Меня уже достали эти SpyWare проги!!!!!!

← →
NeyroSpace © (2004-10-13 16:05) [0]

Где юзеры набирают этого дерьма?! И ладно бы все были как GATOR.EXE удалил и все, но ведь попадаются и наредкость живучие экземпляры.
Сейчас разбираюсь с одним из них:
WinXP в каталоге WINDOWS живет файл conscorr.exe
и conscorr.ini
INI зашифрован:
?знн?зз?????л?зао??ЦЦГЮЙ????????????????????????????????????ЗУ?е???л
?знн?зз?????в???ЮГООБ????????????????л???к???????л???????ТЮк?и
?знн?зз?????лнд?ЮГООБ?????????б??к???????й???лж???????б??ТЮга?
йЫЧР?БСЖ?л?Й??а??????ла??????????????й???к????ж?П
?ЖСЖ?л???????
?АНЩУК?СФЫРЛ????ЬЬЦСУЛЦ??????????МЛСФЫ???
?ОЫБоАбЪЯМЙЫБ??
гКГА?????
?АМЖТ???
?ОЫ???
?Э??

До меня ехе сидел в автозагрузке, в Process Explorer левых процессов не наблюдалось. Автозагрузку убрал, ехе и ini удалил. Перегружаюсь ехе и ini на прежнем месте. Касперский молчит, но он вообще на 99% подобных прог не реагирует.

← →
NeyroSpace © (2004-10-13 16:13) [1]

внутри ехе видно несколько констант в том числе:
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Смотрю что там, а там раздел с сылкой на объект {ххххххх-ххххх-хххххххххххххх}
Ищю его по реетру - точно левая DLL.
К чему я это? У меня вопрос:
Где можно почитать про объекты реестра, которые имеют странные имена {ххххххх-ххххх-хххххххххххххх}? По какому принципу формируются эти номера?

← →
Anatoly Podgoretsky © (2004-10-13 16:21) [2]

GUID

← →
cyborg © (2004-10-13 16:25) [3]

> NeyroSpace © (13.10.04 16:05)

Он видимо отлавливает событие завершения работы программы и прописывает заново. В этом случае попробуй рискнуть после чистки реестра и диска нажать Reset. Хотя совет глюпый ;)

← →
Mihey_temporary © (2004-10-13 16:29) [4]

Проблема со спай-варом серьёзная. Вчера сижу, никого не трогаю - бац, какая-то гадость хочет запуститься из C:\temp. Как она туда попала - чёрт его знает, но уже упела себя прописать повсюду. Еле вылечился (а может и нет). В общем, Firewall, Ad-aware и антивирь - обязательный стандарт.

← →
Anatoly Podgoretsky © (2004-10-13 16:39) [5]

Солнце, воздух и вода - наши лучшие друзья!

← →
DSKalugin © (2004-10-13 16:48) [6]

Я сегодня тоже вылавливал у одного пользователя гадов
в числе пойманных паразитов были
lihmjqf.exe
msbb.exe (после старта винды занял 44Мб памяти TrojanDropper.Win32.Delf.z)
optjsxgx.exe (TrojanDownloader.Win32.Agent.ae)
winSync.exe (Trojan Horse)
bargains.exe
conscorr.exe (TrojanDownloader.Win32.Stubby.c)

А перед этим еще с другим ПК боролся уххх директорская домашняя машинка нахваталась :-))))) Отослал Касперскому новые образцы, они поблагодарили за пополнение базы.

← →
NeyroSpace © (2004-10-13 17:07) [7]

>DSKalugin © (13.10.04 16:48) [6]
>msbb.exe
>conscorr.exe

Во-во знакомые все лица! А что же будет когда компьютеризация достигнет 100% населения?

Кстати очень интересно понаблюдать на работой Касперского.
В ...user\local settings\temp
находятся 4 файла:
conscorr.cab (внутри эти же 3и файла)
conscorr.exe
conscorr.inf (читабелен)
conscorr.ini (зашифрован)

После обновления баз он нашел только conscorr.exe в
...user\local settings\temp
причем удалил только распакованный ехе, оставив conscorr.cab с (conscorr.exe, conscorr.ini, conscorr.inf) и распакованные conscorr.inf и conscorr.ini. Наверное дает вирусу 2й шанс :-) как кошка мышке.
А на действующий conscorr.exe в c:\windows\ вообще чихать хотел.

2 NeyroSpace

Чем я не люблю каспера так это за его тяжеловесные настройки
видимо, не стоит галка типа "сканировать архивы" и "искать в скрытых сиспапках".
не говоря уже о тормозах.

Я пользую Нортона. Но он меня рачаровал. Именно он пропустил все эти файлы со свежайшим обновлением.

Даже и не знаю что теперь ставить. Достойными считаю NOD32 и trend Micro.

Попробуйте AVG Antivirus (бесплатная и обновления. http://free.grisoft.com/freeweb.php/doc/2/) и Ad-Aware 6.0 ( тоже бесплатная http://www.lavasoftusa.com/software/adaware/).
Эти хоть и бесплатные, но не ставят ничего кроме себя. :-)

Меня уже достали эти SpyWare проги!!!!!! Найти похожие ветки