Как определить-какая программа перезаписывает файл explorer.exe?

← →
Volf_555 © (2006-05-06 20:12) [0]

После переустановки системы через некоторое время начали произвольно открываться сайты через определённое время.
Просмотрел все пути автозагрузки которые знал - ничего лишнего нет
в процессах в диспетчере задач запущено всё что и должно быть
Решил сравнить файл explorer.exe с оригинальным - и тут облом!

Оригинальный файл explorer.exe весит 978 KB
А тот что системный в папке Windows - 984 KB, то есть на 6 KB больше!
При замени этого файла оригинальным, через ~5 секунд он снова перезаписывается вирусным файлом...

Как определить - какая программа или DLL производит перезапись этого файла?

← →
unknown © (2006-05-06 20:14) [1]

А если антивирус и файрвол поставить?

← →
Anatoly Podgoretsky © (2006-05-06 20:28) [2]

Что опять, ну сколько же можно по граблям ходить

← →
Volf_555 © (2006-05-06 20:47) [3]

> unknown © (06.05.06 20:14) [1]
> А если антивирус и файрвол поставить?

Стоит антивирус - не помагает

> Anatoly Podgoretsky © (06.05.06 20:28) [2]
> Что опять, ну сколько же можно по граблям ходить

Подскажите лучшую защиту!
Стоит каспер, оутпост пока что не ставлю, так как проблемы с настройками (после установки оутпоста интернет перестаёт работать - до провайдера дозванивается, но страницы никакие не открываются...)

← →
Eraser © (2006-05-06 20:49) [4]

> Volf_555 © (06.05.06 20:47) [3]

nod32

← →
Лшдлуттнсфе (2006-05-06 20:51) [5]

Panda

← →
vrem (2006-05-06 20:57) [6]

ghost

← →
Anatoly Podgoretsky © (2006-05-06 21:00) [7]

PowerOff

← →
ЛшдлуттнСфе (2006-05-06 21:22) [8]

> Anatoly Podgoretsky © (06.05.06 21:00)

Это хардварный антивир-файрвол?

← →
Cash © (2006-05-06 21:38) [9]

> Volf_555 © (06.05.06 20:47) [3]
Nod32 + Kerio Personal Firewall 4.2

← →
homm © (2006-05-06 22:06) [10]

> какая программа перезаписывает файл explorer.exe?

Ты будеш смеятся, но это explorer.exe

← →
antonn © (2006-05-07 06:20) [11]

Volf_555 © (06.05.06 20:12)
такая же фигня. не могу избавиться.
Но, у меня explorer.exe не модифицирован. Открываются сайты при задействии iexplorer в новом окне, обычно "филост.ком" и подобные. Либо рушит explorer с ошибкой, и иногда открывает для дебага в дельфи:)
Те, кому я доверил компутер на пару дней, говорят, что ничего не трогали:) Как обычно, в общем.
Долго просматрил атозагрузку и собсно процессы. Простмотрел службы (бывало иногда, какая нить левая появится). Реестр сканил. Ничего! Переворошил папки windows,system32 и dllcash. Каспер нашел 2 вирусных файла (intern.exe) в каталоге Виндовоза. Удалил.
Но все равно ничего не исправилось.
Техподдержка каспера сказала, что это вирус, который при первой инициализации устанавливает, то ли расширение, то ли плугин в explorer, т.ч. с "вирусной" стороны все чисто - обычная программка, открывающая сайт в новом окне... Но у авторов этого вируса руки из жопы растут, т.к. в большинстве случаев explorer рушится.
При пользовании для серфинга фаерфокса ничего не открывается и не рушится. Как только в iexplorer открывается новая страница - аминь...
вот и сам пытаюсь найти, где же эта сволочь спрятана, но пока тщетно...
И где можно было бы глянуть список этих расширений/плугинов?

