Может кто знает по симптомам, что за зверь оставил эти последствия ?
Принесли копм, винда не грузится, синий экран смерти. В указанном dll файле обнаруживаю, что он прописан кодом DF. К слову скажу, что такие файлы есть ещё. Имена и папки пострадавших файлов выбираются случайным образом. Иногда прописано кодом DB. Куда залазили ещё не выяснил, но знаю, что подцеплено в процессе сёрфинга. Броузер хром. Теперь самое интересное, на машине стоял каспер 2007 с обновлёнными базами и outpost свежий. После восстановления части файлов винда запустилась. Фаервол отключен (служба). В службы зайти нельзя. Каспер - повреждены базы. Ещё думаю, что аська ушла... Пинч ?

| Сообщение посчитали полезным:

=) ну фиг знает. Типичный вариант , почти все так делают. Дровина рубит каспера и оутпоста. В реестре отключаются служебные папки. Написан может не правильно вот и не грузится. А дров может как раз и взывает бсод при убиении каспера.

Бери РКУ и смотри , чаще эта фигня сразу в автозагрузке , не смотря на ее злые вещи. Доступ востановить к папкам можно через реестр. Оутпост предется переставить. Каспер скорее всего тоже.

С РКУ попробуй Антивирь зайцева. Нестандартное решение , но помогает в таких случаях , есть скрипты востанавливающие доступы к служебным папкам.

Когда все сделаешь уже новым каспером опять скань.

Хотя многие наверное скажут , переставляй винду

Чтобы опознать вирь , нужен либо его файл , либо сообщения которые он вызывает в системе либо сам из себя.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak прав, всего скорее дровина кривая. Возможно еще и даунлоадер, который после отруба каспера и аутпоста залил и запустил пинча.
Можно предположить, что к хрому появились приватные сплоеты....

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

minidump в студию.

| Сообщение посчитали полезным:

Да я сам млин на такую фигню 3 раза напоролся. У меня браузер другой , а проходит как то в обход Каспера и любого фаервола. Каспер видит что происходит но сделать ничего не может.

Что касается Даунлодера то это точно он и есть =). Характерная черта этого даунлодера что он копирует и скачивает свои файлы в папку программ файлс. Такое очучение что это копии одной и той же модификации даунлодера.

Если все время бсод грузись в безопасном режиме и убирай с автозагрузки лишнее и опять перегрузись. Я так понял минидамп не получается вхять ибо бсодит постоянно.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Мне тока интересно как это вирь обход каспера и аутпоста (я надеюсь они хотя бы включенные???) грузит свой драйвер? У мня именно каспер и аутпост стоят и сразу орут если чтото пытается драйвер загрузить.

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

возможно юзается какая-нибудь уязвимость в винде или новая техника подгрузки дроф.

проверь, есть ли такой файлик:

C:\Program Files\Microsoft Common\wuauclt.exe

з.ы. только в безопасном или с лайвсиди грузанись.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Спасибо всем за советы !
Комп я получил уже с бсодом. Как всё было знаю только со слов...
Основная проблема не в потере приватных данных или отключении каспера и аутпоста, проблема в порче системных файлов. Их просто прописывают выборочно блоками символов с кодом DF или DB.
Такая ситуация повторяется уже второй раз. Систему восстанавливаю путём перезаписывания всех exe, dll и т.д. на оригинальные версии (из копии). Таким образом обхожу бсод и получаю систему со всеми настройками пользователя. Запущенных посторонних процессов, служб или драйверов - не наблюдаю.
Папки Microsoft Common в программсах - нету...
Никаких следов вируса насколько я могу разобраться нет.
Прошёлся по истории и поскачивал разные гавнотемы и гавноскринсейверы которые запускались на компе в тот день. Гавно конечно, но систему не выбило, всё работает...
Вот я и думаю, а может это не вирь, а глюк оборудования ? Память например или винт. Хотя тест памяти гонял, да и с компом до подключения к инету говорят проблем небыло...
Антивирь, аутпост и ярлык на службы могут дохнуть в результате порчи их файлов. Мазилла хоть не использовалась - тоже сдохла... Вот смотрю, что диск С у них в нтфс, а файлы с аттрибутом "сжатый"...
Думал может кто с протиркой файлов символом DF уже сталкивался. Всё таки тупо удалять, отключать фаерволы и антивири много что может, а вот прописывать системные файлы определённым символом, да ещё те которые я например под администратором не могу модифицировать из за того, что система их сипользует... Выходит или очень хитрый вирь (но зачем ему тогда гадить), либо сама система их убивает ?

| Сообщение посчитали полезным:

ToBad пишет:
каспер 2007 с обновлёнными базами и outpost свежий
а убрать этих убогих монстров не судьба?

| Сообщение посчитали полезным:

Ara люди там недавно к инету подключились, везде лезут, всё запускают, плюс всякие автораны кругом на флешках, плеерах и фотиках... Без антивиря им нельзя, а фаервол защищает от любознательной малодёжи из местной локальной сети... Понятно, что ресурсов много жрёт и замедляет работу и что от серьёзных вещей не спасёт, но всё же хоть какая то защита...

| Сообщение посчитали полезным:

depler пишет:
Мне тока интересно как это вирь обход каспера и аутпоста (я надеюсь они хотя бы включенные???) грузит свой драйвер?
Тут долго можно гадать...вот например видел я как-то зверька интересного...вобщем с виду всё нормально вроде, но какие-то системные глюки были...каспер вообще не грузился, его просто рубанули на раз, решил на всякий случай РуткитБастером проверить....и вобщем в систем32 нашлась дровина и длл'ха. Впечатление такое, что дровина скрывает свое присутствие и присутствие длл в системе, причем этих файлов вообще на диске не видно, и в процессах тоже чисто. длл'ха тоже походу подгружается куда-то и чего-то хукает...комп был не мой, разбираться времени не было, вобщем пришлось всё это добро похоронить...
Всё это к размышлению о том, что комп в жизни не видел интернета и локальной сети...как это зверье там оказалось можно только предполагать...хотя конечно возможен вариант с автораном на флешке.

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

Ara пишет:
а убрать этих убогих монстров не судьба?
Я бы тоже может Каспера выкинул нах со всех рабочих компов, но нам на работу его массово закупили ни у кого не спрашивая и теперь по схеме: "Телевизор Витязь - сами купили, сами ебитесь"....

-----
бессмысленные манипуляции не становятся более разумными если их повторять

| Сообщение посчитали полезным:

ToBad пишет:
Без антивиря им нельзя, а фаервол защищает от любознательной малодёжи из местной локальной сети.
Есть же более лояльные к системе и дровам решения. Каспер еще ладно, но пицотпроцентноглюкавый аутпост - это уже слишком...Защиту от любознательной молодежи обеспечит любой фаер, с 3-4 метра дистрибутивом и минимум функций. И не такой глючный..

| Сообщение посчитали полезным:

Ara пишет:
Защиту от любознательной молодежи обеспечит любой фаер, с 3-4 метра дистрибутивом и минимум функций. И не такой глючный..
Можно пример не такого глючного фаера, и ещё пример глючности Аутпоста?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Лёгкий, гибкий фаер wipfw (порт с FreeBSD - ipfw) а чё сам юзаю. Наружу пох че ломиться, а все входящие коннекты режу кроме заранее запущеных мною сервисов. Систему вообще не грузит и скорость не падает, как с Оутпостом. Единственое НО, руки должны юзающего этот фаер из правильного места, так как чисто консольный фаер.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ARCHANGEL пишет:
и ещё пример глючности Аутпоста?
ыы, я бы хотел увидить пример НЕ глючности аутпоста. Пока он у меня стоял работать было невозможно. Например из вмвари невозможно было через нат подключить диск основной системы, при этом хоть какое правило прописывай. Помогало только тушение фаера на время работы с вмварей. Блокирование некоторых "рекламных" картинок на сайтах даже при отключеном фаере. В итоге аутпост у меня 90% времени стоял в состоянии отключено, а после того как я поставил на комп др вэб и машина перестала видеть сетку я и вовсе удалил это гуано. После его удаления сетка сразу увиделась.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Галка в Аутпосте напротив "Общий доступ к файлам и принтерам" стояла? Если нет, то естественно о локалке можно забыть.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] всё стояло я же написал

PE_Kill пишет:
при этом хоть какое правило прописывай
т.е. я имел ввиду что всяко извращался. В том то и дело что я в локалку нормально выходил, из локалки цеплял тачку. А вот и вмвари подцепить тачку с постом никак нельзя было.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

[HEX] пишет:
Наружу пох че ломиться, а все входящие коннекты режу кроме заранее запущеных мною сервисов
этого же можно добиться если в модеме сделать поднятие сессии... ну или если инет по витой паре заходит, то поставить какой-нибудь роутер

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

PE_Kill
Эмм... жестоко. А на форуме суппорта ихние ченить об этом пишут?

[off]
Tim
Согласен. Только нах мне железку покупать когда мелким софтом элементарно реализуется.
[/off]

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Я хз. Мне изначально нужно было одну прогу блокировать. А теперь вообще DFL железка стоит, так что не писал и не интересовался.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: