Форум: "Прочее";
Текущий архив: 2006.06.04;
Скачать: [xml.tar.bz2];
ВнизКак определить-какая программа перезаписывает файл explorer.exe? Найти похожие ветки
← →
Volf_555 © (2006-05-06 20:12) [0]После переустановки системы через некоторое время начали произвольно открываться сайты через определённое время.
Просмотрел все пути автозагрузки которые знал - ничего лишнего нет
в процессах в диспетчере задач запущено всё что и должно быть
Решил сравнить файл explorer.exe с оригинальным - и тут облом!
Оригинальный файл explorer.exe весит 978 KB
А тот что системный в папке Windows - 984 KB, то есть на 6 KB больше!
При замени этого файла оригинальным, через ~5 секунд он снова перезаписывается вирусным файлом...
Как определить - какая программа или DLL производит перезапись этого файла?
← →
unknown © (2006-05-06 20:14) [1]А если антивирус и файрвол поставить?
← →
Anatoly Podgoretsky © (2006-05-06 20:28) [2]Что опять, ну сколько же можно по граблям ходить
← →
Volf_555 © (2006-05-06 20:47) [3]
> unknown © (06.05.06 20:14) [1]
> А если антивирус и файрвол поставить?
Стоит антивирус - не помагает
> Anatoly Podgoretsky © (06.05.06 20:28) [2]
> Что опять, ну сколько же можно по граблям ходить
Подскажите лучшую защиту!
Стоит каспер, оутпост пока что не ставлю, так как проблемы с настройками (после установки оутпоста интернет перестаёт работать - до провайдера дозванивается, но страницы никакие не открываются...)
← →
Eraser © (2006-05-06 20:49) [4]
> Volf_555 © (06.05.06 20:47) [3]
nod32
← →
Лшдлуттнсфе (2006-05-06 20:51) [5]Panda
← →
vrem (2006-05-06 20:57) [6]ghost
← →
Anatoly Podgoretsky © (2006-05-06 21:00) [7]PowerOff
← →
ЛшдлуттнСфе (2006-05-06 21:22) [8]
> Anatoly Podgoretsky © (06.05.06 21:00)
Это хардварный антивир-файрвол?
← →
Cash © (2006-05-06 21:38) [9]> Volf_555 © (06.05.06 20:47) [3]
Nod32 + Kerio Personal Firewall 4.2
← →
homm © (2006-05-06 22:06) [10]
> какая программа перезаписывает файл explorer.exe?
Ты будеш смеятся, но это explorer.exe
← →
antonn © (2006-05-07 06:20) [11]Volf_555 © (06.05.06 20:12)
такая же фигня. не могу избавиться.
Но, у меня explorer.exe не модифицирован. Открываются сайты при задействии iexplorer в новом окне, обычно "филост.ком" и подобные. Либо рушит explorer с ошибкой, и иногда открывает для дебага в дельфи:)
Те, кому я доверил компутер на пару дней, говорят, что ничего не трогали:) Как обычно, в общем.
Долго просматрил атозагрузку и собсно процессы. Простмотрел службы (бывало иногда, какая нить левая появится). Реестр сканил. Ничего! Переворошил папки windows,system32 и dllcash. Каспер нашел 2 вирусных файла (intern.exe) в каталоге Виндовоза. Удалил.
Но все равно ничего не исправилось.
Техподдержка каспера сказала, что это вирус, который при первой инициализации устанавливает, то ли расширение, то ли плугин в explorer, т.ч. с "вирусной" стороны все чисто - обычная программка, открывающая сайт в новом окне... Но у авторов этого вируса руки из жопы растут, т.к. в большинстве случаев explorer рушится.
При пользовании для серфинга фаерфокса ничего не открывается и не рушится. Как только в iexplorer открывается новая страница - аминь...
вот и сам пытаюсь найти, где же эта сволочь спрятана, но пока тщетно...
И где можно было бы глянуть список этих расширений/плугинов?
и еще такая неприятная вещь случилась - "отключена" "Программа просмотра изображений и факсов" из стандартной поставки, и все, что с ней связано(она и не запускается). Т.е. когда я вид папки ставлю на "Плитка" и выше, то появляются миниатюры изображений/видео. Сейчас этого нет, просто большие ярлыки. Так же, в сайдбаре слева, при выделении картинки обычно выводится ее миниатюра и размер(габаритный:)), сейчас этого тоже нет.
Кто нибудь знает, как это включить? :) Просто думаю, что где то выключено...
← →
sniknik © (2006-05-07 10:26) [12]кроме антивирусов есть еще полезные программы (многие почемуто думают, что антивирус панацея от всего...)
удаление "эдэваре" программ
http://www.lavasoft.de/
пнкт меню Ad-Aware Personal (бесплатная версия для личного использования)
скачать - установить - запустить - обновить базу вредных программм (предложит) - просканировать все диски.
гарантированно чтонибудь да найдет, если ничем подобным ранее не пользовались.
просмотр с возможным "дизейблом" или удалением автостартующих, встроенных в експлорер, "активхсов" и т.д. программ
http://browsersentinel.com/download-browser-sentinel.htm демо версия на 30 дней.
(удалять в ней осторожно! некоторые программы всетаки нужны ;), они от виндовса. все лишнее что покажет надо убрать, решать что это самим придется ;)
ну и под конец, поправить все что вам там вирусы в системе натворили (или неправельные программы/сетапы и т.д.) программа лечения системы
http://www.registryfix.com/ демо версия, лечит ограниченное число багов.
← →
ECM © (2006-05-07 11:12) [13]
> просмотр с возможным "дизейблом" или удалением автостартующих,
> встроенных в експлорер, "активхсов" и т.д. программ
> http://browsersentinel.com/download-browser-sentinel.htm
> демо версия на 30 дней
Не мене (а то и более) мощная программа для этих целей (FreeWare)
http://www.sysinternals.com/utilities/autoruns.html
← →
sniknik © (2006-05-07 11:35) [14]ECM © (07.05.06 11:12) [13]
а слежение за реестром/етс. в ней есть?
в смысле, browser sentinel + к только просмотру еще и как файрвол для этих мест которые просматривает работает, если кто изменяет скажем страницу по умолчанию в експлорере, или автозагрузочную программу ставит он выдаст предупреждение с подтверждением действия. (по порнушным сайтам лазить самое то, только и успевай на отказы нажимать ;о)))
если есть то конечно стоит заменить, и в любом случае бесплатное не помешает.
← →
ECM © (2006-05-07 11:43) [15]
> а слежение за реестром/етс. в ней есть?
В ней нет.. но на SysInternals есть куча полезностей (некоторые даже с исходниками :). Слежение есть отдельно
> файрвол для этих мест
http://www.sysinternals.com/Utilities/Regmon.html
ИМХО лучший фаервол для этих целей - обычное назначение прав доступа к веткам. И не лазить где попало под административной учетной записью :)))
← →
ECM © (2006-05-07 11:44) [16]Сорри - эти строки надо поменять местами :)
> файрвол для этих мест
http://www.sysinternals.com/Utilities/Regmon.html
← →
sniknik © (2006-05-07 11:58) [17]> В ней нет.. но на SysInternals есть куча полезностей (некоторые даже с исходниками :).
это в курсе, что много всего, portmon (тоже оттуда) так вообще какоето время была одной из основных программ (писали аналог, попроще и для других целей. т.е. скан порта было не самоцель. эту использовали за "эталон" ;).
> Слежение есть отдельно
regmon, ну это судя по всему только за реестром. т.е. смену страницы по умолчанию не отследит... или отследит?, оно же тоже в реестре сохраняется...
ну да ладно, дело привычки похоже, к тому я уже привык, удобнее кажется. не буду менять.
← →
ArtemESC © (2006-05-07 12:59) [18]Volf_555 © (06.05.06 20:12) [0]
А ты чтоже думал тебе порно просто так показывать будут...
← →
Volf_555 © (2006-05-08 13:04) [19]
> homm © (06.05.06 22:06) [10]
>
> > какая программа перезаписывает файл explorer.exe?