и еще такая неприятная вещь случилась - "отключена" "Программа просмотра изображений и факсов" из стандартной поставки, и все, что с ней связано(она и не запускается). Т.е. когда я вид папки ставлю на "Плитка" и выше, то появляются миниатюры изображений/видео. Сейчас этого нет, просто большие ярлыки. Так же, в сайдбаре слева, при выделении картинки обычно выводится ее миниатюра и размер(габаритный:)), сейчас этого тоже нет.
Кто нибудь знает, как это включить? :) Просто думаю, что где то выключено...

← →
sniknik © (2006-05-07 10:26) [12]

кроме антивирусов есть еще полезные программы (многие почемуто думают, что антивирус панацея от всего...)

удаление "эдэваре" программ
http://www.lavasoft.de/
пнкт меню Ad-Aware Personal (бесплатная версия для личного использования)
скачать - установить - запустить - обновить базу вредных программм (предложит) - просканировать все диски.
гарантированно чтонибудь да найдет, если ничем подобным ранее не пользовались.

просмотр с возможным "дизейблом" или удалением автостартующих, встроенных в експлорер, "активхсов" и т.д. программ
http://browsersentinel.com/download-browser-sentinel.htm демо версия на 30 дней.
(удалять в ней осторожно! некоторые программы всетаки нужны ;), они от виндовса. все лишнее что покажет надо убрать, решать что это самим придется ;)

ну и под конец, поправить все что вам там вирусы в системе натворили (или неправельные программы/сетапы и т.д.) программа лечения системы
http://www.registryfix.com/ демо версия, лечит ограниченное число багов.

← →
ECM © (2006-05-07 11:12) [13]

> просмотр с возможным "дизейблом" или удалением автостартующих,
> встроенных в експлорер, "активхсов" и т.д. программ
> http://browsersentinel.com/download-browser-sentinel.htm
> демо версия на 30 дней

Не мене (а то и более) мощная программа для этих целей (FreeWare)
http://www.sysinternals.com/utilities/autoruns.html

← →
sniknik © (2006-05-07 11:35) [14]

ECM © (07.05.06 11:12) [13]
а слежение за реестром/етс. в ней есть?
в смысле, browser sentinel + к только просмотру еще и как файрвол для этих мест которые просматривает работает, если кто изменяет скажем страницу по умолчанию в експлорере, или автозагрузочную программу ставит он выдаст предупреждение с подтверждением действия. (по порнушным сайтам лазить самое то, только и успевай на отказы нажимать ;о)))

если есть то конечно стоит заменить, и в любом случае бесплатное не помешает.

← →
ECM © (2006-05-07 11:43) [15]

> а слежение за реестром/етс. в ней есть?

В ней нет.. но на SysInternals есть куча полезностей (некоторые даже с исходниками :). Слежение есть отдельно

> файрвол для этих мест

http://www.sysinternals.com/Utilities/Regmon.html
ИМХО лучший фаервол для этих целей - обычное назначение прав доступа к веткам. И не лазить где попало под административной учетной записью :)))

← →
ECM © (2006-05-07 11:44) [16]

Сорри - эти строки надо поменять местами :)

> файрвол для этих мест

http://www.sysinternals.com/Utilities/Regmon.html

← →
sniknik © (2006-05-07 11:58) [17]

> В ней нет.. но на SysInternals есть куча полезностей (некоторые даже с исходниками :).
это в курсе, что много всего, portmon (тоже оттуда) так вообще какоето время была одной из основных программ (писали аналог, попроще и для других целей. т.е. скан порта было не самоцель. эту использовали за "эталон" ;).

> Слежение есть отдельно
regmon, ну это судя по всему только за реестром. т.е. смену страницы по умолчанию не отследит... или отследит?, оно же тоже в реестре сохраняется...
ну да ладно, дело привычки похоже, к тому я уже привык, удобнее кажется. не буду менять.

← →
ArtemESC © (2006-05-07 12:59) [18]

Volf_555 © (06.05.06 20:12) [0]
А ты чтоже думал тебе порно просто так показывать будут...

← →
Volf_555 © (2006-05-08 13:04) [19]

> homm © (06.05.06 22:06) [10]
>
> > какая программа перезаписывает файл explorer.exe?
>
> Ты будеш смеятся, но это explorer.exe

Смеяться не буду:
если завершить explorer.exe через диспетчер задач, а потом перейти Файл - Новая задача (Выполнить...) - Обзор..., перейти в папку Windows и удалить explorer.exe, то через 5 секунд появится новый explorer.exe
Как он мог появиться без внешних программ/dll...? Explorer.exe ведь не запущеный! Значит он себя и не перезаписывает

antonn © (07.05.06 06:20) [11]
Я проверял следующим образом:
1) скопировал с системной дискеты файл extract.exe в папку "A"
2) скопировал файл \i386\EXPLORER.EX_ в папку "A"
(под папкой "A" подразумеваю одинаковый каталог для 1 и 2 пунктов
3) запустил cmd.exe, перешёл в папку "A"
4) написал: extract explorer.ex_
5) запомнил размер извлечённого файла explorer.exe
6) перешёл в папку %WinDir%
7) и сравнил размеры explorer.exe - файлов - они оказались разными
Если размеры этих файлов одинаковы, то может у тебя под шелом используется не explorer.exe, а другая прога?

Прога, взятая с сайта http://www.sysinternals.com/utilities/autoruns.html ничего лишнего не показывает

> ArtemESC © (07.05.06 12:59) [18]

:)))))))))))))))))
Если настроить свой комп должным образом, то никакие сайты не страшны

По поводу антивирусов: надо опрос провести - кто за какой антивирус, а то все про разные говорят - глаза аж разбегаются!!!!!!!!!!!!!!!!!!!!!!!

← →
Virgo_Style © (2006-05-08 13:20) [20]

Volf_555 © (08.05.06 13:04) [19]
По поводу антивирусов: надо опрос провести - кто за какой антивирус, а то все про разные говорят - глаза аж разбегаются!!!!!!!!!!!!!!!!!!!!!!!

Так при опросе опять все разное скажут)

А кстати, есть ли в природе (интернете %-) ) наборы вирусов и прочей нечисти для тестирования антивирусов? Конечно, желательно не от производителей антивирусов, которые этот список могут в свою пользу подредактировать ;-)

P.S. Прошу прощения за некоторый оффтоп )

← →
homm © (2006-05-08 13:21) [21]

> [19] Volf_555 © (08.05.06 13:04)

Ну е мае, сколько можно ламирить. Ты о папке DllCache ничего не слышал? Надо а Safe mode заменить explorer.exe в папке \windows и \windows\system32\dllcache. В [10] я имел ввиду что это не какая-нибудь програма сторонняя делает, а система, частью которой и является explorer.exe, т.е. назвав его я не имел ввиду его самого :)

← →
Volf_555 © (2006-05-08 14:09) [22]

> homm © (08.05.06 13:21) [21]

Теперь догнал, где и что изменять надо :)
Только в Safe Mode заходить не пришлось, explorer.exe нормально заменился и в обычном режиме

← →
Nick Denry © (2006-05-08 18:47) [23]

Linux ставь. И никакого explorer.exe :)

← →
TStas © (2006-05-08 20:11) [24]

CareFree неплохая защита

← →
Eraser © (2006-05-08 21:41) [25]

ещё один совет - используй браузер НЕ IE. Т.к. специально под ie уж очень много различного рода вредительских программ написано, на порядки больше чем для остальных браузеров.

← →
Volf_555 © (2006-05-09 02:41) [26]

> homm © (08.05.06 13:21) [21]

Не помогло...
По прежнему explorer.exe заменяется и автоматически открывается сайт h**p://540.filost.com/randomsites/banner.aspx (вирусный)

> Nick Denry © (08.05.06 18:47) [23]

Многие проги под него не идут...

