Столкнулся тут с непонятной вещью. Уже на третьем компьютере перестают запускаться .net приложения, как то хитро модифицируются ntdll.dll и
kernel32.dll. У нас не работают наши рабочие приложения .net, перекомпилировать на зараженных машинах не получается, так как lc.exe тоже не работает. Антивирусы (касперский, симантек, нод, дрвеб, аваст) молчат. Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ". Пока ищем зацепки, ничего непонятно Может это и не вирус, но будте бдительны.
Эх, только-только с kido справились
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам
Здравствуйте, Sshur, Вы писали:
S>Столкнулся тут с непонятной вещью. Уже на третьем компьютере перестают запускаться .net приложения, как то хитро модифицируются ntdll.dll и S>kernel32.dll. У нас не работают наши рабочие приложения .net, перекомпилировать на зараженных машинах не получается, так как lc.exe тоже не работает. Антивирусы (касперский, симантек, нод, дрвеб, аваст) молчат. Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ". Пока ищем зацепки, ничего непонятно Может это и не вирус, но будте бдительны.
S>Эх, только-только с kido справились
Здравствуйте, Sshur, Вы писали:
S>Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ".
Этот симптом напоминает неудачный процесс перезагрузки — подсистема остановлена, но перезагрузка почему-то не пошла...
Кстати, как вариант — поражен какой-то из основных файлов подсистемы...
Здравствуйте, Sshur, Вы писали:
S>Столкнулся тут с непонятной вещью. Уже на третьем компьютере перестают запускаться .net приложения, как то хитро модифицируются ntdll.dll и S>kernel32.dll. У нас не работают наши рабочие приложения .net, перекомпилировать на зараженных машинах не получается, так как lc.exe тоже не работает. Антивирусы (касперский, симантек, нод, дрвеб, аваст) молчат. Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ". Пока ищем зацепки, ничего непонятно Может это и не вирус, но будте бдительны.
S>Эх, только-только с kido справились
А на указанных машинах точно установлены целевые версии .net? Эта ошибка проявляется только на .net приложениях?
Расковыряли эту гадость. Короче, "классический вирус". Распространяется, дописав себя в конец всех экзешников, вешает хуки на ntdll.dll на createprocess, openfile итд. То есть, при открытии любого файла его инфицирует. Инфицирует, как я уже написал, дописав себя в конец, потом меняет точку входа. Увеличивает размер где-то на 17 кбайт. Дотнетные приложения при этом портятся, вызывая указанную ошибку. Причем, не работают вроде бы только 2.0, 1.1 работали, 3.0 и 3.5 — неизвестно. Антивирусы пока не его не видят. Даты модификации файла не меняется
Внимание, если у вас вдруг дотнет приложение начало выводить данную ошибку — ни в коем случае не запускайте его и любые файлы с вашего компьюетра на других.
Вирус срабатывает только на .exe. Можно переименовать на неинфицированной машине .exe в .com, он будет работать на инфицированной.
Способа вылечить все не знаю, можно руками модифицировать все .exe — менять точки входа, повторно такие файлы уже не заражаются.
Ждем реакции от производителей антивирусов.
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам
Чего за kido? А то я только вчера на одном форуме подцепил через FireFox + Acrobat Reader какую-то хрень, которая сервис установила, в интернет пыталась лезть, мож еще чего успела сделать, я не в курсе, потому как посчитал благоразумным снести всю систему и переставить все заново. Очень интересный выходной получился Очень надеюсь, что не заразились файлы дистрибутивов, которые лежали на втором винте. Такие вот форумы есть, мля Это при том, что файрфокс регулярно обновлялся.
Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
Здравствуйте, Flamer, Вы писали:
F>Здравствуйте, Sshur, Вы писали:
F>[]
S>>Эх, только-только с kido справились
F>Такие вот форумы есть, мля Это при том, что файрфокс регулярно обновлялся.
Ну у нас бухгалтер на работе ловила ту еще заразу с официальных сайтов налоговой
F>Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
К нему сейчас Security Update'ы выходят, кстати.
Но наверное все-таки лучше использовать что-то типа xpdf для верности...
Здравствуйте, DOOM, Вы писали:
DOO>К нему сейчас Security Update'ы выходят, кстати. DOO>Но наверное все-таки лучше использовать что-то типа xpdf для верности...
Не, нафик нафик! И без PDF проживем. Честно сказать, я вот не понимаю — чего все нашли в этом PDF? Бумажная книжка завсегда лучше
Здравствуйте, Flamer, Вы писали:
F>Здравствуйте, DOOM, Вы писали:
DOO>>К нему сейчас Security Update'ы выходят, кстати. DOO>>Но наверное все-таки лучше использовать что-то типа xpdf для верности...
F>Не, нафик нафик! И без PDF проживем. Честно сказать, я вот не понимаю — чего все нашли в этом PDF? Бумажная книжка завсегда лучше
Мне тоже больше бумажные нравятся, но в последнее время подумываю о покупке eBook и отказе от бумаги.
Во-первых, очень много информации в сети, причем она м. б. никогда и не будет издана на бумаге.
Во-вторых, бумажные книги уже начинают отжирать место в квартире.
Мне электронные книги не нравились в первую очередь из-за необходимости их читать сидя перед монитором в одном положении. Прочитать так толмуд страниц так в 1000-1200 для меня нереально — я люблю читать сидя, лежа, прохаживаясь.
У бумажных есть еще одно преимущество — навигация. Можно наделать закладок, открыть одновременно в начале и в конце книги и т. п. С электронными это пока проблема в первую очередь из-за ограниченности размеров экрана.
Здравствуйте, Flamer, Вы писали:
F>Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
Есть правило получше. Поставить VMWare и шляться по помойкам исключительно через него.
Если нам не помогут, то мы тоже никого не пощадим.
Используется известная ЕМНИП уже с декабря месяца уязвимость службы Server, в связи с чем широко распространяется в сетях, где установкой последних обновлений пренебрегает. Из деструктивной деятельности — блокирует доступ к сайтам антивирусов.
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам
Здравствуйте, Константин Л., Вы писали:
КЛ>Здравствуйте, Константин Л., Вы писали:
КЛ>[]
КЛ>кто с чем не согласен?
Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
А вообще — тут уже упоминали уязвимость в Server сервисе — она актуальна и для висты и даже для Windows 7, так что не помогло бы
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Константин Л., Вы писали:
КЛ>>Здравствуйте, Константин Л., Вы писали:
КЛ>>[]
КЛ>>кто с чем не согласен?
DOO>Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
почему же? я имел ввиду, что именно поэтому сижу под вистой, а не под xp
DOO>А вообще — тут уже упоминали уязвимость в Server сервисе — она актуальна и для висты и даже для Windows 7, так что не помогло бы
Здравствуйте, IT, Вы писали:
IT>Здравствуйте, Flamer, Вы писали:
F>>Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
IT>Есть правило получше. Поставить VMWare и шляться по помойкам исключительно через него.
Здравствуйте, Константин Л., Вы писали:
DOO>>Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
КЛ>почему же? я имел ввиду, что именно поэтому сижу под вистой, а не под xp
И? А Шеридан сказал бы, что он именно поэтому сидит под линухом, а не под XP.
Вот только его за это уже в бан отправляют — так что аккуратнее
[]
IT>Есть правило получше. Поставить VMWare и шляться по помойкам исключительно через него.
Дык рабочая машинка старенькая, тормозит вмваря, неудобняк. Уж лучше тогда линух поставить Но я для себя решил задачу проще — кроме RSDN и еще одного форума — больше никуда
Здравствуйте, s.ts, Вы писали:
IT>>Есть правило получше. Поставить VMWare и шляться по помойкам исключительно через него.
ST>Типа 'все что угодно, только не линух' ?
Можно и линух туда затолкать. Хоть какая-то от него польза будет — по помойкам шастать.
Если нам не помогут, то мы тоже никого не пощадим.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Константин Л., Вы писали:
DOO>>>Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
КЛ>>почему же? я имел ввиду, что именно поэтому сижу под вистой, а не под xp DOO>И? А Шеридан сказал бы, что он именно поэтому сидит под линухом, а не под XP. DOO>Вот только его за это уже в бан отправляют — так что аккуратнее
DOO>>>>А вообще — тут уже упоминали уязвимость в Server сервисе — она актуальна и для висты и даже для Windows 7, так что не помогло бы КЛ>>>не знаю о чем ты DOO>>http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
КЛ>старье. сейчас же уже неактуально?
Ну народ до сих пор умудряется влетать — обновляются-то не все...
Знаменитый MS Blast зверствовал где-то через полгода после того, как необходимые хот фиксы были выпущены MS.
Здравствуйте, Sshur, Вы писали:
S>Используется известная ЕМНИП уже с декабря месяца уязвимость службы Server, в связи с чем широко распространяется в сетях, где установкой последних обновлений пренебрегает. Из деструктивной деятельности — блокирует доступ к сайтам антивирусов.
Роутер прикрывает от этой заразы?
Сообщение заговорено потомственным колдуном, целителем и магом в девятом поколении!
Модерирование или минусование сообщения ведет к половому бессилию, венерическим заболеваниям, венцу безбрачия и диарее!
Здравствуйте, IT, Вы писали:
IT>Здравствуйте, s.ts, Вы писали:
IT>Можно и линух туда затолкать. Хоть какая-то от него польза будет — по помойкам шастать.
Отчегоже тока по помойкам — везде где надо пароли (которые жалко , от админки например)
кредитку вводить , да и по помойкам , да и вообще по интернету — юзаю линух (минт)
... для большей конфиденциальности думал даже QNX поставить ... но там с железом надо колдовать
еслиб под винду не програмил — перешел бы полностью на минт (хотя игры ... но в игры давно не играл )
прошу не считать за оффтоп
... а с виндой — вроде и авира стояла( может уже поздно поставил) и флешку автозапуск отключал ( что к стати не помогает на самом деле —
более правильный выход — через локальные политики отключить выполнение по пути флешки) — все равно с загрузочного авиры
просканил — минимум 3 штуки нашел ... я знаю — я плохой и ленивый админ
я не против винды и холивар не поддержу — думаю что если линух будет столь же популярен и вирусов будет стока же ,
да и сейчас думаю вирусы есть , но пока мало.
Здравствуйте, Константин Л., Вы писали:
КЛ>Здравствуйте, DOOM, Вы писали:
DOO>>Здравствуйте, Константин Л., Вы писали:
DOO>>>>Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
КЛ>>>почему же? я имел ввиду, что именно поэтому сижу под вистой, а не под xp DOO>>И? А Шеридан сказал бы, что он именно поэтому сидит под линухом, а не под XP. DOO>>Вот только его за это уже в бан отправляют — так что аккуратнее
КЛ>вот тока мне его экстремизм шить не надо
Ну, будет Вам! Шеридан — это не экстремизм, это явление. Причем вполне по профилю RSDN.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Константин Л., Вы писали:
КЛ>>Здравствуйте, Константин Л., Вы писали:
КЛ>>[]
КЛ>>кто с чем не согласен?
DOO>Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот DOO>А вообще — тут уже упоминали уязвимость в Server сервисе — она актуальна и для висты и даже для Windows 7, так что не помогло бы
Я буквально вчера делал сборную оффлайн-солянку всех патчей для XP, вышедших после SP3. Всего их получилось около 40 (при уже установленном IE7, .NET 3.5 SP1, WMP11 и т.п.) Так вот, в каждой 2-3 статье KB, были патчи от тех же уязвимостей и для висты с 2к8. А в 3 или 4 еще и для семерки. Так что...
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Я буквально вчера делал сборную оффлайн-солянку всех патчей для XP, вышедших после SP3. Всего их получилось около 40 (при уже установленном IE7, .NET 3.5 SP1, WMP11 и т.п.) Так вот, в каждой 2-3 статье KB, были патчи от тех же уязвимостей и для висты с 2к8. А в 3 или 4 еще и для семерки. Так что...
Так что понимаешь, что заявления в стиле "принципиально новый продукт", "код был подвергнут существенному пересмотру" и т.п. — это всего лишь маркетинг...
Здравствуйте, Кондраций, Вы писали:
К>Здравствуйте, Sshur, Вы писали:
S>>Используется известная ЕМНИП уже с декабря месяца уязвимость службы Server, в связи с чем широко распространяется в сетях, где установкой последних обновлений пренебрегает. Из деструктивной деятельности — блокирует доступ к сайтам антивирусов. К>Роутер прикрывает от этой заразы?
От какой? от kido? Скорее всего да. Но его можно на и просто на флешке принести.
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам