Я мозги сломал, но так и не смог обнаружить где он прячется!
Внезапно загнулась ХР - просто не грузилась дальше экрана logon и не показывала пользователей для выбора.
Я удалил каталоги Windows и Document and Settings, установил заново ХР с чистым SP2, лазил по интернету через IE. Через пару часов выползло окошко(msgbox) с заголовком Postav antivirus, 4uvak и содержимым MZħ, и с кнопкой ОК. при этом умирал Explorer.exe и предлагал отправить отчет.. Диалог запускался через Rundll имя класса #435770 (Dialog) посмотрел в Spy++ от VisualStudio6, процесс не существует (видимо умирающий екплорер)..
DrWeb 4.33 SpiderGuard с последними базами уже стоял и работал, и был включен встроенный фаерволл.
Ночью(сегодня) я проверил полностью диски DrWeb - ничего не найдено, и ничего подозрительного. Днем опять вылезло окошко, удалил ДрВеб, поставил AVP 4.5 с сегодняшними базами - тоже ничего, антивирусы что есть, что нету. В течении дня пропали все сетевые соединения в "подключениях" и пусто в "Панель управления-Администрирование", еще раз вылезал диалог. Глазами пересмотрел кучу файлов, сравнил с оригинальными на CD, искал отличающиеся по дате от сервиспака и подозрительные внутри, в реестре автозагрузку и список драйверов и служб - ниче не нашел и переставил винду : (
Сразу после установки чистой windows установил Drweb и распаковал Winrar-ом апдейты к нему... через пару минут вылезло окошко : ()
сравнил установленный у меня WinRar.exe с такой же версией в архиве - одинаковые побайтно, инсталлер ДрВеб не с чем сравнить. : (
Вообщем народ я в ужасе! как впоймать эту заразу?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Внезапно загнулась ХР - просто не грузилась дальше экрана logon и не показывала пользователей для выбора.
Я удалил каталоги Windows и Document and Settings, установил заново ХР с чистым SP2, лазил по интернету через IE. Через пару часов выползло окошко(msgbox) с заголовком Postav antivirus, 4uvak и содержимым MZħ, и с кнопкой ОК. при этом умирал Explorer.exe и предлагал отправить отчет.. Диалог запускался через Rundll имя класса #435770 (Dialog) посмотрел в Spy++ от VisualStudio6, процесс не существует (видимо умирающий екплорер)..
встроенный фаервол - это не помощник.
есть варианты - спам через messenger, эксплоит (на то, что собираются внедрить exe-файл может указывать демонстрируемое окно MZ...).
нужно в AVZ в режиме противодействия руткитам поискать на системном диске файлики, измененные со дня,предшествующего появлению окон. СПИСОК прислать. когда в очередной раз появится окно - сделать скриншот (PrntScr) и приаттачить к сообщению.
ааа каюсь, это я лол =) привык сидеть в тепле - у меня никогда не было ни одной заразы...
вообщем это уязвимость в WMF, я когда-то качал файлик zzz.wmf для проверки уязвимости, но не видел что он собсно делает, патч уже стоял.
щас про него вспомнил - он именно этот диалог должен выдавать и рушить запустившую его программу.
не понял почему explorer к нему обращался, и почему попроподали соединения и папка администрирование, да еще потом пропала "иконка" у имени пользователя. и почему померла предыдущая винда : (
да к тому же я ставил апдейты вчера.
хз короче, я все еще в ужасе, а руки никогда кривыми не были.
ps.спасибо за сочувствие это действительно был "эксплоит"
посмотрю как теперь будет вести себя система
Последний раз редактировалось Sunix; 03.02.2006 в 13:33.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Sunix
это действительно был "эксплоит"
