Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Потрепаться";
Текущий архив: 2004.12.26;
Скачать: [xml.tar.bz2];

Вниз

Убить зверя на компе....   Найти похожие ветки 

 
NailMan ©   (2004-12-08 12:10) [0]

Есть юзерский комп с какой-то зверью. Зверь висит в процессах в 2-х копиях и следит друг за другом чтобы не закрыли одну из них. Если закрываю, то она автоматом запускается вновь. Все это очень быстро делается. Кроме того тварь грузится в авторане HCU, а не HKLM.

Если гружусь в сейф мод то естественно я не имею доступа к этому разделу юзверя, так как сеть с доменом.

Каспер и прочие антивири его порубать не могут - процесс убить не получается. Есть какие-то решения проблемы?


 
stud ©   (2004-12-08 12:11) [1]

сафе моде. пробуй убить оттуда


 
NailMan ©   (2004-12-08 12:12) [2]

А, пардон он еще и в HKLM запускается  :-(

---
WBR, NailMan aka 2:5020/3337.13


 
wicked ©   (2004-12-08 12:13) [3]

убить из-под Far"а - там есть пакетный режим убиения, выделил и F8...


 
raidan ©   (2004-12-08 12:13) [4]

>NailMan ©   (08.12.04 12:10)  
А если убить тварь из всех авторанов, а потом жмакнуть Reset?
Должна помереть, ибо не запустится.


 
NailMan ©   (2004-12-08 12:14) [5]

raidan ©
Реестр он проверяет с той же частотой что и свою запущенную копию. Пробовал - сразу же появляется вновь.

---
WBR, NailMan aka 2:5020/3337.13


 
stud ©   (2004-12-08 12:14) [6]


> А если убить тварь из всех авторанов, а потом жмакнуть
> Reset?

так процессы,запущенные следят за всем этим хозяйством


 
Digitman ©   (2004-12-08 12:15) [7]


> с какой-то зверью


Касперский-то, пусть он "зверя" и не прибил, но ведь как-то обозвал его породу, наверно ?

А раз обозвал, почему не найти на сайте Лаборатории описание логики внедрения и работы "зверя" ? Вслепую тыкаться - дороже себе встанет ..


 
NailMan ©   (2004-12-08 12:18) [8]

Кроме того обнаружилось что зверь время от времени меняет свое расположение на винте, меняет и имя экзешника и пути в авторане, причем в HKLM и HCU разные имена.

Всегда меняет свои расположения и имена при перезагрузках системы.

Блин и раздел на NTFS-е, ресетом хотел избежать переименования и физически удалить - обломс!   :-(

---
WBR, NailMan aka 2:5020/3337.13


 
raidan ©   (2004-12-08 12:19) [9]

>NailMan ©   (08.12.04 12:14) [5]
В таких случаях я выдирал винт, ставил на другую машину и вычищал тварь под корень. Путем физического удаления с жесткого диска (в авторане ведь написано, где она живет). Стоит поискать еще и другие экземпляры этой гадины по винчестеру.


 
NailMan ©   (2004-12-08 12:21) [10]

Digitman ©
Каспер его не задетектил, а NAV попросту завис на каком-то проценте.    
8-[ ]

Выкорчую, обязательно отошлю бяку Касперскому - пущай разбирается.

Файло между прочим дельфевское - иконка от 6-й Дельфи. Зверь собсно все время устанавливает ярлыки на какое-то порно-приложеньце, которое время от времени запускает. Причем также бережно следит за его существованием на компе, как и за собой.

---
WBR, NailMan aka 2:5020/3337.13


 
Игорь Шевченко ©   (2004-12-08 12:28) [11]

А загрузиться без авторанов в безопасном режиме религия мешает ?
Или хотя бы Bootlog посмотреть


 
Anatoly Podgoretsky ©   (2004-12-08 12:31) [12]

Почему бы не использовать проверенный и надежный путь? Format c: а то кто его знает какие там еще звери бродят, за это время что ты мучаешься давно бы уже переустановил всю систему.


 
Суслик ©   (2004-12-08 12:32) [13]

А вдруг format c: тоже заражен?


 
Маг Похмеляйнен   (2004-12-08 12:34) [14]

Попробовать под админом переименовать *.exe в *.bak
Иногда прокатывает.


 
NailMan ©   (2004-12-08 12:37) [15]

Блин - комп Dell-овский ноут на гарантии. Я бы его раскрутил бы и переходником к нормальной машине, но гарантия может быть и того.

---
WBR, NailMan aka 2:5020/3337.13


 
Vovchik_A ©   (2004-12-08 12:38) [16]

2NailMan ©   (08.12.04 12:21) [10]

Версию NAV озвучь ?


 
NailMan ©   (2004-12-08 13:10) [17]

Vovchik_A ©
7.60.926

---
WBR, NailMan aka 2:5020/3337.13


 
AxelBlack   (2004-12-08 13:17) [18]

>NailMan ©   (08.12.04 12:37) [15]
Ne nado ego raskruchivat" ves". Vykruti tol"ko HDD - sboku na vinte boltik. Tam ne dolzno byt" nikakah plomb. I podsoedinyaj kuda hochesh".
No luchshe ---> see Игорь Шевченко ©   (08.12.04 12:28) [11]


 
Vovchik_A ©   (2004-12-08 13:18) [19]

2NailMan ©   (08.12.04 13:10) [17]
Хм... У меня 9-ка
А оставь где-нить экземпляр этой хрени. Мне интересно поковыряться


 
Digitman ©   (2004-12-08 13:31) [20]


> NailMan ©   (08.12.04 12:10)  


загляни в
Mой компьютер -> Свойства системы -> Менеджер устройств -> Non plug"n"play Драйверы

скорей всего обнаружишь там активный драйвер режима ядра, который "зверь" установил при заражении системы, и теперь этот драйвер стартует вместе с системой и ему подконтрольны все происходящие в системе события


 
NewDelpher ©   (2004-12-08 13:41) [21]

я бы тоже не отказался посмотреть на этого зверя


 
Кудесник ©   (2004-12-08 14:55) [22]


> Vovchik_A ©   (08.12.04 13:18) [19]
> А оставь где-нить экземпляр этой хрени. Мне интересно поковыряться

> NewDelpher ©   (08.12.04 13:41) [21]
> я бы тоже не отказался посмотреть на этого зверя


И выставил NailMan вируса
И разошлось потомство его по миру
Узнали об этом дядьки злобные
Пришли к NailMan"у и оставили ему
Один монитор с клавою... Ибо нефих... %)


 
n_v_j   (2004-12-08 15:10) [23]

Так в диспетчере задач вроде должно быть кроме "завершить процесс" "завершить дерево процессов", всегда против подобных зверей помогало



Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2004.12.26;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.5 MB
Время: 0.042 c
8-1096288451
Fox_19
2004-09-27 16:34
2004.12.26
Проблема с изображениями


1-1102841605
Russko
2004-12-12 11:53
2004.12.26
Проверка на существование формы


14-1102280836
noname:)
2004-12-06 00:07
2004.12.26
Зацените прогу


1-1102693516
Frozzen
2004-12-10 18:45
2004.12.26
Не могу считать файл в буфер!


14-1102314317
Vlad Oshin
2004-12-06 09:25
2004.12.26
Наконец нашел в нашей дыре контору, где реально надо писать





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский