Форум: "Потрепаться";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];
ВнизЧто бы это мог быть за вирус? Найти похожие ветки
← →
PVOzerski © (2004-09-03 10:55) [0]Очередная неприятность у жены на работе. После того, как на ее компе посидела "продвинутая" девочка-лаборантка, при загрузке стала выскакивать надпись вроде (к сожалению, точно воспроизвести не могу: сейчас машину сканирую AVP из DOSa) "Cannot find C:\WINDOWS\RUNDLL.EXE". Ну, папки c:\windows там просто нет, она там c:\winnt. В HKEY_CURRENT_USER/../run нашел 2 соответствующие команды (опять же примерно): C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindows и C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindowsex, т.е. задумывалась циклическая перезагрузка, да не вышло. А у меня 2 задачи: 1) извести пакость-вирус (если он там есть, а быть должен, хотя не факт, что активен); 2) понять, каким образом пакость-девочка этот пакость-вирус на комп занесла :^), при том,что E-mail-клентов там нет, а касательно интернета - она божится, что пользуется, согласно моим указаниям, только Оперой. Равно как и посторонних прог, конечно же, честное слово, она не запускала...
← →
Игорь Шевченко © (2004-09-03 10:57) [1]
> она божится
> посторонних прог, конечно же, честное слово, она не запускала...
Человек - самое слабое звено :)
> 1) извести пакость-вирус (если он там есть, а быть должен,
> хотя не факт, что активен);
Убрать из автозагрузки ? :)
← →
Jeer © (2004-09-03 10:58) [2]Да может кто пошутил:)
А вообще - отследить FileMon и RegMon-ами.
← →
Ega23 © (2004-09-03 10:58) [3]Девочку раздеть догола, вымазать смолой и вывалять в перьях. Или пригрозить - сама всё сразу вспомнит и расскажет.
← →
PVOzerski © (2004-09-03 11:00) [4]>Убрать из автозагрузки ? :)
Дык ведь перечисленные мной строчки запускают не вирус как таковой, а вирусом или трояном в реестр засунуты. Сам же вирус может запускаться совершенно из другого места... Ну, уберу попытку автозагрузки, а какой-нибудь backdoor останется.
← →
PVOzerski © (2004-09-03 11:04) [5]Если серьезно:
1) не знает ли кто-нибудь вирус с такими проявлениями?
2) есть ли эксплоиты, знающие дыры Оперы?
← →
Игорь Шевченко © (2004-09-03 11:04) [6]PVOzerski © (03.09.04 11:00) [4]
www.sysinternals.com - FileMon
www.sysinternals.com - autoruns
← →
clickmaker © (2004-09-03 11:05) [7]
> [3] Ega23 © (03.09.04 10:58)
> Девочку раздеть догола, вымазать смолой и вывалять в перьях.
> Или пригрозить
пригрозить что-нить еще с ней сделать между "раздеть" и "вымазать" ;)
← →
Vit@ly © (2004-09-03 11:06) [8]А антивиры молчат?
← →
PVOzerski © (2004-09-03 11:09) [9]>А антивиры молчат?
Сейчас прогоняю Касперским из-под plain DOS. А поиск по "пакостным" строчкам на сайте Вирусной энциклопедии того же Касперского ничего не дал :^(
← →
Prohodil Mimo © (2004-09-03 11:09) [10]А это случаем не НИМДА?
если да - ищи файлы с содержимым "NIMDA" и казни их, но только не все... Users не трогай. после этой операции придётся переустановить офис, иначе не работает Save/Save As.
есть и лечилки на эту тему, но мне всегда попадалась более новая версия виря и они не помогали. так же удали *.eml, *.nws и ещё был какой-то dll, их в каждом каталоге до кучи.
← →
Салингранд (2004-09-03 11:10) [11]
> Ega23 © (03.09.04 10:58) [3]
> Девочку раздеть догола
...
к черту вирус!!
← →
Prohodil Mimo © (2004-09-03 11:13) [12]да, и удаление производить строго из доса, под виндой будет только размножение, причём на один удалённый несколько новых :о)
← →
Vlad Oshin © (2004-09-03 11:36) [13]
> пригрозить что-нить еще с ней сделать между "раздеть" и
> "вымазать" ;)
в очередь встанут :)
← →
Digitman © (2004-09-03 12:15) [14]
> Равно как и посторонних прог, конечно же, честное слово,
> она не запускала
но при этом поди отдуши пошарилась Оперой по сайтам сомнительного содержания ... в скриптах которых запросто м.б. загрузка неподписанных AX-модулей ... и автозагрузка оных в Опере почему-то, вероятно, была разрешена
← →
Amoeba © (2004-09-03 12:16) [15]Может еще стоит дополнительно просканировать утилитой CLRAV от того же Касперского. Вылечивает от нескольких вирусов, с которыми собственно AVP не справляется.
← →
DSKalugin © (2004-09-03 12:21) [16]Никакой это не вирус, а обычное заподло. Девочка та которая продвинутая случаем не лабораторную работу по информатике делала?
← →
Гаврила © (2004-09-03 12:30) [17]Не верю, что человек, способный написать вирус, будет тупо иcпользовать константу "C:\Windows"
← →
вразлет © (2004-09-03 12:35) [18]3] Ega23 © (03.09.04 10:58)
Девочку раздеть догола, вымазать смолой и вывалять в перьях. Или пригрозить - сама всё сразу вспомнит и расскажет.
Раздеться самому догола и пригрозить
← →
DSKalugin © (2004-09-03 12:47) [19]поудаляй эти две строчки из автозагрузки
C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindows
C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindowsex
и спокойно продолжате дальше работать.
Впреть никаких студентов и постороннних не пускайте
А у тоой девочки можно изъять дискеты с которыми она приходила и посмотреть. Может это даже макросами в ворде сделано без ее ведома. Или втупую лежат файлы zapadlo.reg
← →
PVOzerski © (2004-09-03 12:52) [20]2DSKalugin © (03.09.04 12:47) [19]
Пожалуй, дождусь окончания сканирования и так и сделаю. Насчет макросов - мысль мне понравилась, утешает. Кстати, потом еще проверю все файлы на диске на наличие этих "пакостных" строчек.
← →
PVOzerski © (2004-09-03 13:39) [21]Итог потерянной половины дня:
нашел личную папку этой девицы (притом с атрибутом hidden, что я обнаружил уже позднее), а в нем - вордовский файл с инструкцией, что менять в реестре. Хакерша выискалась, @#$%!!!! В общем, убью ее (даже смайлик ставить не хочется)!!!
← →
Игорь Шевченко © (2004-09-03 13:40) [22]
> вордовский файл с инструкцией, что менять в реестре. Хакерша
> выискалась
Об чем в начале и было сказано :)
← →
Digitman © (2004-09-03 13:43) [23]
> PVOzerski © (03.09.04 13:39) [21]
граната, брошеная не вовремя - уже не граната)
← →
clickmaker © (2004-09-03 13:53) [24]
> [21] PVOzerski © (03.09.04 13:39)
> @#$%!!!! В общем, убью ее
А свой комп у девочки есть? А то можно было бы такое же там замутить
← →
TUser © (2004-09-03 13:59) [25]>Не верю, что человек, способный написать вирус, будет тупо иcпользовать константу "C:\Windows"
Скорее, человек, который не будет тупо использовать эту константу в большинстве случаев даже не сядет за написание вируса. Но, если сядет, тогда ...
← →
PVOzerski © (2004-09-03 14:00) [26]>А свой комп у девочки есть? А то можно было бы такое же там замутить
Ну не буду же я ей трояна писать по мэйлу засылать. На самом деле, хочется лишь понять: а) мотивы; б) в шею ее гнать надо или внушение может помочь. Я не мог приехать к жене на работу неделю, и пользоваться "зараженным" компом мною было запрещено. Плюс, сегодня убил полдня на поиск несуществующего вируса. Девицы этой не было сегодня, а то бы... И ведь могла бы уже давно покаяться и не держать весть отдел "на ушах"...
← →
clickmaker © (2004-09-03 14:03) [27]
> На самом деле, хочется лишь понять: а) мотивы
Может, она - твоя тайная поклонница? Тогда мотив - ревность
← →
КаПиБаРа © (2004-09-03 14:41) [28]PVOzerski © (03.09.04 13:39) [21]
а в нем - вордовский файл с инструкцией, что менять в реестре
Как файл называется? Может она его из инета скачала и запустила.
==================================================
Женщина - полная противоположность собаке.
Собака все понимает, но ничего сказать не может...
==================================================
← →
raidan © (2004-09-03 16:18) [29]Если в этом вордовском файлике написано, к чему приводит подобное изменение реестра, то внушение тут не поможет...
А ведь если наказать, то искренне затаит злость :)
Ну и шушештва - эти шеншины :)
← →
DSKalugin © (2004-09-03 17:05) [30]Можно очень даже хорошо ее напугать статьей. :-)))
На сей счет есть статься в уголовном кодексе. Номер ясное дело в голове не держу и дословную формулировку тоже, но суть такава:
Типа "незаконное проникновение... Умышленная порча информации..." что-то в этом духе. при желании можно найти
← →
Anatoly Podgoretsky © (2004-09-03 19:36) [31]Ega23 © (03.09.04 10:58) [3]
Зачем же смолой? Не порти.
← →
Lu © (2004-09-03 20:37) [32]Ух, добрые вы!
Будь это не девушка, а мужик - ветка растянулась бы не на 31 пост, а 2-3.
А так смакуют, смакуют... Тьфу, противно
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2004.09.26;
Скачать: [xml.tar.bz2];
Память: 0.52 MB
Время: 0.033 c