0

В "народном фронте" поневоле

Блин, когда учился на водительские права, пошел в автошколу от ВОА (Всероссийского Общества Автомобилистов). Разумеется, всех, кто туда записывался, автоматически записывали в члены этой организации. Теперь выясняется, что ВОА присоединилось к "народному фронту" (это такая не то организация, не то партия, не то вообще не пойми чего - я так и не понял, что это). Я в этом народном фронте быть не собирался, ВОА - это еще туда-сюда, но в путинские игры играть сильно не хочется. Вот в ПАРНАС (Партию Народной Свободы) я бы вступил, только не знаю, есть ли в Казани их отделение. А из ВОА придется выходить, правда пока не знаю, как.

Всем читающим это рекомендую посмотреть список организаций, присоединившихся к "народному фронту" на сайте "народ-фронт.рф". А то вдруг вы тоже в "народном фронте" состоите, только не знаете об этом.

1

Коты и квантовые генераторы, или смешной сон №3

Как я уже писал недавно, мне изредка снятся смешные сны. Второй по счету я не записал и забыл, а вот третий запомнился хорошо. Наверное, из-за того, что я его несколько раз рассказывал разным людям, да и сюжет там слишком простой.

Место действия: какая-то многокомнатная квартира, напоминающая трешку-ленинградку моих родителей, но с бОльшим количеством комнат.
В одной из комнат находится некий квантовый генератор. Он (этот генератор) почему-то действует на нашего кота странным образом: кот, каждый раз попадая в поле действия генератора, меняет свой внешеий вид. И вот я бегаю за Байтом (так зовут кота) по всем комнатам этой квартиры, а кот - от меня. В процессе погони кот постоянно видоизменяется - то весь рыжий станет, то серый, один раз даже превратился в маленькую лохматую собачку серого цвета (но почему-то с усами и кошачьими ушами). Потом правда опять котом стал, но не своего обычного цвета, а какого-то другого.

Вот такой сон. И в этом сне я так и не смог своего кота поймать :)


1

Собственноручно пойманный троян

Еще в начале мая я нахватал вирусов на комп. Антивируса у меня на компе нет -имхо, они больше тормозят комп, чем его защищают. В общем, даже не знаю... Мне самому иногда не нравится моя точка зрения. Мне кажется, что если хорошо знать ту систему, на которой работаешь, то практически любого вируса можно поймать "ручками". А если не знать - то и антивирус не спасет. Хотя сервис он-лайн проверки на вирусы у Касперского или dr.web я использую почти всегда.

При таком подходе, конечно, только тех гадов можно отловить, кто себя как-то проявляет. Двух в этом году удалось поймать из-за того, что их создатели сделали их глючными. У первого текла память - совсем немного, но из-за того, что я комп не перезагружал несколько недель, это стало заметно. Меня заинтересовал процесс, который жрет столько памяти, и я решил его поискать(хорошо, что он назывался довольно странно - netprotocol.exe), нашел его, проверил на он-лайн сервисе и убил без проблем.
Со вторым было сложнее - он притворялся легальной службой lanmanserver и проявлял себя только при перезагрузке системы или выключении компа. При этом появлялось окно об ошибке в svchost.exe. Службу отрубил, файл перекинул в карантин, который (как выяснилось при он-лайн проверке) оказался трояном. Оригинальную службу восстанавливать даже не стал - мне оно пока не надо (но по закону подлости, млин, как напишу что не надо - так сразу и понадобится:) ).

И наконец, последний гаденыш, которого поймать оказалось сложнее всего. Этот себя выдал тем, что не дал мне зайти на страничку так любимого мной он-лайн сканера. Типа "страница недоступна". Но самое прикольное в том, что если зайти на любой из известных поисковиков и набрать в строке поиска "kaspersky.ru", окно браузера закроется без каких-либо сообщений об ошибках (у меня это происходило и в IE, и в Мозилле). Я его почему-то искал среди запущенных служб. В конце концов он нашелся: в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ реестра Userinit почему-то имел значение "C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\apppatch\\xofvgbi.dat"
Файл xofvgbi.dat и оказался тем самым вирусом, блокирующим доступ к сайтам по информационной безопасности. После его удаления и исправления ключа реестра (в XP его значение должно быть "C:\\WINDOWS\\system32\\userinit.exe,") доступ к сайтам появился. И вот тут меня ждало удивление. Собственно, этот мой пост - моя реакция на то, что произошло дальше. Он-лайн сканер Касперского не опознал этот файл как вирус!!! Можно сказать, я оказался его первооткрывателем! Хоть какая-то радость, блин! :) Зашел я на страничку "сообщить о вирусе", выбрал "запрос в вирусную лабораторию"(ссылка тут), заполнил поля , тип запроса выбрал "запрос на исследование вредоносного файла",
и написал вот такой текст:
-------------
Здравствуйте!

Симптомы:
Невозможно зайти на сайты по информационной безопасности (www.avp.ru, www.kaspersky.ru, www.drweb.com, www.z-oleg.com) без использования прокси-сервера.
На сайты с другим содержимым (newsru.com, echo.msk.ru) можно попасть без проблем, не используя прокси-сервер.
При попытке в поисковиках (google, yandex) выполнить поисковый
запрос по ключевому слову "kaspersky.ru" происходит завершение работы браузера без
каких-либо сообщений об ошибках(проверял в IE 7 и FireFox 3.6.16).

Попытки решения проблем:
При использовании прокси сервера удалось скачать антивирус Олега Зайцева avz,
но запустить его не удалось даже в защищенном режиме (процесс сразу завершался без
каких-либо сообщений об ошибках).
Если через диспетчер задач завершить процесс explorer.exe, то avz запускался, но
ничего не обнаруживал. При этом доступ на вышеперечисленные сайты без прокси-сервера
так же был невозможен.

Решение проблемы:
В реестре, в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
я обнаружил ключ:
Userinit="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\apppatch\\xofvgbi.dat"
Я изменил его значение следующим образом:
Userinit="C:\\WINDOWS\\system32\\userinit.exe",
а файл C:\WINDOWS\apppatch\xofvgbi.dat просто убрал в карантин.

После перезагрузки все сайты (www.avp.ru, www.kaspersky.ru, www.drweb.com, www.z-oleg.com)открываются нормально, при описанном выше поисковом запросе окно браузера не закрывается.

Этот файл я уже проверил на вирусы он-лайн на сайте kaspersky.ru, но получил сообщение,что файл в порядке.

По описанным причинам я считаю, что этот файл является вирусом, пока неизвестным
Лаборатории Касперского

С уважением,
Киселев Александр
-------------

В ответ мне пришло письмо (3.05.2011):

-------------
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:
https://my.kaspersky.com/ru/support/viruslab.
Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.
Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.
Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

xofvgbi.dat

Файл в процессе обработки.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru
-------------

С тех пор ни ответа, ни привета. Все бы ничего, но этот файл до сих пор не определяется он-лайн сканером касперского как вирус, хотя уже месяц прошел, как я им его послал...

Посему хоть опубликую "опознавательные знаки" этого файла:
размер - 187 392 байт
хэш MD5: 3fa6b041f3bbf8221cef36bc738eea93
хэш SHA1: 95aa6fa24fcf7bc318e5653be8d9a25f06256bfc