Показано с 1 по 5 из 5.

Вирус издевается! :"Postav antivirus, 4uvak" (заявка № 4622)

  1. #1
    Visiting Helper Репутация Аватар для Sunix
    Регистрация
    02.02.2006
    Сообщений
    126
    Вес репутации
    40

    Вирус издевается! :"Postav antivirus, 4uvak"

    Я мозги сломал, но так и не смог обнаружить где он прячется!

    Внезапно загнулась ХР - просто не грузилась дальше экрана logon и не показывала пользователей для выбора.
    Я удалил каталоги Windows и Document and Settings, установил заново ХР с чистым SP2, лазил по интернету через IE. Через пару часов выползло окошко(msgbox) с заголовком Postav antivirus, 4uvak и содержимым MZħ, и с кнопкой ОК. при этом умирал Explorer.exe и предлагал отправить отчет.. Диалог запускался через Rundll имя класса #435770 (Dialog) посмотрел в Spy++ от VisualStudio6, процесс не существует (видимо умирающий екплорер)..
    DrWeb 4.33 SpiderGuard с последними базами уже стоял и работал, и был включен встроенный фаерволл.

    Ночью(сегодня) я проверил полностью диски DrWeb - ничего не найдено, и ничего подозрительного. Днем опять вылезло окошко, удалил ДрВеб, поставил AVP 4.5 с сегодняшними базами - тоже ничего, антивирусы что есть, что нету. В течении дня пропали все сетевые соединения в "подключениях" и пусто в "Панель управления-Администрирование", еще раз вылезал диалог. Глазами пересмотрел кучу файлов, сравнил с оригинальными на CD, искал отличающиеся по дате от сервиспака и подозрительные внутри, в реестре автозагрузку и список драйверов и служб - ниче не нашел и переставил винду : (
    Сразу после установки чистой windows установил Drweb и распаковал Winrar-ом апдейты к нему... через пару минут вылезло окошко : ()
    сравнил установленный у меня WinRar.exe с такой же версией в архиве - одинаковые побайтно, инсталлер ДрВеб не с чем сравнить. : (

    Вообщем народ я в ужасе! как впоймать эту заразу?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Geser
    Guest
    А пароли на все учётные записи стоят?

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Sunix
    Внезапно загнулась ХР - просто не грузилась дальше экрана logon и не показывала пользователей для выбора.
    Я удалил каталоги Windows и Document and Settings, установил заново ХР с чистым SP2, лазил по интернету через IE. Через пару часов выползло окошко(msgbox) с заголовком Postav antivirus, 4uvak и содержимым MZħ, и с кнопкой ОК. при этом умирал Explorer.exe и предлагал отправить отчет.. Диалог запускался через Rundll имя класса #435770 (Dialog) посмотрел в Spy++ от VisualStudio6, процесс не существует (видимо умирающий екплорер)..
    встроенный фаервол - это не помощник.
    есть варианты - спам через messenger, эксплоит (на то, что собираются внедрить exe-файл может указывать демонстрируемое окно MZ...).
    нужно в AVZ в режиме противодействия руткитам поискать на системном диске файлики, измененные со дня,предшествующего появлению окон. СПИСОК прислать. когда в очередной раз появится окно - сделать скриншот (PrntScr) и приаттачить к сообщению.

  5. #4
    Visiting Helper Репутация Аватар для Sunix
    Регистрация
    02.02.2006
    Сообщений
    126
    Вес репутации
    40

    Talking

    ааа каюсь, это я лол =) привык сидеть в тепле - у меня никогда не было ни одной заразы...
    вообщем это уязвимость в WMF, я когда-то качал файлик zzz.wmf для проверки уязвимости, но не видел что он собсно делает, патч уже стоял.
    щас про него вспомнил - он именно этот диалог должен выдавать и рушить запустившую его программу.
    не понял почему explorer к нему обращался, и почему попроподали соединения и папка администрирование, да еще потом пропала "иконка" у имени пользователя. и почему померла предыдущая винда : (
    да к тому же я ставил апдейты вчера.
    хз короче, я все еще в ужасе, а руки никогда кривыми не были.

    ps.спасибо за сочувствие это действительно был "эксплоит"
    посмотрю как теперь будет вести себя система
    Изображения Изображения
    • Тип файла: jpg wmf.JPG (168.5 Кб, 41 просмотров)
    Вложения Вложения
    • Тип файла: rar zzz.rar (6.3 Кб, 12 просмотров)
    Последний раз редактировалось Sunix; 03.02.2006 в 13:33.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Sunix
    вообщем это уязвимость в WMF, я когда-то качал файлик zzz.wmf для проверки уязвимости, но не видел что он собсно делает, патч уже стоял.
    я этот файл в ЖЖ видел...

  • Уважаемый(ая) Sunix, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 2
      Последнее сообщение: 25.06.2011, 16:40
    3. Ответов: 12
      Последнее сообщение: 16.06.2011, 11:15
    4. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    5. Ответов: 1
      Последнее сообщение: 28.11.2008, 17:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01442 seconds with 20 queries