Что бы это мог быть за вирус?

← →
PVOzerski © (2004-09-03 10:55) [0]

Очередная неприятность у жены на работе. После того, как на ее компе посидела "продвинутая" девочка-лаборантка, при загрузке стала выскакивать надпись вроде (к сожалению, точно воспроизвести не могу: сейчас машину сканирую AVP из DOSa) "Cannot find C:\WINDOWS\RUNDLL.EXE". Ну, папки c:\windows там просто нет, она там c:\winnt. В HKEY_CURRENT_USER/../run нашел 2 соответствующие команды (опять же примерно): C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindows и C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindowsex, т.е. задумывалась циклическая перезагрузка, да не вышло. А у меня 2 задачи: 1) извести пакость-вирус (если он там есть, а быть должен, хотя не факт, что активен); 2) понять, каким образом пакость-девочка этот пакость-вирус на комп занесла :^), при том,что E-mail-клентов там нет, а касательно интернета - она божится, что пользуется, согласно моим указаниям, только Оперой. Равно как и посторонних прог, конечно же, честное слово, она не запускала...

← →
Игорь Шевченко © (2004-09-03 10:57) [1]

> она божится

> посторонних прог, конечно же, честное слово, она не запускала...

Человек - самое слабое звено :)

> 1) извести пакость-вирус (если он там есть, а быть должен,
> хотя не факт, что активен);

Убрать из автозагрузки ? :)

← →
Jeer © (2004-09-03 10:58) [2]

Да может кто пошутил:)

А вообще - отследить FileMon и RegMon-ами.

← →
Ega23 © (2004-09-03 10:58) [3]

Девочку раздеть догола, вымазать смолой и вывалять в перьях. Или пригрозить - сама всё сразу вспомнит и расскажет.

← →
PVOzerski © (2004-09-03 11:00) [4]

>Убрать из автозагрузки ? :)
Дык ведь перечисленные мной строчки запускают не вирус как таковой, а вирусом или трояном в реестр засунуты. Сам же вирус может запускаться совершенно из другого места... Ну, уберу попытку автозагрузки, а какой-нибудь backdoor останется.

← →
PVOzerski © (2004-09-03 11:04) [5]

Если серьезно:
1) не знает ли кто-нибудь вирус с такими проявлениями?
2) есть ли эксплоиты, знающие дыры Оперы?

← →
Игорь Шевченко © (2004-09-03 11:04) [6]

PVOzerski © (03.09.04 11:00) [4]

www.sysinternals.com - FileMon
www.sysinternals.com - autoruns

← →
clickmaker © (2004-09-03 11:05) [7]

> [3] Ega23 © (03.09.04 10:58)
> Девочку раздеть догола, вымазать смолой и вывалять в перьях.
> Или пригрозить

пригрозить что-нить еще с ней сделать между "раздеть" и "вымазать" ;)

← →
Vit@ly © (2004-09-03 11:06) [8]

А антивиры молчат?

← →
PVOzerski © (2004-09-03 11:09) [9]

>А антивиры молчат?
Сейчас прогоняю Касперским из-под plain DOS. А поиск по "пакостным" строчкам на сайте Вирусной энциклопедии того же Касперского ничего не дал :^(

← →
Prohodil Mimo © (2004-09-03 11:09) [10]

А это случаем не НИМДА?
если да - ищи файлы с содержимым "NIMDA" и казни их, но только не все... Users не трогай. после этой операции придётся переустановить офис, иначе не работает Save/Save As.
есть и лечилки на эту тему, но мне всегда попадалась более новая версия виря и они не помогали. так же удали *.eml, *.nws и ещё был какой-то dll, их в каждом каталоге до кучи.

← →
Салингранд (2004-09-03 11:10) [11]

> Ega23 © (03.09.04 10:58) [3]
> Девочку раздеть догола

...
к черту вирус!!

← →
Prohodil Mimo © (2004-09-03 11:13) [12]

да, и удаление производить строго из доса, под виндой будет только размножение, причём на один удалённый несколько новых :о)

← →
Vlad Oshin © (2004-09-03 11:36) [13]

> пригрозить что-нить еще с ней сделать между "раздеть" и
> "вымазать" ;)

в очередь встанут :)

← →
Digitman © (2004-09-03 12:15) [14]

> Равно как и посторонних прог, конечно же, честное слово,
> она не запускала

но при этом поди отдуши пошарилась Оперой по сайтам сомнительного содержания ... в скриптах которых запросто м.б. загрузка неподписанных AX-модулей ... и автозагрузка оных в Опере почему-то, вероятно, была разрешена

← →
Amoeba © (2004-09-03 12:16) [15]

Может еще стоит дополнительно просканировать утилитой CLRAV от того же Касперского. Вылечивает от нескольких вирусов, с которыми собственно AVP не справляется.

← →
DSKalugin © (2004-09-03 12:21) [16]

Никакой это не вирус, а обычное заподло. Девочка та которая продвинутая случаем не лабораторную работу по информатике делала?

← →
Гаврила © (2004-09-03 12:30) [17]

Не верю, что человек, способный написать вирус, будет тупо иcпользовать константу "C:\Windows"

← →
вразлет © (2004-09-03 12:35) [18]

3] Ega23 © (03.09.04 10:58)
Девочку раздеть догола, вымазать смолой и вывалять в перьях. Или пригрозить - сама всё сразу вспомнит и расскажет.

Раздеться самому догола и пригрозить

← →
DSKalugin © (2004-09-03 12:47) [19]

поудаляй эти две строчки из автозагрузки
C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindows
C:\WINDOWS\RUNDLL.EXE USER.EXE exitwindowsex

и спокойно продолжате дальше работать.
Впреть никаких студентов и постороннних не пускайте

А у тоой девочки можно изъять дискеты с которыми она приходила и посмотреть. Может это даже макросами в ворде сделано без ее ведома. Или втупую лежат файлы zapadlo.reg

← →
PVOzerski © (2004-09-03 12:52) [20]

2DSKalugin © (03.09.04 12:47) [19]
Пожалуй, дождусь окончания сканирования и так и сделаю. Насчет макросов - мысль мне понравилась, утешает. Кстати, потом еще проверю все файлы на диске на наличие этих "пакостных" строчек.

← →
PVOzerski © (2004-09-03 13:39) [21]

Итог потерянной половины дня:
нашел личную папку этой девицы (притом с атрибутом hidden, что я обнаружил уже позднее), а в нем - вордовский файл с инструкцией, что менять в реестре. Хакерша выискалась, @#$%!!!! В общем, убью ее (даже смайлик ставить не хочется)!!!

← →
Игорь Шевченко © (2004-09-03 13:40) [22]

> вордовский файл с инструкцией, что менять в реестре. Хакерша
> выискалась

Об чем в начале и было сказано :)

> [21] PVOzerski © (03.09.04 13:39)
> @#$%!!!! В общем, убью ее

А свой комп у девочки есть? А то можно было бы такое же там замутить

>Не верю, что человек, способный написать вирус, будет тупо иcпользовать константу "C:\Windows"

Скорее, человек, который не будет тупо использовать эту константу в большинстве случаев даже не сядет за написание вируса. Но, если сядет, тогда ...

>А свой комп у девочки есть? А то можно было бы такое же там замутить

Ну не буду же я ей трояна писать по мэйлу засылать. На самом деле, хочется лишь понять: а) мотивы; б) в шею ее гнать надо или внушение может помочь. Я не мог приехать к жене на работу неделю, и пользоваться "зараженным" компом мною было запрещено. Плюс, сегодня убил полдня на поиск несуществующего вируса. Девицы этой не было сегодня, а то бы... И ведь могла бы уже давно покаяться и не держать весть отдел "на ушах"...

> На самом деле, хочется лишь понять: а) мотивы

Может, она - твоя тайная поклонница? Тогда мотив - ревность

PVOzerski © (03.09.04 13:39) [21]
а в нем - вордовский файл с инструкцией, что менять в реестре

Как файл называется? Может она его из инета скачала и запустила.

================================================== Женщина - полная противоположность собаке. Собака все понимает, но ничего сказать не может... ==================================================

Если в этом вордовском файлике написано, к чему приводит подобное изменение реестра, то внушение тут не поможет...
А ведь если наказать, то искренне затаит злость :)

Ну и шушештва - эти шеншины :)

Можно очень даже хорошо ее напугать статьей. :-)))
На сей счет есть статься в уголовном кодексе. Номер ясное дело в голове не держу и дословную формулировку тоже, но суть такава:
Типа "незаконное проникновение... Умышленная порча информации..." что-то в этом духе. при желании можно найти

Ух, добрые вы!
Будь это не девушка, а мужик - ветка растянулась бы не на 31 пост, а 2-3.
А так смакуют, смакуют... Тьфу, противно

Что бы это мог быть за вирус? Найти похожие ветки