Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
cyber01 Ёжик
Стаж: 13 года 4 месяца и 7 дней Сообщения: 1
|
27.01.2011 23:01 Проблема с оболочкой при запуске |
|
|
Здравствуйте, у моей девушки проблема. В общем стоит Zver(версия и SP к сожалению неизвестны), всё было нормально, но в один прекрасный день она выключила комп и он больше не включился. Верней он включается ровно на половину, идёт стандартная загрузка, и на том моменте,где должна быть надпись "добро пожаловать" и собственно сам вход, останавливается. При этом, надписи "Добро пожаловать" нет, дальнейшая загрузка не идёт, такое ощущение что виснет сама оболочка т.к. комп отзывается на некоторые команды/действия,которые доступны только при включенном компе(например залипание клавиш). В безопасном режиме аналогичная проблема,загрузка дальше надписи не идёт. Подскажите что можно сделать, желательно без переустановки системы,файловая система цела.
|
|
Вернуться к началу |
|
|
|
|
mannaleks Командир команды
Стаж: 15 лет 6 месяцев и 7 дней Сообщения: 2449 Благодарности: 1711/388 Откуда: Куда: Зачем:
|
27.01.2011 23:24 |
|
|
cyber01
Для начала проверить жесткий диск Викторией.
Добавлено спустя 1 минуту 31 секунду:
Скрытый текст _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
|
|
Вернуться к началу |
|
|
YikxX Сборщик сборок
Возраст: 46 Стаж: 16 лет и 1 день Сообщения: 2038 Благодарности: 1861/501
|
27.01.2011 23:30 |
|
|
Скачать новую версию и попробовать установить в режиме восстановления. _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
|
|
Вернуться к началу |
|
|
Westoop Гость
|
28.01.2011 4:27 |
|
|
cyber01
Грузитесь с алкида и проверряйте в реестре секцию
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр: Shell Значение:Explorer.exe
Параметр: Userinit Значение: C:\WINDOWS\system32\userinit.exe,
Параметр: UIHost Значение: logonui.exe
Кроме того, нашел на просторах инета такую статью на Скрытый текст
Рекомендую почитать.
Цитата: | Троянское западло
«Undetectable rootkits», «Stealth viruses», «Hidden code» — это все не относится к «западло-троянам». Эти ребята не утруждают себя написанием высокотехнологичного кода на уровне ядра операционной системы, потому что им незачем прятаться, недобросовестные антивирусы все сделают за них.
Антивирусные продукты пропускают вирусы — это факт и никто с этим спорить не будет, но лучше поздно поймать и вылечить, чем никогда. Вот тут и проявляется способность антивируса справиться с уже зараженной пользовательской машиной.
За последние несколько месяцев я пронаблюдал странную тенденцию (возвращение Джедая), а именно подмена системного приложения (или записи на него в реестре) троянской программой. Так, один из них (Trojan.DownLoad.какие-то_номера по классификации DrWeb) подменяет userinit.exe собой, не забыв предварительно воспользоваться любезно предоставленной компанией Microsoft, функцией с ординалом номер 5 библиотеки sfc_os.dll (Windows File Protection). Оригинальный userinit.exe сохраняется под разными именами, жестко вшитыми в троянский загрузчик (userini.exe, sdjeavd.tmp и прочие). Теперь можно удалить вирусный userinit.exe прямо из FAR и инициировать перезагрузку. Пользователя ожидает вечный экран с надписью «Велкам». Домохозяйки в панике, каша подгорела. Привет всем вендорам, использующим технологию «доверенный антивирус».
Второй «западло-троянец» (Trojan.Okuks, их много) интереснее и эффект от его удаления превосходит все ожидания. Он подменяет значение в системной ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems, которое отвечает за подсистему Windows.
До заражения:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
После заражения:
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=baseweld32,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Если удалить файл и не вылечить при этом реестр, то пользователя ожидает вечный BSOD после перезагрузки.
kd> g
*** Fatal System Error: 0xc0000135
(0xE1559160,0xE15804C0,0x00000000,0x00000000)
STOP: c0000135 {Unable To Locate Component}
This application has failed to start because baseweld32 was not found. Re-installing the application may fix this problem.
Тенденция на лицо и от ручного анализа никогда не избавиться, с чем всех и поздравляю. |
Поблагодарили(5): gerat80, S0ier, voron367, YikxX, ego76 | |
|
|
Вернуться к началу |
|
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 623326 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|