Перейти к содержанию

Recommended Posts

TANUKI
Нет Дельфи - нет заражения.

Извините за тупизм, как узнать. есть Делфи или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

TANUKI

Эээээ... Посмотреть в "Установка/удаление программ". А если конкретно по вирусу есть переживания, глянь HKEY_LOCAL_MACHINE\Software\Borland\Delphi. Есть - удали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Delphi. Есть - удали.

Нашёл в других местах:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]

"DELPHI"="0x40000000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32]

"DELPHI32"="0x40000000"

Тоже удалять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Зачем? Это я сказал исключительно из-за вируса. Андрей, насколько я понимаю, ты обслуживаешь людей. Проверяй компы Касперским с последними базами - будешь на 100% знать, есть ли зараженные программы или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Проверяй компы Касперским с последними базами - будешь на 100% знать, есть ли зараженные программы или нет.

ОК. Я так и делаю. Если надо, то проверяю почти всеми антивирусами и их меньшими братьями сканерами, вендоры которых представлены на форуме, и даже теми, что не представлены, в том числе и китайскими (у китайских, кстати, результаты по детекту неплохие). Но мало знать, и удалять, надо ещё лечить и при том так, чтобы ни один пользовательский файл, даже от игрухи не пропал.

События последних дней лишний раз подтверждают, что не только вирусы и их братия может изрядно попортить нервы пользователям (а также уменьшить содержимое их кошелька), но и вполне законные программы-лицензиаты (владельцам которых государство щедро раздаёт лицензии), со своими протекторами и драйверами защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Но мало знать, и удалять, надо ещё лечить и при том так, чтобы ни один пользовательский файл, даже от игрухи не пропал.

Далеко не все можно пролечить, даже когда речь идет действительно о вирусном заражении.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Далеко не все можно пролечить,

Да, но как это доказать растроенному пользователю?

У него два аргумента - плохой специалист или плохой продукт, а вывод один - "меня обманули, деньги назад".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova
Теоритическая выкладка:

1. Появляется подобный зверек для С++/С/С#/не_важно из Студии

2. Заражает С++ в какой-нибудь антивирусной компании

3. Антивирус заражает своих пользователей программистов

Возможно?

Для С/С++ очень даже легко. К вижал студии идут все сорцы rtl. Йа было подумал, что в отличие от дельфи, будут десятки разных библитек, под каждую настройку, но сообразил, что на самом деле достаточно скомпилить один .obj и заинжектить во все .lib (формат простейший). Скажем для функции fopen в stdlib. И ку-ку - все зараженные.

Радует, что большинство контор собирате свои поделки на изолированных роботах, куда только свежие сорцы приходят из репозиториев, а весь rtl остается стандартным. Естесно это делается не для защиты, а потому что так проще - написал один make файл и дальше все само делается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Видимо программы Wise system cleaner и disc cleaner в 4й версии тоже на делфи, так как именно их экзешники и содержат индюка на моём компе :) . Так что у кого они есть тоже проверяйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
TANUKI

Эээээ... Посмотреть в "Установка/удаление программ". А если конкретно по вирусу есть переживания, глянь HKEY_LOCAL_MACHINE\Software\Borland\Delphi. Есть - удали.

Итак, я юзаю Windows 7 (православная 7100 RU)

Понял, ну среду разработки я не ставил, значит в Установке/Удалении, конечно, пусто :)

По реестру в этой строке тоже пусто само собой :) Нету никакого Delphi

Нашёл в других местах:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]

"DELPHI"="0x40000000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32]

"DELPHI32"="0x40000000"

Тоже удалять?

Ааааааа :(:(:(

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]

"DELPHI"="0x40000000"

Такая строка у меня есть :( ЧЕРТ!!!!! :(

а вот второй строки нету, точнее, нету "DELPHI32"="0x40000000" (есть какие-то других строчки).

И что теперь делать? Получается у меня машина заражена? :(

P.S. Извините за жирафью реакцию - месяц выдался жарким :)

P.P.S. А авира ловит эту заразу? У меня она молчит, хотя на полный скан не ставил систему давненько :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И что теперь делать? Получается у меня машина заражена?

Только без паники. Сохраните дельфийский ключ реестра где-то про запас. А потом удалите оригинальный дельфийский ключ из реестра. :)

Я, кстати, свои оставил. Вирусов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Я, кстати, свои оставил. Вирусов нет.

Тык зачем? :) Это же вирус. Или нет? :) Или я что-то не понимаю.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Итак, я юзаю Windows 7 (православная 7100 RU)

Порадовали. Ещё бы православная церковь её официально одобрила. :)

Или я что-то не понимаю..

Вирус проверяет если ли дельфи и тогда делает своё дело.

Но масса людей думает иначе. :)

Указанные мною ключи реестра, предположительно, указывают на то, что Windows совместима с приложениями, написанными на Delphi. Потому их можно как оставить, так и удалить.

Для проверки совместимости служит Application Compatibility Toolkit от Microsoft.

Это набор утилит для проверки совместимости того или иного приложения с операционными системами Windows XP, 2003 Server, Vista (скоро сюда добавится и Windows 7).

В комплекте три элемента: Compatibility Analyzer, который занимается проверкой, Compatibility Verifier, предназначенный для разработчиков (помогает обнаружить ошибки совместимости еще на этапе создания программы) и Compatibility Administrator. Последний наиболее важен для обычного пользователя, поскольку именно он дает доступ к настройкам, необходимым для запуска "привередливых" программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
1. Порадовали. Ещё бы православная церковь её официально одобрила. :)

2. Потому их можно как оставить, так и удалить.

1. Ну, 22 октября это может случиться ;)

2. Правильно ли я понял, что если у меня не стоит среда разработки Делфи (т.е. я обычный юзер), то моя машина не заражена даже если я использовал зараженные АИМП или КИП? Т.е. этот вирус срабатывает только в случае с установленным на машине Делфи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
если у меня не стоит среда разработки Делфи (т.е. я обычный юзер), то моя машина не заражена даже если я использовал зараженные АИМП или КИП? Т.е. этот вирус срабатывает только в случае с установленным на машине Делфи?

Говорят, что сборка 8094 QIP'a 2005 была лажовой и изменяется файл SysConst.dcu в папке \Lib создаваемой Delphi. Подробности в http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html и в головном посте топистартера.

От себя скажу, что, скорее всего, была "проба пера". И эта проба особо не получилась. Похоже, не ту среду выбрали.

Я почти ежедневно сталкиваюсь с другими malware-проблемами, описания которых в Интернете пока нет. Они, конечно, будут потом, но сейчас их ещё не обнародывали, потому все делаю на месте.

Не так страшен чёрт, как его малюют, да и краски у всех разные.

Последняя версия QIP 8095 чистая - 07ce2ab89320t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> И эта проба особо не получилась. Похоже, не ту среду выбрали.

По пол тысячи файлов в день - это "не получилось"? Скорее - это я дурак, неправильно оценил уровень з0разы =)

Рекомпайлы же пошли - скриптокидисы не дремлют!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest FeskGeveala

Вирус в плагинах есть однозначно — достаточно снять пакер UPX, да и автор уже это признал. Жду обновления, а пока что отправил посылку Касперским… 

UPD:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Sawa26
      Я собственно из-за подобной проблемы сам занялся созданием своего сайта, потому что искать было бесполезно. Благо сейчас различных уроков и курсов достаточно много в открытом доступе, можно банально в первом попавшемся конструкторе сделать это все. Правда есть свои косяки, например, такие как вы говорите, долгая загрузка сайта, но она решает достаточно легко с помощью оптимизации изображения. Вот тут https://optipic.io/modules/#cms можете более подробно посмотреть, тут все зависит на чем сайт написан.
    • aleks87
      Казино Буи - http://bit.ly/BOOIcaZino 100% на первый депозит
       
    • burn_st
      Добрый день. Пытаюсь настроить обнаружение архивов с паролем. с zip архивами проблем нет. А вот архивы rar с паролем не обнаруживает. Подскажите, пожалуйста, в какую сторону копать.
    • SemenovaI
      Нет сейчас никакого кризиса что вы, но я все же подрабатываю и после работы. Выбрала Форекс, все же здесь самое реальное заработать средства. А мне нравится жить ни в чем себе не отказывая. Если и вы хотите попробовать свои силы на фондовом рынке, советую вот здесь https://webmastermaksim.ru/foreks/foreks-forum.html пройти регистрацию, это форекс форум. Лично я там общаюсь с трейдерами и узнаю много полезного о торговле на рынке. 
    • SemenovaI
      Я в Фейсбуке общаюсь со всеми родственниками, вполне нормальный портал. Там есть и месенджер можно как по телефону пообщаться. Я еще люблю сама открыточки делать поздравительные и родственникам отправлять, вот здесь много https://ru.depositphotos.com/stock-vectors.html классных изображений. Тут скачиваю и использую изображения и для написания постов, хочу стать известным блогером. 
×