработало обратно.....зря я снес оперу и тотал коммандер )))))

Каспер и ДрВеб при прямом тыке в эти файлы в архиве ничегошеньки не видят.
Касперский онлайн с проверкой файла молчит как рыба.

А файл-то непростой )))))

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Aux

По этой наводке только что грохнул у себя заразу )) Спасибо!

 

[Qok]

Слава рецепту от Dr. goschahn!!!

 

[goschahn]

Касперские, которым я выслал архив с вирьем ответили:
Tue, 12 May 2009 01:31:24 +0400 Тема:RE: вирус [KLAN-28093644] Здравствуйте,


vde.ydm,
vde1.ydm - Trojan.Win32.Small.aatg

Детектирование файлов будет добавлено в следующее обновление.

vmmreg32.dll

Вредоносный код в файле не обнаружен.

>From:
>Sent: May 12 2009 12:37AM
>To: "New Virus" <newvirus@kaspersky.com>
>Subject: вирус
>
> Нашел вирус.
> Обезвредил и запаковал вам.
> Обсуждение здесь:
> http://www.autosaratov.ru/phorum/showthread.php?t=62476
>
> С уважением, Георгий
>
С уважением, В******в П*****ий
Вирусный аналитик

 

[BigKot]

DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
Сорри за плохой английский )))

Нет панацеи на все случаи жизни!
В своё время ждал три недели, пока появится первый антивирь, который сможет лечить новую заразу!
Обнаруживать и удалять начали многие где-то через недельку...

 

[Макс]

а я проблемы пока не видел...

 

[welcomeinside]

Регедит запустился, коммандером не пользуюсь

+1

 

[Wave]

Поймал сегодня такое счастье. Нод не запускается, Тотал ком нормально работает, Медиа плеер классик отказывается работать. Выше указанными способами не лечиться, все чисто никаких посторонних ключей в реестре найти не могу. Короче хз че делать. Неохота систему переставлять... ((((

 

[Wave]

Короче, ни один антивирус ничего не находит. Мониторинг реестра показал, что процесс explorer.exe:1604 сам меняет в реестре значения ключей DisableRegistryTools и DisableTaskMgr. При этом не работают некоторые ехешники (wmplayerc.exe в частности) ссылаясь на ошибку:

 

[Wave]

Кто сталкивался и как лечил, просьба поделиться - весь моск взорвал нафик... (((

 

[Qok]

Кто сталкивался и как лечил, просьба поделиться - весь моск взорвал нафик... (((

Так вот, вроде человек отписался:

DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
Сорри за плохой английский )))
Я нашел у себя лишний параметр aux по рецепту выше
Нашел файл vbe.ydm в корне windows , сшиб параметр в реестре, перегрузился и заархивировал с удалением vbe.ydm и еще дллку рядышком с той же датой.

Усе! Все заработало обратно.....зря я снес оперу и тотал коммандер )))))

Каспер и ДрВеб при прямом тыке в эти файлы в архиве ничегошеньки не видят.
Касперский онлайн с проверкой файла молчит как рыба.

А файл-то непростой )))))

 

[Wave]

Лишних параметров AUX нет, в том то и дело... ((((

параметр aux: wdmaud.drv

И пока explorer.exe приостановлен, вышеуказанные ключи в реестре не меняются

 

[den933]

наверное в Лаборатории Касперского вирусы и пишут)

 

[Wave]

Короче, пришлось переставлять систему. Заражены оказались ВСЕ ехе-файлы, даже те, которые лет сто не запускались (((( Снес все нафик.

 

[mojo]

Короче, ни один антивирус ничего не находит

Заражены оказались ВСЕ ехе-файлы, даже те, которые лет сто не запускались (((( Снес все нафик.

а как узнал то что заражены? если антивир ничо не ищет

 

[goschahn]

зря переставил систему.....это вероятно была Sality.aa
Для этой эпидемии у каспера есть утилита Sality_Off.exe
В безопасном режиме с ключом -m запускаешь ее и весь комп лечится.
если не получается безопасный режим - то у касперского есть ключи для реестра это исправляющий.

И вообще!
Все отключите у себя на компьютерах автозапуск со всех дисков. Шансы подцепить вирье снизятся процентов на 80.
На флэшках носите инфу внутри какой-нибудь папки, а на корень флэшки сделайте запрет на запись.
Эти нехитрые рекомендации позволят вам избежать Sality и прочих конфикеров.

 

[Wave]

а как узнал то что заражены? если антивир ничо не ищет

Просто после того, как переставил систему, стоило запустить любой ехе файл, как диспетчер задач и редактор реестра тут же отключались.

зря переставил систему.....это вероятно была Sality.aa
Для этой эпидемии у каспера есть утилита Sality_Off.exe
В безопасном режиме с ключом -m запускаешь ее и весь комп лечится.
если не получается безопасный режим - то у касперского есть ключи для реестра это исправляющий.

И вообще!
Все отключите у себя на компьютерах автозапуск со всех дисков. Шансы подцепить вирье снизятся процентов на 80.
На флэшках носите инфу внутри какой-нибудь папки, а на корень флэшки сделайте запрет на запись.
Эти нехитрые рекомендации позволят вам избежать Sality и прочих конфикеров.

В безопасном режиме винда не загружалась. Автозапуск отключен. Грешу на младшего брата, он любит туда флэшки всякие непроверенные совать...

 

[Qok]

А я вчера полдня боролся с какой-то злобной херней, которую пропустил NOD, потом она его вообще отключила, заблокировала доступы к антивирусным сайтам. Только firewall'ом перекрыл ей доступ в сеть. Еле искоренил заразу! NOD меня уже второй раз под танк бросает. Наверное, опять буду ставить Авиру.

 

[Zonner]

У друга стоит лицензионный каспер, периодически на его влешках вирусы. Такое ощущение будто качаются вирусные базы, а не антивирусные.