February 3rd, 2011

Megatron4eg

Про Trojan.WinSpy.988

Бродила я вчера по интернету и где-то в районе 21:47 зашла на сайт rodimus.ru, посвященный, как нетрудно догадаться по имени, трансформерам. Сайт так себе, форум засран спамботами, но мне почему-то захотелось отметиться в опросе. Черт дернул меня это сделать. NoScript по умолчанию заблокировал всю гадость, но когда я ради одного этого паршивого опроса частично разрешила выполнение скриптов сайта, то на мой комп сразу же посыпался град вирей. Постоянно стали выскакивать окна Java 6, сразу же вылетали с ошибкой, потом пошли обращения к zindrat.com и еще какому-то сайту. Я еле-еле закрыла вкладку с этой мерзостью, потом сразу же пошла в Temp и нашла там три штуки подозрительных экзешников, которые сразу же полетели в известном направлении. Где-то через минут пять я решила выключить комп, но вместо этого он спустя секунд пять после появления надписи "Windows is shutting down" выпал в BSOD с дампингом памяти. После перезагрузки и проверки chkdsk'ом пропали все сохраненные задачи Касперского (сам Каспер нормально работает - я восстановила нужные задачи; а то я боялась, что он упал и "утащил" за собой полсистемы, как уже было в середине сентября 2007 г.), Speed Fan стал коннектиться черт-знает-куда, а Outpost Firewall стал называться просто < PRODUCT > (без пробелов - просто с пробелами это слово воспринимается как HTML-тэг), сохранив всю функциональность. После этого было еще несколько BSOD'ов вместо выключения и, соответственно, перезагрузок. В общем, запустила я CureIt, и он нашел в файле Windows/system32/sfcfiles.dll вирус Trojan.WinSpy.988 и вылечил его. После этого был еще один BSOD, но после перезагрузки комп снова стал нормально выключаться и перезагружаться. НО! Вирус, видимо, не до конца вылечен, поэтому принтер, сканер и веб-камера перестали быть видны на "своих" местах, сохранив при этом всю функциональность (так, печатать можно, как и раньше, из, например, ворда; сканер сканирует из фотошопа, правда, через другую прогу; веб-камера работает - это видно в скайпе); в панели управления невозможно добавить новый принтер / сканер / веб-камеру и т.д. - при клике по "Add new printer" и т.д. ничего не происходит, только выводится подсказка. В реестре же все видно (по крайней мере, принтер виден, сканер я не стала искать, т.к. в процессе поиска мне сначала выводилась куча всякого мусора, среди которого было одно упоминание о сканере; видимо, информация о самом сканере шла как бы "ниже", но я не стала заморачиваться с этим); более того, в диспетчере устройств веб-камера нормально отображается. Также пропал значок сетевого подключения из трея; при этом все сетевые интерфейсы в реестре видны; также из панели управления невозможно ни создать новое подключение (появляется окно мастера создания нового подключения, но все стопорится на самом первом шаге, т.е. на этапе выбора типа подключения - мастер не реагирует на нажатие Next, только Back и Cancel), ни посмотреть свойства существующего - сначала выводится предупреждение, что не установлено ни одного протокола, хотя все протоколы видны в окне сетевого подключения, а кнопка Properties недоступна. Интернет при этом работает! Сетевой адаптер также нормально виден из диспетчера устройств. Ладно, фиг с ним, в конце концов, в ближайшее время мне точно не придется менять настройки TCP/IP, а после защиты диплома я в любом случае переустановлю винду. А сейчас, наверное, надо будет прогнать комп еще парочкой лечащих прог.
Пока нашла единственное упоминание о Trojan.WinSpy.988: http://216.246.91.178/~virusinf/showthread.php?p=763233

Блин, ну как же меня угораздило напороться на такую фигню - ведь всегда же стараюсь держать NoScript включенным, не тыкать куда попало... Надо будет написать админу rodimus.ru о вирусах на сайте (сайт-то этот жив и даже обновляется, но вот форум не чистится).

P.S. Я в курсе, как можно восстановить значок сетевого подключения в трее, уже нагуглила нужные ссылки.
P.P.S. После перезагрузок от BSOD'ов наблюдались следующие глюки: оформление винды изменялось с классического на стиль XP; то сбрасывалась, то восстанавливалась фоновая картинка рабочего стола; один раз после экрана приветствия появилось окно выбора пользователя, чего раньше никогда не было. Правда, один раз (вечером 9 июля 2007 г.) у меня самопроизвольно изменился фон рабочего стола - туда самопроизвольно встала картинка с описанием десептикона Соларстрайка, так что "фокусы" с фоном рабочего стола меня не удивили.
P.P.P.S. Еще после удаления вируса в диспетчере задач перестали показываться пользователи, от чьего имени запущен тот или иной процесс; такое бывает не всегда - когда-то показывается весь список пользователей, когда-то - ни одного пользователя, когда-то - только у System idle process (пользователь SYSTEM).
P.P.P.P.S. Сегодня обнаружила еще один глюк - когда вставляешь флэшку, в трее не показывается значок безопасного извлечения устройства. Сами флэшки нормально работают.
Megatron4eg

О глюках Skype

Сегодня мой скайп начал безбожно глючить. Поначалу я хотела списать это на последствия заражения вирусом Trojan.WinSpy.988 (см. предыдущий пост), но потом выяснилось, что вирус тут ни при чем.
Итак, глючность проявляется следующим образом: скайп может нормально стартовать (т.е. можно менять статус (и он будет меняться), виден статус контактов, можно писать онлайн-контактам сообщения и звонить и т.д.), а может (это происходит чаще) запуститься, показать статус "В сети", но при этом если сменить статус на, скажем, "Нет на месте", он не сменится; онлайн-контакты не видны, и если знаешь, что какой-то контакт сейчас точно онлайн и написать ему сообщение или позвонить, то ни сообщение, ни звонок не пройдут; также невозможно "нормально" закрыть скайп - только через диспетчер задач; если закрывать его через "Выход", то он только "капитально свернется", т.е. в трее останется иконка, либо не реагирующая на нажатие правой кнопкой мыши, либо в ее контекстном меню не будет реакции ни на один из пунктов. Сегодня удалось в один из "удачных моментов" сделать видеозвонок, но после полутора минут разговора скайп просто повис, а после перезагрузки повторились вышеуказанные глюки.
Судя по официальному скайповскому форуму, проблемы с версией 5.0 и 5.1 есть у многих (у меня версия 5.1.0.112). Также нашла вот что (цитата):
"Налицо нестабильная работа P2P облака, в котором вы находитесь. Соединения не идут по кратчайшему пути (тут может быть сто причин, начиная от провайдера и заканчивая количеством супернодов, близких к вам). Отсюда все проблемы - отправка сообщений с задержкой, прерывающиеся звонки, нестабильный статус в скайпе.
Какого то конкретного решения, к сожалению, нет. Можно начать с простого. В Application Data > Skype (или Start > Run > %appdata% > Enter) есть файл shared.xml, который содержит определённые сетевые настройки Skype. Выключите Skype, сотрите этот файл (он будет по новой создан), включите Skype. Потом можно следить, есть какие то изменения или нет.
Если это не помогло, то дело дрянь. Тут уже можно попросить провайдера проследить, как уходят и приходят пакеты Skype, теряются ли и т.д. Тоесть очень даже реально что причина в провайдере, который отсылает и принимает Skype пакеты непонятно как. У провайдеров могут быть установлены какие нибудь дикие файрволы, которые тоже могут создавать это проблемы."

После шаманства с удалением и переустановкой и удалением файла shared.xml пару раз скайп начинал нормально работать, но если после первой переустановки он "честно" заработал, то после удаления shared.xml заработал буквально секунд на 5, а потом повторились вышеуказанные глюки.

Мне-то самой, честно говоря, наплевать на этот ваш скайп, но моим маме и бабушке не наплевать - они по скайпу разговаривают с моим двоюродным братом, который недавно на пару лет улетел в Америку (работать на Microsoft (Bing, а не то, что вы могли подумать)). Аська их не устроит (а вот меня - устроит полностью)...