>
> Ты будеш смеятся, но это explorer.exe
Смеяться не буду:
если завершить explorer.exe через диспетчер задач, а потом перейти Файл - Новая задача (Выполнить...) - Обзор..., перейти в папку Windows и удалить explorer.exe, то через 5 секунд появится новый explorer.exe
Как он мог появиться без внешних программ/dll...? Explorer.exe ведь не запущеный! Значит он себя и не перезаписывает
antonn © (07.05.06 06:20) [11]
Я проверял следующим образом:
1) скопировал с системной дискеты файл extract.exe в папку "A"
2) скопировал файл \i386\EXPLORER.EX_ в папку "A"
(под папкой "A" подразумеваю одинаковый каталог для 1 и 2 пунктов
3) запустил cmd.exe, перешёл в папку "A"
4) написал: extract explorer.ex_
5) запомнил размер извлечённого файла explorer.exe
6) перешёл в папку %WinDir%
7) и сравнил размеры explorer.exe - файлов - они оказались разными
Если размеры этих файлов одинаковы, то может у тебя под шелом используется не explorer.exe, а другая прога?
Прога, взятая с сайта http://www.sysinternals.com/utilities/autoruns.html ничего лишнего не показывает
> ArtemESC © (07.05.06 12:59) [18]
:)))))))))))))))))
Если настроить свой комп должным образом, то никакие сайты не страшны
По поводу антивирусов: надо опрос провести - кто за какой антивирус, а то все про разные говорят - глаза аж разбегаются!!!!!!!!!!!!!!!!!!!!!!!
← →
Virgo_Style © (2006-05-08 13:20) [20]Volf_555 © (08.05.06 13:04) [19]
По поводу антивирусов: надо опрос провести - кто за какой антивирус, а то все про разные говорят - глаза аж разбегаются!!!!!!!!!!!!!!!!!!!!!!!
Так при опросе опять все разное скажут)
А кстати, есть ли в природе (интернете %-) ) наборы вирусов и прочей нечисти для тестирования антивирусов? Конечно, желательно не от производителей антивирусов, которые этот список могут в свою пользу подредактировать ;-)
P.S. Прошу прощения за некоторый оффтоп )
← →
homm © (2006-05-08 13:21) [21]
> [19] Volf_555 © (08.05.06 13:04)
Ну е мае, сколько можно ламирить. Ты о папке DllCache ничего не слышал? Надо а Safe mode заменить explorer.exe в папке \windows и \windows\system32\dllcache. В [10] я имел ввиду что это не какая-нибудь програма сторонняя делает, а система, частью которой и является explorer.exe, т.е. назвав его я не имел ввиду его самого :)
← →
Volf_555 © (2006-05-08 14:09) [22]
> homm © (08.05.06 13:21) [21]
Теперь догнал, где и что изменять надо :)
Только в Safe Mode заходить не пришлось, explorer.exe нормально заменился и в обычном режиме
← →
Nick Denry © (2006-05-08 18:47) [23]Linux ставь. И никакого explorer.exe :)
← →
TStas © (2006-05-08 20:11) [24]CareFree неплохая защита
← →
Eraser © (2006-05-08 21:41) [25]ещё один совет - используй браузер НЕ IE. Т.к. специально под ie уж очень много различного рода вредительских программ написано, на порядки больше чем для остальных браузеров.
← →
Volf_555 © (2006-05-09 02:41) [26]
> homm © (08.05.06 13:21) [21]
Не помогло...
По прежнему explorer.exe заменяется и автоматически открывается сайт h**p://540.filost.com/randomsites/banner.aspx (вирусный)
> Nick Denry © (08.05.06 18:47) [23]
Многие проги под него не идут...
> TStas © (08.05.06 20:11) [24]
> CareFree неплохая защита
Где инфу прочитать про эту прогу? В Гугле не нашёл
> Eraser © (08.05.06 21:41) [25]
> ещё один совет - используй браузер НЕ IE. Т.к. специально
> под ie уж очень много различного рода вредительских программ
> написано, на порядки больше чем для остальных браузеров.
>
Согласен. Только на что переходить? Опера более менее, но не устраивает то, что при сохранении страниц в ИМЯ ФАЙЛА вписывается не заголовок страницы, а имя web-файла - это раз, второе - невозможно сохранять страницы в формате MHT (веб-архив, один файл), в-третьих - при сохранении веб-файла с рисунками, рисунки сохраняются не в дополнительной папке, а вместе с веб-файлом - в итоге получается бред...
← →
Сорс (2006-05-09 02:57) [27]Volf_555 © (09.05.06 02:41) [26]
Уже скоро год как использую ФайрФокс и очень даволен. Раньше тоже так мучился, а ФайрФокс видно пока малопопулярен, поэтому под него или не пишут, или пишут мало вирусов. Тьфу, тьфу, тьфу.
ИЕ использую только, чтобы сохранять странички. Чтобы в одном стиле всё было.
http://www.mozilla.ru/
Напиши Касперскому в техподдержку. Я как то переписывался с ними, может и тебе помогут.
← →
Сорс (2006-05-09 02:59) [28]
> Volf_555 © (09.05.06 02:41) [26]
У тебя каждые 5 минут сайты открываются когда ИЕ запущен, или даже когда не запущен, то тоже?
← →
Volf_555 © (2006-05-09 03:08) [29]
> Сорс (09.05.06 02:57) [27]
В основном открывается этот сайт при первом запуске ИЕ, но спустя некоторое время (15-20 минут) этот сайт открывается снова.
← →
Сорс (2006-05-09 03:13) [30]Значит поставь Мозиллу и не запускай ИЕ пока не вчистишь вирус.
Кстати, а может быть так, что вирус прячестя в памяти, куда попадает после первого запуска ИЕ ?
← →
antonn © (2006-05-09 07:33) [31]Volf_555 © (09.05.06 2:41) [26]
По прежнему explorer.exe заменяется и автоматически открывается сайт
в папке windows/system32/vbsys.dll (примерно так пишется, ~88 КБ)
кстати, начиная со вчерашних обновлений баз касперыч уже его определяет. Быстро сработали:)
я им написал еще 7го...
а насчет "Программа просмотра изображений и факсов" кто нибудь знает?
← →
Volf_555 © (2006-05-09 12:46) [32]
> Сорс (09.05.06 03:13) [30]
> Кстати, а может быть так, что вирус прячестя в памяти, куда
> попадает после первого запуска ИЕ ?
Точно не знаю, но может быть всё
> antonn © (09.05.06 07:33) [31]
> Volf_555 © (09.05.06 2:41) [26]
> По прежнему explorer.exe заменяется и автоматически открывается
> сайт
> в папке windows/system32/vbsys.dll (примерно так пишется,
> ~88 КБ)
> кстати, начиная со вчерашних обновлений баз касперыч уже
> его определяет. Быстро сработали:)
> я им написал еще 7го...
Точно! Обновил базы каспера - и сразу новый вирус обнаружился, файл называется vbsys2.dll
> antonn © (09.05.06 07:33) [31]
> а насчет "Программа просмотра изображений и факсов" кто
> нибудь знает?
Эта программа идёт в комплекте с Windows и устанавливается по умолчанию для просмотра изображений
← →
antonn © (2006-05-09 14:56) [33]Volf_555 © (09.05.06 12:46) [32]
Эта программа идёт в комплекте с Windows и устанавливается по умолчанию для просмотра изображений
это я знаю, у меня проблемы из второго абзаца поста [11] :)
← →
ArtemESC © (2006-05-09 18:24) [34]Volf_555 © (09.05.06 12:46) [32]
h**p://540.filost.com/randomsites/banner.aspx - знаю я эти ссылочки,
долго мучился (пытался разобратся) - помогла только перестановка Windows. Действительно, переустанови Windows и давай заканчивай
"лазить"...
← →
antonn © (2006-05-09 19:06) [35]ArtemESC © (09.05.06 18:24) [34]
помогла только перестановка Windows.
подождал бы до сегодня, и не надо было переустанавливать:)
файлик можно даже руками удалить, он все равно сам не запускается:)
← →
Dead Man (2006-05-09 22:29) [36]> Volf_555 © (09.05.06 02:41) [26]
> Опера более менее, но не устраивает то... а
> имя web-файла - это раз, второе - невозможно сохранять
> страницы в формате MHT (веб-архив, один файл)
Возможно. В 9 версии точно.
← →
SkyRanger © (2006-05-10 07:41) [37]Avast.com
Поставь. Потом согласися на проверку после перезагрузки и он тебе проверит все диски вылечит все что можно :)
← →
psa247 © (2006-05-10 08:11) [38]
> Volf_555 © (06.05.06 20:12)
Периодически надо делать резервные копии системного диска. Желательно, на болванки сразу писать.
← →
SkyRanger © (2006-05-10 09:04) [39]угу а лучше образ со свежеустановленной системой. Тоды если что. Просто Reastore Image и все дела...
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2006.06.04;
Скачать: [xml.tar.bz2];
Память: 0.56 MB
Время: 0.042 c