Столкнулся тут с непонятной вещью. Уже на третьем компьютере перестают запускаться .net приложения, как то хитро модифицируются ntdll.dll и
kernel32.dll. У нас не работают наши рабочие приложения .net, перекомпилировать на зараженных машинах не получается, так как lc.exe тоже не работает. Антивирусы (касперский, симантек, нод, дрвеб, аваст) молчат. Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ". Пока ищем зацепки, ничего непонятно Может это и не вирус, но будте бдительны.
Эх, только-только с kido справились
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам
Здравствуйте, Sshur, Вы писали:
S>Столкнулся тут с непонятной вещью. Уже на третьем компьютере перестают запускаться .net приложения, как то хитро модифицируются ntdll.dll и S>kernel32.dll. У нас не работают наши рабочие приложения .net, перекомпилировать на зараженных машинах не получается, так как lc.exe тоже не работает. Антивирусы (касперский, симантек, нод, дрвеб, аваст) молчат. Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ". Пока ищем зацепки, ничего непонятно Может это и не вирус, но будте бдительны.
S>Эх, только-только с kido справились
Здравствуйте, Sshur, Вы писали:
S>Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ".
Этот симптом напоминает неудачный процесс перезагрузки — подсистема остановлена, но перезагрузка почему-то не пошла...
Кстати, как вариант — поражен какой-то из основных файлов подсистемы...
Здравствуйте, Sshur, Вы писали:
S>Столкнулся тут с непонятной вещью. Уже на третьем компьютере перестают запускаться .net приложения, как то хитро модифицируются ntdll.dll и S>kernel32.dll. У нас не работают наши рабочие приложения .net, перекомпилировать на зараженных машинах не получается, так как lc.exe тоже не работает. Антивирусы (касперский, симантек, нод, дрвеб, аваст) молчат. Все приложения при старте выводят ошибку "Ошибка при инициализации приложения (0xc000007b). ". Пока ищем зацепки, ничего непонятно Может это и не вирус, но будте бдительны.
S>Эх, только-только с kido справились
А на указанных машинах точно установлены целевые версии .net? Эта ошибка проявляется только на .net приложениях?
Расковыряли эту гадость. Короче, "классический вирус". Распространяется, дописав себя в конец всех экзешников, вешает хуки на ntdll.dll на createprocess, openfile итд. То есть, при открытии любого файла его инфицирует. Инфицирует, как я уже написал, дописав себя в конец, потом меняет точку входа. Увеличивает размер где-то на 17 кбайт. Дотнетные приложения при этом портятся, вызывая указанную ошибку. Причем, не работают вроде бы только 2.0, 1.1 работали, 3.0 и 3.5 — неизвестно. Антивирусы пока не его не видят. Даты модификации файла не меняется
Внимание, если у вас вдруг дотнет приложение начало выводить данную ошибку — ни в коем случае не запускайте его и любые файлы с вашего компьюетра на других.
Вирус срабатывает только на .exe. Можно переименовать на неинфицированной машине .exe в .com, он будет работать на инфицированной.
Способа вылечить все не знаю, можно руками модифицировать все .exe — менять точки входа, повторно такие файлы уже не заражаются.
Ждем реакции от производителей антивирусов.
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам
Чего за kido? А то я только вчера на одном форуме подцепил через FireFox + Acrobat Reader какую-то хрень, которая сервис установила, в интернет пыталась лезть, мож еще чего успела сделать, я не в курсе, потому как посчитал благоразумным снести всю систему и переставить все заново. Очень интересный выходной получился Очень надеюсь, что не заразились файлы дистрибутивов, которые лежали на втором винте. Такие вот форумы есть, мля Это при том, что файрфокс регулярно обновлялся.
Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
Здравствуйте, Flamer, Вы писали:
F>Здравствуйте, Sshur, Вы писали:
F>[]
S>>Эх, только-только с kido справились
F>Такие вот форумы есть, мля Это при том, что файрфокс регулярно обновлялся.
Ну у нас бухгалтер на работе ловила ту еще заразу с официальных сайтов налоговой
F>Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
К нему сейчас Security Update'ы выходят, кстати.
Но наверное все-таки лучше использовать что-то типа xpdf для верности...
Здравствуйте, DOOM, Вы писали:
DOO>К нему сейчас Security Update'ы выходят, кстати. DOO>Но наверное все-таки лучше использовать что-то типа xpdf для верности...
Не, нафик нафик! И без PDF проживем. Честно сказать, я вот не понимаю — чего все нашли в этом PDF? Бумажная книжка завсегда лучше
Здравствуйте, Flamer, Вы писали:
F>Здравствуйте, DOOM, Вы писали:
DOO>>К нему сейчас Security Update'ы выходят, кстати. DOO>>Но наверное все-таки лучше использовать что-то типа xpdf для верности...
F>Не, нафик нафик! И без PDF проживем. Честно сказать, я вот не понимаю — чего все нашли в этом PDF? Бумажная книжка завсегда лучше
Мне тоже больше бумажные нравятся, но в последнее время подумываю о покупке eBook и отказе от бумаги.
Во-первых, очень много информации в сети, причем она м. б. никогда и не будет издана на бумаге.
Во-вторых, бумажные книги уже начинают отжирать место в квартире.
Мне электронные книги не нравились в первую очередь из-за необходимости их читать сидя перед монитором в одном положении. Прочитать так толмуд страниц так в 1000-1200 для меня нереально — я люблю читать сидя, лежа, прохаживаясь.
У бумажных есть еще одно преимущество — навигация. Можно наделать закладок, открыть одновременно в начале и в конце книги и т. п. С электронными это пока проблема в первую очередь из-за ограниченности размеров экрана.
Здравствуйте, Flamer, Вы писали:
F>Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
Есть правило получше. Поставить VMWare и шляться по помойкам исключительно через него.
Если нам не помогут, то мы тоже никого не пощадим.
Используется известная ЕМНИП уже с декабря месяца уязвимость службы Server, в связи с чем широко распространяется в сетях, где установкой последних обновлений пренебрегает. Из деструктивной деятельности — блокирует доступ к сайтам антивирусов.
Шурыгин Сергей
"Не следует преумножать сущности сверх необходимости" (с) Оккам
Здравствуйте, Константин Л., Вы писали:
КЛ>Здравствуйте, Константин Л., Вы писали:
КЛ>[]
КЛ>кто с чем не согласен?
Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
А вообще — тут уже упоминали уязвимость в Server сервисе — она актуальна и для висты и даже для Windows 7, так что не помогло бы
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Константин Л., Вы писали:
КЛ>>Здравствуйте, Константин Л., Вы писали:
КЛ>>[]
КЛ>>кто с чем не согласен?
DOO>Ну наверное не согласны с тем, что ответ в духе Шеридана, только наоборот
почему же? я имел ввиду, что именно поэтому сижу под вистой, а не под xp
DOO>А вообще — тут уже упоминали уязвимость в Server сервисе — она актуальна и для висты и даже для Windows 7, так что не помогло бы
Здравствуйте, IT, Вы писали:
IT>Здравствуйте, Flamer, Вы писали:
F>>Так что теперь у меня в правилах появилось еще одно: после установки всег прилаг сносить к едрене Acrobat Reader — я уж как-нибудь без PDF, столько лет без него обходится, и ничего.
IT>Есть правило получше. Поставить VMWare и шляться по помойкам исключительно через него.
Может это и не вирус, но будте бдительны.
Очень надеюсь, что не заразились файлы дистрибутивов, которые лежали на втором винте. Такие вот форумы есть, мля 
Если нам не помогут, то мы тоже никого не пощадим.
