Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2004.10.31;
Скачать: [xml.tar.bz2];

Вниз

Меня уже достали эти SpyWare проги!!!!!!   Найти похожие ветки 

 
NeyroSpace ©   (2004-10-13 16:05) [0]

Где юзеры набирают этого дерьма?! И ладно бы все были как GATOR.EXE удалил и все, но ведь попадаются и наредкость живучие экземпляры.
Сейчас разбираюсь с одним из них:
WinXP в каталоге WINDOWS живет файл conscorr.exe
и conscorr.ini
INI зашифрован:
?знн?зз?????л?зао??ЦЦГЮЙ????????????????????????????????????ЗУ?е???л
?знн?зз?????в???ЮГООБ????????????????л???к???????л???????ТЮк?и
?знн?зз?????лнд?ЮГООБ?????????б??к???????й???лж???????б??ТЮга?
йЫЧР?БСЖ?л?Й??а??????ла??????????????й???к????ж?П
?ЖСЖ?л???????
?АНЩУК?СФЫРЛ????ЬЬЦСУЛЦ??????????МЛСФЫ???
?ОЫБоАбЪЯМЙЫБ??
гКГА?????
?АМЖТ???
?ОЫ???
?Э??

До меня ехе сидел в автозагрузке, в Process Explorer левых процессов не наблюдалось. Автозагрузку убрал, ехе и ini удалил. Перегружаюсь ехе и ini на прежнем месте. Касперский молчит, но он вообще на 99% подобных прог не реагирует.


 
NeyroSpace ©   (2004-10-13 16:13) [1]

внутри ехе видно несколько констант в том числе:
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Смотрю что там, а там раздел с сылкой на объект {ххххххх-ххххх-хххххххххххххх}
Ищю его по реетру - точно левая DLL.
К чему я это? У меня вопрос:
Где можно почитать про объекты реестра, которые имеют странные имена {ххххххх-ххххх-хххххххххххххх}? По какому принципу формируются эти номера?


 
Anatoly Podgoretsky ©   (2004-10-13 16:21) [2]

GUID


 
cyborg ©   (2004-10-13 16:25) [3]


> NeyroSpace ©   (13.10.04 16:05)

Он видимо отлавливает событие завершения работы программы и прописывает заново. В  этом случае попробуй рискнуть после чистки реестра и диска нажать Reset. Хотя совет глюпый ;)


 
Mihey_temporary ©   (2004-10-13 16:29) [4]

Проблема со спай-варом серьёзная. Вчера сижу, никого не трогаю - бац, какая-то гадость хочет запуститься из C:\temp. Как она туда попала - чёрт его знает, но уже упела себя прописать повсюду. Еле вылечился (а может и нет). В общем, Firewall, Ad-aware и антивирь - обязательный стандарт.


 
Anatoly Podgoretsky ©   (2004-10-13 16:39) [5]

Солнце, воздух и вода - наши лучшие друзья!


 
DSKalugin ©   (2004-10-13 16:48) [6]

Я сегодня тоже вылавливал у одного пользователя гадов
в числе пойманных паразитов были
lihmjqf.exe
msbb.exe (после старта винды занял 44Мб памяти TrojanDropper.Win32.Delf.z)
optjsxgx.exe (TrojanDownloader.Win32.Agent.ae)
winSync.exe (Trojan Horse)
bargains.exe
conscorr.exe (TrojanDownloader.Win32.Stubby.c)

А перед этим еще с другим ПК боролся уххх директорская домашняя машинка нахваталась :-))))) Отослал Касперскому новые образцы, они поблагодарили за пополнение базы.


 
NeyroSpace ©   (2004-10-13 17:07) [7]

>DSKalugin ©   (13.10.04 16:48) [6]
>msbb.exe
>conscorr.exe

Во-во знакомые все лица! А что же будет когда компьютеризация достигнет 100% населения?


 
NeyroSpace ©   (2004-10-13 17:20) [8]

Кстати очень интересно понаблюдать на работой Касперского.
В ...user\local settings\temp
находятся 4 файла:
conscorr.cab (внутри эти же 3и файла)
conscorr.exe
conscorr.inf (читабелен)
conscorr.ini (зашифрован)

После обновления баз он нашел только conscorr.exe в
...user\local settings\temp
причем удалил только распакованный ехе, оставив conscorr.cab с (conscorr.exe, conscorr.ini, conscorr.inf) и распакованные conscorr.inf и conscorr.ini. Наверное дает вирусу 2й шанс :-) как кошка мышке.
А на действующий conscorr.exe в c:\windows\ вообще чихать хотел.


 
DSKalugin ©   (2004-10-13 19:35) [9]

2 NeyroSpace

Чем я не люблю каспера так это за его тяжеловесные настройки
видимо, не стоит галка типа "сканировать архивы" и "искать в скрытых сиспапках".
не говоря уже о тормозах.

Я пользую Нортона. Но он меня рачаровал. Именно он пропустил все эти файлы со свежайшим обновлением.

Даже и не знаю что теперь ставить. Достойными считаю NOD32 и trend Micro.


 
Мазут Береговой ©   (2004-10-13 20:13) [10]

Попробуйте AVG Antivirus (бесплатная и обновления. http://free.grisoft.com/freeweb.php/doc/2/) и Ad-Aware 6.0 ( тоже бесплатная http://www.lavasoftusa.com/software/adaware/).
Эти хоть и бесплатные, но не ставят ничего кроме себя. :-)



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2004.10.31;
Скачать: [xml.tar.bz2];

Наверх





Память: 0.47 MB
Время: 0.035 c
1-1097705573
saNat
2004-10-14 02:12
2004.10.31
Как убрать курсор в TMemo


4-1096021148
Antonmm2
2004-09-24 14:19
2004.10.31
Форматирование диска


14-1095526626
kaif
2004-09-18 20:57
2004.10.31
Странное затишье


1-1097739709
AlexanderSK
2004-10-14 11:41
2004.10.31
Есть ли в дельфи константа для обозначения конца строки?


1-1098254696
Zirf
2004-10-20 10:44
2004.10.31
Как QuickReport е принудительно создать несколько страниц





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский