Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];

Вниз

Что бы это мог быть за вирус?   Найти похожие ветки 

 
PVOzerski ©   (2004-09-03 10:55) [0]

Очередная неприятность у жены на работе. После того, как на ее компе посидела "продвинутая" девочка-лаборантка, при загрузке стала выскакивать надпись вроде (к сожалению, точно воспроизвести не могу: сейчас машину сканирую AVP из DOSa) "Cannot find C:\WINDOWS\RUNDLL.EXE". Ну, папки c:\windows там просто нет, она там c:\winnt. В HKEY_CURRENT_USER/../run нашел 2 соответствующие команды (опять же примерно): C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindows и C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindowsex, т.е. задумывалась циклическая перезагрузка, да не вышло. А у меня 2 задачи: 1) извести пакость-вирус (если он там есть, а быть должен, хотя не факт, что активен); 2) понять, каким образом пакость-девочка этот пакость-вирус на комп занесла :^), при том,что E-mail-клентов там нет, а касательно интернета - она божится, что пользуется, согласно моим указаниям, только Оперой. Равно как и посторонних прог, конечно же, честное слово, она не запускала...


 
Игорь Шевченко ©   (2004-09-03 10:57) [1]


> она божится


> посторонних прог, конечно же, честное слово, она не запускала...


Человек - самое слабое звено :)


> 1) извести пакость-вирус (если он там есть, а быть должен,
> хотя не факт, что активен);


Убрать из автозагрузки ? :)


 
Jeer ©   (2004-09-03 10:58) [2]

Да может кто пошутил:)

А вообще - отследить FileMon и RegMon-ами.


 
Ega23 ©   (2004-09-03 10:58) [3]

Девочку раздеть догола, вымазать смолой и вывалять в перьях. Или пригрозить - сама всё сразу вспомнит и расскажет.


 
PVOzerski ©   (2004-09-03 11:00) [4]

>Убрать из автозагрузки ? :)
Дык ведь перечисленные мной строчки запускают не вирус как таковой, а вирусом или трояном в реестр засунуты. Сам же вирус может запускаться совершенно из другого места... Ну, уберу попытку автозагрузки, а какой-нибудь backdoor останется.


 
PVOzerski ©   (2004-09-03 11:04) [5]

Если серьезно:
1) не знает ли кто-нибудь вирус с такими проявлениями?
2) есть ли эксплоиты, знающие дыры Оперы?


 
Игорь Шевченко ©   (2004-09-03 11:04) [6]

PVOzerski ©   (03.09.04 11:00) [4]

www.sysinternals.com - FileMon
www.sysinternals.com - autoruns


 
clickmaker ©   (2004-09-03 11:05) [7]


> [3] Ega23 ©   (03.09.04 10:58)
> Девочку раздеть догола, вымазать смолой и вывалять в перьях.
> Или пригрозить

пригрозить что-нить еще с ней сделать между "раздеть" и "вымазать" ;)


 
Vit@ly ©   (2004-09-03 11:06) [8]

А антивиры молчат?


 
PVOzerski ©   (2004-09-03 11:09) [9]

>А антивиры молчат?
Сейчас прогоняю Касперским из-под plain DOS. А поиск по "пакостным" строчкам на сайте Вирусной энциклопедии того же Касперского ничего не дал :^(


 
Prohodil Mimo ©   (2004-09-03 11:09) [10]

А это случаем не НИМДА?
если да - ищи файлы с содержимым "NIMDA" и казни их, но только не все... Users не трогай. после этой операции придётся переустановить офис, иначе не работает Save/Save As.
есть и лечилки на эту тему, но мне всегда попадалась более новая версия виря и они не помогали. так же удали *.eml, *.nws и ещё был какой-то dll, их в каждом каталоге до кучи.


 
Салингранд   (2004-09-03 11:10) [11]


> Ega23 ©   (03.09.04 10:58) [3]
> Девочку раздеть догола

...
к черту вирус!!


 
Prohodil Mimo ©   (2004-09-03 11:13) [12]

да, и удаление производить строго из доса, под виндой будет только размножение, причём на один удалённый несколько новых :о)


 
Vlad Oshin ©   (2004-09-03 11:36) [13]


> пригрозить что-нить еще с ней сделать между "раздеть" и
> "вымазать" ;)

в очередь встанут :)


 
Digitman ©   (2004-09-03 12:15) [14]


> Равно как и посторонних прог, конечно же, честное слово,
> она не запускала


но при этом поди отдуши пошарилась Оперой по сайтам сомнительного содержания ... в скриптах которых запросто м.б. загрузка неподписанных AX-модулей ... и автозагрузка оных в Опере почему-то, вероятно, была разрешена


 
Amoeba ©   (2004-09-03 12:16) [15]

Может еще стоит дополнительно просканировать утилитой CLRAV от того же Касперского. Вылечивает от нескольких вирусов, с которыми собственно AVP не справляется.


 
DSKalugin ©   (2004-09-03 12:21) [16]

Никакой это не вирус, а обычное заподло. Девочка та которая продвинутая случаем не лабораторную работу по информатике делала?


 
Гаврила ©   (2004-09-03 12:30) [17]

Не верю, что человек, способный написать вирус, будет тупо иcпользовать константу "C:\Windows"


 
вразлет ©   (2004-09-03 12:35) [18]

3] Ega23 ©   (03.09.04 10:58)
Девочку раздеть догола, вымазать смолой и вывалять в перьях. Или пригрозить - сама всё сразу вспомнит и расскажет.


Раздеться самому догола и пригрозить


 
DSKalugin ©   (2004-09-03 12:47) [19]

поудаляй эти две строчки из автозагрузки
C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindows
C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindowsex

и спокойно продолжате дальше работать.
Впреть никаких студентов и постороннних не пускайте

А у тоой девочки можно изъять дискеты с которыми она приходила и посмотреть. Может это даже макросами в ворде сделано без ее ведома. Или втупую лежат файлы zapadlo.reg


 
PVOzerski ©   (2004-09-03 12:52) [20]

2DSKalugin ©   (03.09.04 12:47) [19]
Пожалуй, дождусь окончания сканирования и так и сделаю. Насчет макросов - мысль мне понравилась, утешает. Кстати, потом еще проверю все файлы на диске на наличие этих "пакостных" строчек.


 
PVOzerski ©   (2004-09-03 13:39) [21]

Итог потерянной половины дня:
нашел личную папку этой девицы (притом с атрибутом hidden, что я обнаружил уже позднее), а в нем - вордовский файл с инструкцией, что менять в реестре. Хакерша выискалась, @#$%!!!! В общем, убью ее (даже смайлик ставить не хочется)!!!


 
Игорь Шевченко ©   (2004-09-03 13:40) [22]


> вордовский файл с инструкцией, что менять в реестре. Хакерша
> выискалась


Об чем в начале и было сказано :)


 
Digitman ©   (2004-09-03 13:43) [23]


> PVOzerski ©   (03.09.04 13:39) [21]


граната, брошеная не вовремя - уже не граната)


 
clickmaker ©   (2004-09-03 13:53) [24]


>  [21] PVOzerski ©   (03.09.04 13:39)
> @#$%!!!! В общем, убью ее

А свой комп у девочки есть? А то можно было бы такое же там замутить


 
TUser ©   (2004-09-03 13:59) [25]

>Не верю, что человек, способный написать вирус, будет тупо иcпользовать константу "C:\Windows"

Скорее, человек, который не будет тупо использовать эту константу в большинстве случаев даже не сядет за написание вируса. Но, если сядет, тогда ...


 
PVOzerski ©   (2004-09-03 14:00) [26]

>А свой комп у девочки есть? А то можно было бы такое же там замутить

Ну не буду же я ей трояна писать по мэйлу засылать. На самом деле, хочется лишь понять: а) мотивы; б) в шею ее гнать надо или внушение может помочь. Я не мог приехать к жене на работу неделю, и пользоваться "зараженным" компом мною было запрещено. Плюс, сегодня убил полдня на поиск несуществующего вируса. Девицы этой не было сегодня, а то бы... И ведь могла бы уже давно покаяться и не держать весть отдел "на ушах"...


 
clickmaker ©   (2004-09-03 14:03) [27]


> На самом деле, хочется лишь понять: а) мотивы

Может, она - твоя тайная поклонница? Тогда мотив - ревность


 
КаПиБаРа ©   (2004-09-03 14:41) [28]

PVOzerski ©   (03.09.04 13:39) [21]
а в нем - вордовский файл с инструкцией, что менять в реестре


Как файл называется? Может она его из инета скачала и запустила.


==================================================
Женщина - полная противоположность собаке.
Собака все понимает, но ничего сказать не может...
==================================================


 
raidan ©   (2004-09-03 16:18) [29]

Если в этом вордовском файлике написано, к чему приводит подобное изменение реестра, то внушение тут не поможет...
А ведь если наказать, то искренне затаит злость :)

Ну и шушештва - эти шеншины :)


 
DSKalugin ©   (2004-09-03 17:05) [30]

Можно очень даже хорошо ее напугать статьей.  :-)))
На сей счет есть статься в уголовном кодексе. Номер ясное дело в голове не держу и дословную формулировку тоже, но суть такава:
Типа "незаконное проникновение... Умышленная порча информации..." что-то в этом духе. при желании можно найти


 
Anatoly Podgoretsky ©   (2004-09-03 19:36) [31]

Ega23 ©   (03.09.04 10:58) [3]
Зачем же смолой? Не порти.


 
Lu ©   (2004-09-03 20:37) [32]

Ух, добрые вы!
Будь это не девушка, а мужик - ветка растянулась бы не на 31 пост, а 2-3.
А так смакуют, смакуют... Тьфу, противно



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.52 MB
Время: 0.033 c
14-1094265307
Думкин
2004-09-04 06:35
2004.09.26
С днем рождения! 4 сентября


3-1093420285
andrey__
2004-08-25 11:51
2004.09.26
TADOQuery редактир. уже изменённой записи!


3-1093618349
ceval
2004-08-27 18:52
2004.09.26
Нужно поле mr вывести в DBText


14-1094642824
kand
2004-09-08 15:27
2004.09.26
Есть ли жизнь во Вселенной?


3-1093877754
Митяй
2004-08-30 18:55
2004.09.26
Пароль таблицы Парадокс





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский