Перейти к содержанию

Recommended Posts

TANUKI
Нет Дельфи - нет заражения.

Извините за тупизм, как узнать. есть Делфи или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

TANUKI

Эээээ... Посмотреть в "Установка/удаление программ". А если конкретно по вирусу есть переживания, глянь HKEY_LOCAL_MACHINE\Software\Borland\Delphi. Есть - удали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Delphi. Есть - удали.

Нашёл в других местах:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]

"DELPHI"="0x40000000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32]

"DELPHI32"="0x40000000"

Тоже удалять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Зачем? Это я сказал исключительно из-за вируса. Андрей, насколько я понимаю, ты обслуживаешь людей. Проверяй компы Касперским с последними базами - будешь на 100% знать, есть ли зараженные программы или нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Проверяй компы Касперским с последними базами - будешь на 100% знать, есть ли зараженные программы или нет.

ОК. Я так и делаю. Если надо, то проверяю почти всеми антивирусами и их меньшими братьями сканерами, вендоры которых представлены на форуме, и даже теми, что не представлены, в том числе и китайскими (у китайских, кстати, результаты по детекту неплохие). Но мало знать, и удалять, надо ещё лечить и при том так, чтобы ни один пользовательский файл, даже от игрухи не пропал.

События последних дней лишний раз подтверждают, что не только вирусы и их братия может изрядно попортить нервы пользователям (а также уменьшить содержимое их кошелька), но и вполне законные программы-лицензиаты (владельцам которых государство щедро раздаёт лицензии), со своими протекторами и драйверами защиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Но мало знать, и удалять, надо ещё лечить и при том так, чтобы ни один пользовательский файл, даже от игрухи не пропал.

Далеко не все можно пролечить, даже когда речь идет действительно о вирусном заражении.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Далеко не все можно пролечить,

Да, но как это доказать растроенному пользователю?

У него два аргумента - плохой специалист или плохой продукт, а вывод один - "меня обманули, деньги назад".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova
Теоритическая выкладка:

1. Появляется подобный зверек для С++/С/С#/не_важно из Студии

2. Заражает С++ в какой-нибудь антивирусной компании

3. Антивирус заражает своих пользователей программистов

Возможно?

Для С/С++ очень даже легко. К вижал студии идут все сорцы rtl. Йа было подумал, что в отличие от дельфи, будут десятки разных библитек, под каждую настройку, но сообразил, что на самом деле достаточно скомпилить один .obj и заинжектить во все .lib (формат простейший). Скажем для функции fopen в stdlib. И ку-ку - все зараженные.

Радует, что большинство контор собирате свои поделки на изолированных роботах, куда только свежие сорцы приходят из репозиториев, а весь rtl остается стандартным. Естесно это делается не для защиты, а потому что так проще - написал один make файл и дальше все само делается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Motley

Видимо программы Wise system cleaner и disc cleaner в 4й версии тоже на делфи, так как именно их экзешники и содержат индюка на моём компе :) . Так что у кого они есть тоже проверяйте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
TANUKI

Эээээ... Посмотреть в "Установка/удаление программ". А если конкретно по вирусу есть переживания, глянь HKEY_LOCAL_MACHINE\Software\Borland\Delphi. Есть - удали.

Итак, я юзаю Windows 7 (православная 7100 RU)

Понял, ну среду разработки я не ставил, значит в Установке/Удалении, конечно, пусто :)

По реестру в этой строке тоже пусто само собой :) Нету никакого Delphi

Нашёл в других местах:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]

"DELPHI"="0x40000000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility32]

"DELPHI32"="0x40000000"

Тоже удалять?

Ааааааа :(:(:(

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Compatibility]

"DELPHI"="0x40000000"

Такая строка у меня есть :( ЧЕРТ!!!!! :(

а вот второй строки нету, точнее, нету "DELPHI32"="0x40000000" (есть какие-то других строчки).

И что теперь делать? Получается у меня машина заражена? :(

P.S. Извините за жирафью реакцию - месяц выдался жарким :)

P.P.S. А авира ловит эту заразу? У меня она молчит, хотя на полный скан не ставил систему давненько :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
И что теперь делать? Получается у меня машина заражена?

Только без паники. Сохраните дельфийский ключ реестра где-то про запас. А потом удалите оригинальный дельфийский ключ из реестра. :)

Я, кстати, свои оставил. Вирусов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Я, кстати, свои оставил. Вирусов нет.

Тык зачем? :) Это же вирус. Или нет? :) Или я что-то не понимаю.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Итак, я юзаю Windows 7 (православная 7100 RU)

Порадовали. Ещё бы православная церковь её официально одобрила. :)

Или я что-то не понимаю..

Вирус проверяет если ли дельфи и тогда делает своё дело.

Но масса людей думает иначе. :)

Указанные мною ключи реестра, предположительно, указывают на то, что Windows совместима с приложениями, написанными на Delphi. Потому их можно как оставить, так и удалить.

Для проверки совместимости служит Application Compatibility Toolkit от Microsoft.

Это набор утилит для проверки совместимости того или иного приложения с операционными системами Windows XP, 2003 Server, Vista (скоро сюда добавится и Windows 7).

В комплекте три элемента: Compatibility Analyzer, который занимается проверкой, Compatibility Verifier, предназначенный для разработчиков (помогает обнаружить ошибки совместимости еще на этапе создания программы) и Compatibility Administrator. Последний наиболее важен для обычного пользователя, поскольку именно он дает доступ к настройкам, необходимым для запуска "привередливых" программ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
1. Порадовали. Ещё бы православная церковь её официально одобрила. :)

2. Потому их можно как оставить, так и удалить.

1. Ну, 22 октября это может случиться ;)

2. Правильно ли я понял, что если у меня не стоит среда разработки Делфи (т.е. я обычный юзер), то моя машина не заражена даже если я использовал зараженные АИМП или КИП? Т.е. этот вирус срабатывает только в случае с установленным на машине Делфи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
если у меня не стоит среда разработки Делфи (т.е. я обычный юзер), то моя машина не заражена даже если я использовал зараженные АИМП или КИП? Т.е. этот вирус срабатывает только в случае с установленным на машине Делфи?

Говорят, что сборка 8094 QIP'a 2005 была лажовой и изменяется файл SysConst.dcu в папке \Lib создаваемой Delphi. Подробности в http://gunsmoker.blogspot.com/2009/08/delphi-delphi.html и в головном посте топистартера.

От себя скажу, что, скорее всего, была "проба пера". И эта проба особо не получилась. Похоже, не ту среду выбрали.

Я почти ежедневно сталкиваюсь с другими malware-проблемами, описания которых в Интернете пока нет. Они, конечно, будут потом, но сейчас их ещё не обнародывали, потому все делаю на месте.

Не так страшен чёрт, как его малюют, да и краски у всех разные.

Последняя версия QIP 8095 чистая - 07ce2ab89320t.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> И эта проба особо не получилась. Похоже, не ту среду выбрали.

По пол тысячи файлов в день - это "не получилось"? Скорее - это я дурак, неправильно оценил уровень з0разы =)

Рекомпайлы же пошли - скриптокидисы не дремлют!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest FeskGeveala

Вирус в плагинах есть однозначно — достаточно снять пакер UPX, да и автор уже это признал. Жду обновления, а пока что отправил посылку Касперским… 

UPD:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Bernard
      Не расстраивайтесь. Везде цены разные и в этом я убедился на собственном опыте. Когда нужен был сайт обращался во многие веб-студии. Выбрал для себя самый оптимальный вариант вот эту веб студию  space-site.com.ua . И не пожалел. За адекватную цену ребята разработали отличный сайт на платформе Ларавел. Я очень доволен.
    • PolinKa
      Добрый вечер. У меня свой интернет-магазин. Никак не могу его раскрутить. Обратилась в веб студию. Но мне там за эту услугу запросили кругленькую сумму. Подскажите куда еще можно обратиться? Но только что б цены были у них адекватные.
    • Alushaa
      Для желающих похудеть есть хорошее приложение https://veadug.com/1744-runtastic.html Можете им сами пользоваться, оно реально безумно крутое и я не жалею что пользуюсь им сам
    • Dilyaako
      Когда возникают поиски с рестораном, то стоит воспользоваться интернетом, там есть вся интересующая информация. Понятное дело, что названия всех заведений никто не знает, но есть специальные сайты, например, как этот https://www.restoclub.ru/, где собрана вся необходимая информация по заведениям. Есть их рейтинг. Так сделать выбор будет совсем не сложно. Мы этим сайтом пользуемся всегда, когда планируем сходить в ресторан или кафе.
    • PR55.RP55
      В  Инфо.  файла добавлять:  Пример: Цифр. подпись  |  120  |  Действительна, подписано "ESET, spol. s r.o." где запись |  120  |  это число обнаруженных файлов с данной цифровой подписью. т.е. Легальных - подписанных файлов в системе как правило много. У вирусов файлов значительно меньше. т.е. речь идёт не просто о файле - речь идёт о группе файлов. + Это подстраховка оператора от ошибки. Оператор удалил два файла, но в Инфо. оператор видит |  3  | ----------- Дополнительный анализ может проходить на стороне оператора ( для экономии времени на создание образа ) По настройке: settings.ini или командой меню. ------------ Можно добавить в лог уведомление: Операция удаления объекта добавлена в очередь: C:\WINDOWS\RSS\CSRSS.EXE ! Файл подписан AtuZi всего удалено файлов  _3_  из | 4 |    
×