Explorer сходит с ума

Тема в разделе "WASM.HEAP", создана пользователем NullSessi0n, 26 апр 2006.

  1. NullSessi0n

    NullSessi0n New Member

    Публикаций:
    0
    Регистрация:
    20 янв 2006
    Сообщения:
    322
    Ну одно время Windows работал у меня совсем без глюков. Всё нормально пахало. Но вот в последнее время я часто стал слушать музыку, и вдруг открылся такой глюк у Explorer'а: когда пытаешься свернуть окошко внизу, или открыть значок подключения, или меню пуск и т. п., ничего не выходит. Для отмены глюка надо нажать Ctrl-Alt-Del, появится окно, где предлагают выбрать "Диспетчер задач", "Выход из системы" и т.п., щёлкнуть по свободному от кнопок месту окна, а потом по кнопке "Отмена" (иначе её даже не нажмёшь).

    Что творится с системой? Это какой-то вирус, или механизм отложенного асинхронного проявления глюков в WinXP от самой размудашной компании в мире - Microsoft? Поделитесь впечатлениями и помогите найти ответ.
     
  2. Guest

    Guest Guest

    Публикаций:
    0


    Зря ты так о них, к тому же если они такие, то зачем сидишь под виндой?
     
  3. SnugForce

    SnugForce New Member

    Публикаций:
    0
    Регистрация:
    2 май 2005
    Сообщения:
    373
    Адрес:
    Из домУ
    Интересно, а как был найден процесс снятия глюка?
     
  4. NullSessi0n

    NullSessi0n New Member

    Публикаций:
    0
    Регистрация:
    20 янв 2006
    Сообщения:
    322
    Corleone

    Потому что не всё есть под Linux. Я сижу из-за ПО под Windows, а не из-за встроенных программ или самой Windows.

    SnugForce

    Просто.

    1) Хотелось снять какой-нибудь процесс, вдруг всё нормально станет.

    2) Я нажал Ctrl-Alt-Del, затем режил нажать Отмену, но не получилось

    3) Я щёлкнул в пустоту, и кнопка стала нажиматься

    4) Повторил это сотни раз и запомнил.
     
  5. NullSessi0n

    NullSessi0n New Member

    Публикаций:
    0
    Регистрация:
    20 янв 2006
    Сообщения:
    322
    Глюки наступают! Только что такая же хрень случилась и с MessageBox. Раньше такого не было. Скоро все приложения начнут также глючить.

    Видно, Rammstein и Microsoft несовместимы.
     
  6. Bill_Prisoner

    Bill_Prisoner New Member

    Публикаций:
    0
    Регистрация:
    4 май 2005
    Сообщения:
    238
    Поставь себе XP может будет лучше. Microsoft перестала выпускать обновления на Windows 2000. Подробности тут. Кстати для быстрого запуска "Диспетчера задач" подойдет "Ctrl+Shift+Esc". Помниться у Lord Julus был полиморфный вирус, который звали
    :)
     
  7. NullSessi0n

    NullSessi0n New Member

    Публикаций:
    0
    Регистрация:
    20 янв 2006
    Сообщения:
    322
    Поставь себе XP может будет лучше.

    У меня XP SP2. Кстати, такой глюк по-моему из-за браузера всё-таки. Он нестандартный просто.

    Кстати для быстрого запуска "Диспетчера задач" подойдет "Ctrl+Shift+Esc".

    Это без проблем могут отключить не имея прав админа.

    Помниться у Mentall Driller был полиморфный вирус, который звали „Rammstein“:)

    Интересно, что за вирус?
     
  8. Bill_Prisoner

    Bill_Prisoner New Member

    Публикаций:
    0
    Регистрация:
    4 май 2005
    Сообщения:
    238


    Мне показалось что у тебя неXP потому что там когда нажимаешь C+A+D сразу запускается "Диспетчер Задач", а в Windows 2000 там менюшка выскакивает.



    Virus Name ........... Win32.Rammstein

    Virus Version ........ 4.0

    Virus Size ........... 14002 (debug), 15176 (release)

    Virus Author ......... Lord Julus / 29A

    Release Date ......... 30 Nov 2000

    Virus type ........... PE infector

    Target OS ............ Win95, Win98, WinNT, Win2000

    Target Files ......... many PE file types:

    EXE COM ACM CPL HDI OCX PCI

    QTC SCR X32 CNV FMT OCM OLB WPC

    Append Method ........ The virus will check wether there is enough room

    for it inside the code section. If there is not

    enough room the virus will be placed at end. If

    there is it will be inserted inside the code

    section at a random offset while the original

    code will be saved at end. The placing at the end

    has also two variants. If the last section is

    Resources or Relocations the virus will insert a

    new section before the last section and place the

    data there, also rearranging the last section's

    RVAs. If the last section is another section a

    new section will be placed at end. The name of

    the new section is a common section name which is

    choosed based on the existing names so that it

    does not repeat. If the virus is placed at the

    end just a small EPO code is used so that the eip

    stays inside the code section.

    A special situation occurs if there is no enough

    space to add a new section header, for example

    when the code section starts at RVA 200 (end of

    headers). In this situation the virus will

    increase the last section in order to append.

    Infect Methods ....... -Direct file attacks: the virus will attack

    specific files in the windows directory, files

    which are most used by people

    -Directory scan: all files in the current

    directory will be infected, as well as 3 files in

    the system directory and 3 in the windows

    directory

    -Api hooking (per-process residency): the virus

    hooks a few api calls and infects files as the

    victim uses the apis

    -Intranet spreading: the virus spreads into the

    LAN using only windows apis

    Features ............. Multiple threads: the virus launches a main

    thread. While this thread executes, in the same

    time, the original thread returns to host, so no

    slowing down appears. The main viral thread

    launches other 6 threads and monitors their

    execution. If one of the threads is not able to

    finish the system is hanged because it means

    somebody tryied to patch some of the thread code.

    Heavy anti-debugging: i tried to use almost all

    the anti-debug and anti-emulation stuff that I

    know

    FPU: uses fpu instructions

    Crc32 search: uses crc32 to avoid waste of space

    Memory roaming: allocates virtual memory and

    jumps in it

    Interlaced code: this means that some threads

    share the same piece of code and the virus is

    careful to let only one in the same time

    otherwise we get some of the variables distroyed.

    Preety hard to be emulated by avs.

    Also features semaphores, timers

    Marks infection using the Pythagoreic numbers.

    SEH: the virus creates 9 SEH handlers, for each

    thread and for the main thread.

    (*) Polymorphic .......... Yes (2 engines: Modularis, LJFPE32)

    (*) Metamorphic .......... Yes (mild custom metamorphic engine)

    Encrypted ............ Yes

    Safety ............... Yes (avoids infecting many files)

    Kill AV Processes .... Yes

    Payload .............. On 14th every even month the infected process

    will launch a thread that will display random

    windows with some of the Rammstein's lyrics.

    Pretty annoying... Probably this is the first

    virus that actually creates real windows and

    processes their messages. The windows shut down

    as the victim process closes.
     
  9. NullSessi0n

    NullSessi0n New Member

    Публикаций:
    0
    Регистрация:
    20 янв 2006
    Сообщения:
    322
    У меня и на систему C+A+D требует и имя последнего пользователя не показывается и блокировка учётной записи.

    On 14th every even month the infected process

    will launch a thread that will display random

    windows with some of the Rammstein's lyrics.

    Pretty annoying...


    Неплохо. Вот только не всем их стихи нравятся. Просто не умеют многие отличать лирического героя от автора. Благо я не такой.

    А связана та фигня, что у меня, может быть с какими-нибудь ловушками сообщений (hooks), мышь ловят.