| portal.krasno.ru http://www.portal.krasno.ru/ |
|
| Щелчёк и экран смерти.. хм.. http://www.portal.krasno.ru/viewtopic.php?f=18&t=5555 |
Страница 1 из 1 |
| Автор: | Aleksey [ Пн 29 окт, 2007 22:14 ] |
| Заголовок сообщения: | Щелчёк и экран смерти.. хм.. |
Сижу тут недавно слышу щелчёк из системного блока (мой старый комп при таком щелчке перезагружался) и через несколько секунд появился "легендарный синий экран Смерти"! Я перезагрузился, но при загрузке синий экран смерти появился на секунду и комп ребутнулся, потом нормально загрузился.... После этого появилась проблема!, почему-то при установке программ когда идёт этап создания ярлыков, то пишет: "ошибка установки. не удаётся найти указанный путь или модуль". Я думал переустановка виды поможет, не помогла... На старой винде такая же шняга была, я винду переставил, месяц не было, а тут опять. Тут недавно обнаружил, что у меня много файлов заражено "Win32-Trojan SabureX-B" В чём же проблема? хм.. |
|
| Автор: | Наблюдатель... [ Пн 29 окт, 2007 22:32 ] |
| Заголовок сообщения: | |
Win32-Trojan SabureX Файловый вирус, заражающий исполняемые файлы Windows. Является библиотекой Windows DLL, имеет размер 17 920 байт. Инсталляция После запуска вирус копирует свой исполняемый файл в системный каталог Windows: %System%\ole16.dll После чего изменяет значения следующих параметров ключей реестра на: [HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32] @ = "ole16.dll" ThreadingModel="both" [HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32] @ = "ole16.dll" ThreadingModel="both" Деструктивная активность Вирус заражает файлы с расширением .exe на случайно выбранном разделе жесткого диска. Вирус не заражает файлы в папках, имена которых содержат следующие строки: program files documents and _restore music При заражении вирус упаковывает тело заражаемого файла в архив CAB, после чего копирует свое тело поверх тела заражаемого файла, а упакованное тело последнего дописывает в конец. Точка входа в вирус и его заголовок при этом корректируется таким образом, что зараженный файл становится приложением Windows (PE-EXE файл) и является запускаемым. При запуске зараженного файла тело вируса выделяется и корректируется в библиотеку DLL и в таком виде сохраняется во временную папку Windows с временным именем. После этого запускается процесс : rundll32 %Temp%\<временное имя DLL-файла>,a <путь и имя запущенного файла> После этого вирусный компонент удаляет свое тело из зараженного файла и распаковывает запакованное в CAB архив тело программы, тем самым полностью восстанавливает его в исходное состояние и запускает. Вирус извлекает во временную папку с временным именем библиотеку DLL (размер 7168 байт). Также просматривает все окна на рабочем столе пользователя и внедряет в процессы, которым принадлежат эти окна, извлеченную DLL. Извлеченная библиотека DLL будучи подгруженной к какому-либо процессу периодически делает скриншоты активного окна в системе, после чего шифрует их и публикует на сайте x***e.ru. Рекомендации по удалению 1. Удалить файл %System%\ole16.dll. 2. Изменить значения параметров ключей реестра на: [HKCR\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32] @="shell32.dll" ThreadingModel="Apartment" [HKLM\SOFTWARE\Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32] @="shell32.dll" ThreadingModel="Apartment" 3. Удалить все файлы из папки %Temp%. 4. Для удаления всех копий вируса с жесткого диска следует воспользоваться антивирусом с обновленными антивирусными базами. |
|
| Автор: | Kattani [ Пн 29 окт, 2007 22:37 ] |
| Заголовок сообщения: | |
Aleksey Не лишним будет проверить SMART параметры харда. |
|
| Автор: | Aleksey [ Пн 29 окт, 2007 22:55 ] |
| Заголовок сообщения: | |
Спасибо вам большое!!! Оказалось - это вирус скотина =) Неужели такой серьёзный, что он вызывал ошибки в 7-м осле, что приводило к ребуту? |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа [ Летнее время ] |
| Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |
|