Началась глобальная фигня с regedit, cmd, total commander

  • Автор темы goschahn
  • Дата начала
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
Поймал сегодня с утра.
По сообщениям в инете проблема накрыла многих
Разные сообщения:
08.05.2009
http://virusinfo.info/showthread.php?t=45411
Не запускается regedit, cmd, total commander (Пропадают ярлыки, меню "Пуск", потом всё опять появляется). Если запустить второй раз regedit и total commander запускается, cmd - нет. Если их переименовать - запускаются с 1 раза. KIS 7.0 в файле C:\WINDOWS\beukbo.dys обнаружил Trojan.Win32.Small.bxz. CureIt в этом же файле - Tojan.Download.36194. KIS 7.0 начинает лечить, потом выдаёт: "Файл содержит троянскую программу. Лечение невозможно: отсутствуют права на запись.", предлагает удалить. Удаляет, перезагружается - файл на месте. Тоже и с CureIt. Если удалять вручную иногда появляется C:\WINDOWS\beukbo.dysx

07.05.2009
http://virusinfo.info/showthread.php?t=45332
Не запускается Total Commander, командная строка, regedit
При загрузке Total Commander и командной строки Explorer перезагружается, т.е. визуально пропадает панель задач и ярлыки на рабочем столе на короткое время.
Проверка СureIT, KIS8 ничего не дала
____________________________________________________________________


ИТОГ:
В общем не запускается TC, cmd, regedit - при попытке их запуска перегружается эксплорер.
Файла пока лишнего не нашел....копаю

Тест на конфикер вроде отрицательный. С сайтов антивиря качать можно, но антивирь не обновляется автоматически.
 
Oleg07

Oleg07

LPD: Ноль-седьмой
Регистрация
18.03.2004
Сообщения
47 747
Реакции
821
Баллы
113
Регедит запустился, коммандером не пользуюсь
 
Nusferatus

Nusferatus

Super Moderator
Регистрация
01.12.2006
Сообщения
40 161
Реакции
179
Баллы
63
Windows PE удобная штука: загрузился с флэшки, прошерстил систему антивирем, перезагрузился в свою систему.
Я так от hllp лечился.
 
OP
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
там хуже история. Эту ботву пока даже касперский не видит. Антивирь ставится и разрешает обновлятся из скаченных файлов, но обновляться с сайта не выходит.
AVZ с вирусинфо эту заразу вчера и сегодня еще не научился видеть.
CureIt и TMScan тоже ничего не видят.....мистика.
А у народа началось!
 
A

Alex 777

Guest,
Регистрация
24.11.2005
Сообщения
110 099
Реакции
360
Баллы
0
Пока все работает, тьфу тьфу тьфу.
 
A

Alex 777

Guest,
Регистрация
24.11.2005
Сообщения
110 099
Реакции
360
Баллы
0
«Лаборатория Касперского» сообщает о детектировании и лечении уникального MBR-руткита.

Экспертами компании был обнаружен новый вариант вредоносной программы Sinowal, обладающей функционалом скрытия своего присутствия в системе при помощи заражения главной загрузочной записи (MBR, Master Boot Record) жесткого диска.

Предыдущие варианты данного руткита освещались в статье «Буткит: вызов 2008».

Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы.

Никогда ранее злоумышленники не обращались к таким продвинутым технологиям. Из-за этого ни один из существовавших антивирусных продуктов на момент появления новой модификации Sinowal не был в состоянии не только вылечить пораженные Backdoor.Win32.Sinowal компьютеры, но и даже обнаружить проблему. После проникновения в систему буткит обеспечивает скрытое функционирование главного модуля, ориентированного на кражу персональных данных пользователей и их различных аккаунтов.

По данным экспертов «Лаборатории Касперского», буткит активно распространяется на протяжении последнего месяца с ряда вредоносных сайтов, использующих набор уязвимостей Neosploit. Одним из основных способов проникновения в систему является использование уязвимости в Adobe Acrobat Reader, вызывающей исполнение вредоносного PDF-файла, загруженного без ведома пользователя.

Как отмечают эксперты «Лаборатории Касперского», обнаружение и лечение данного буткита, который до сих пор распространяется в Интернете, является наиболее сложной задачей из всех, с которыми приходилось сталкиваться специалистам антивирусной индустрии на протяжении нескольких лет. «Лаборатория Касперского» одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

Для того чтобы проверить компьютер на наличие заражения, пользователям персональных продуктов «Лаборатории Касперского» необходимо обновить антивирусные базы и провести полную проверку системы. В случае обнаружения буткита в ходе лечения потребуется перезагрузка компьютера.

«Лаборатория Касперского» также рекомендует всем пользователям установить необходимые патчи, закрывающие уязвимости в Acrobat Reader и используемых браузерах



Не оно?
 
OP
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
да. точно! вчера при открытии сайта zaycev.net у меня попытался запуститься Акробат Ридер !!!!!!
Надо будет искать!
 
Nusferatus

Nusferatus

Super Moderator
Регистрация
01.12.2006
Сообщения
40 161
Реакции
179
Баллы
63
Новый вариант руткита стал настоящим сюрпризом для исследователей. В отличие от прошлых версий, новая модификация Backdoor.Win32.Sinowal для предотвращения своего обнаружения использует гораздо более глубокий уровень внедрения в систему. Метод скрытия, реализованный в данном варианте, использует перехваты на уровне объектов устройств — самом «глубоком» уровне работы операционной системы.
Блин, классная вещь! Ещёб серверную часть для него найти))
 
Макс

Макс

Активный участник
Регистрация
07.12.2006
Сообщения
7 394
Реакции
66
Баллы
48
Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?
 
D

Demon™

Новичок
Регистрация
02.08.2007
Сообщения
1 527
Реакции
20
Баллы
0
Блин, а я думал, это винда так глючила. На одном из компов во вторник такая беда стряслась. NOD32 молчал. Чтобы долго не разбираться, накатил стандартный образ и забыл, благо все доки централизованно хранятся.
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
Народ а где можно слить последние обновления винды ХР сп3? так что бы не на лицуху установить?

Загрузить Windows XP SP3 можно с сайта Microsoft Download Center в виде пакета установки (303,8 MB) или образа диска (367,0 MB), а также воспользоваться службой Windows Update.
 
OP
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
В общем мистика. После выходных взялся за свой комп.
Перепробовал уже все антитулкиты от Dr.Web, AVZ, KAV, и в довесок снес свой антивирь и установил KAV2009.
Не могу снести заразу и все тут.....сидит где-то собака.
Уже вроде и MBR пофиксил, а все равно при запуске регедита, командной строки, тотал командера, и прочих командеров вылетает эксплорер и явно что-то начинает грузить память. Процесс эксплорером не видно.
 
Б

Буржуй

Moderator
Регистрация
19.03.2009
Сообщения
11 247
Реакции
534
Баллы
113
В общем мистика. После выходных взялся за свой комп.
Перепробовал уже все антитулкиты от Dr.Web, AVZ, KAV, и в довесок снес свой антивирь и установил KAV2009.
Не могу снести заразу и все тут.....сидит где-то собака.
Уже вроде и MBR пофиксил, а все равно при запуске регедита, командной строки, тотал командера, и прочих командеров вылетает эксплорер и явно что-то начинает грузить память. Процесс эксплорером не видно.
в верхних сообщениях (по моему твоих) ссылка на вирус.инфо

там есть инструкции как бороться.
 
OP
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
их инструкции - туфта. Деланный выпендреж суппортов касперского.
И руткит их КАВ2009 не ловит. Не видит ничего, а активность видна, но не могу зацепится за конкретные файлы....видимо глубоко.
Особенно здорово по ОПЕРЕ видно. Она иногда начинает занимать 2Gb памяти, хотя по сетевому адаптеру почти ничего не ходит.....только вероятно мои пароли куда-то уплывают (((

На форуме касперского есть еще несколько "везунчиков" с проблемой как на моем компе.
Сейчас перетираем проблему, но ничего хорошего.
Скорее всего придется сносить систему.
 
OP
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
О! Нашел подсказку!
Cause
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32\Aux (or Aux1, Aux2, Aux3 etc) has strange value like :-

C:\WINDOWS\system32\..\ppfrvd.waq
C:\WINDOWS\system32\..\ryqkue.idb
C:\WINDOWS\system32\wdmaud.sys
C:\docume~1\%user%\locals~1\temp\..\adfdpj.dsa

(Note: c:\windows\system32\wdmaud.drv & c:\windows\system32\drivers\wdmaud.sys are legit files!)
 
OP
G

goschahn

Участник
Регистрация
29.06.2005
Сообщения
5 067
Реакции
8
Баллы
38
DrWeb & Kaspersky - loosers! I just win that f**king aux ))))
Сорри за плохой английский )))
Я нашел у себя лишний параметр aux по рецепту выше
Нашел файл vbe.ydm в корне windows , сшиб параметр в реестре, перегрузился и заархивировал с удалением vbe.ydm и еще дллку рядышком с той же датой.

Усе! Все заработало обратно.....зря я снес оперу и тотал коммандер )))))

Каспер и ДрВеб при прямом тыке в эти файлы в архиве ничегошеньки не видят.
Касперский онлайн с проверкой файла молчит как рыба.

А файл-то непростой )))))
 
Верх Низ