> TStas © (08.05.06 20:11) [24]
> CareFree неплохая защита

Где инфу прочитать про эту прогу? В Гугле не нашёл

> Eraser © (08.05.06 21:41) [25]
> ещё один совет - используй браузер НЕ IE. Т.к. специально
> под ie уж очень много различного рода вредительских программ
> написано, на порядки больше чем для остальных браузеров.
>

Согласен. Только на что переходить? Опера более менее, но не устраивает то, что при сохранении страниц в ИМЯ ФАЙЛА вписывается не заголовок страницы, а имя web-файла - это раз, второе - невозможно сохранять страницы в формате MHT (веб-архив, один файл), в-третьих - при сохранении веб-файла с рисунками, рисунки сохраняются не в дополнительной папке, а вместе с веб-файлом - в итоге получается бред...

← →
Сорс (2006-05-09 02:57) [27]

Volf_555 © (09.05.06 02:41) [26]
Уже скоро год как использую ФайрФокс и очень даволен. Раньше тоже так мучился, а ФайрФокс видно пока малопопулярен, поэтому под него или не пишут, или пишут мало вирусов. Тьфу, тьфу, тьфу.

ИЕ использую только, чтобы сохранять странички. Чтобы в одном стиле всё было.

http://www.mozilla.ru/

Напиши Касперскому в техподдержку. Я как то переписывался с ними, может и тебе помогут.

← →
Сорс (2006-05-09 02:59) [28]

> Volf_555 © (09.05.06 02:41) [26]

У тебя каждые 5 минут сайты открываются когда ИЕ запущен, или даже когда не запущен, то тоже?

> Сорс (09.05.06 02:57) [27]

В основном открывается этот сайт при первом запуске ИЕ, но спустя некоторое время (15-20 минут) этот сайт открывается снова.

← →
Сорс (2006-05-09 03:13) [30]

Значит поставь Мозиллу и не запускай ИЕ пока не вчистишь вирус.

Кстати, а может быть так, что вирус прячестя в памяти, куда попадает после первого запуска ИЕ ?

Volf_555 © (09.05.06 2:41) [26]
По прежнему explorer.exe заменяется и автоматически открывается сайт
в папке windows/system32/vbsys.dll (примерно так пишется, ~88 КБ)
кстати, начиная со вчерашних обновлений баз касперыч уже его определяет. Быстро сработали:)
я им написал еще 7го...

а насчет "Программа просмотра изображений и факсов" кто нибудь знает?

> Сорс (09.05.06 03:13) [30]
> Кстати, а может быть так, что вирус прячестя в памяти, куда
> попадает после первого запуска ИЕ ?

Точно не знаю, но может быть всё

> antonn © (09.05.06 07:33) [31]
> Volf_555 © (09.05.06 2:41) [26]
> По прежнему explorer.exe заменяется и автоматически открывается
> сайт
> в папке windows/system32/vbsys.dll (примерно так пишется,
> ~88 КБ)
> кстати, начиная со вчерашних обновлений баз касперыч уже
> его определяет. Быстро сработали:)
> я им написал еще 7го...

Точно! Обновил базы каспера - и сразу новый вирус обнаружился, файл называется vbsys2.dll

> antonn © (09.05.06 07:33) [31]
> а насчет "Программа просмотра изображений и факсов" кто
> нибудь знает?

Эта программа идёт в комплекте с Windows и устанавливается по умолчанию для просмотра изображений

Volf_555 © (09.05.06 12:46) [32]
Эта программа идёт в комплекте с Windows и устанавливается по умолчанию для просмотра изображений
это я знаю, у меня проблемы из второго абзаца поста [11] :)

Volf_555 © (09.05.06 12:46) [32]
h**p://540.filost.com/randomsites/banner.aspx - знаю я эти ссылочки,
долго мучился (пытался разобратся) - помогла только перестановка Windows. Действительно, переустанови Windows и давай заканчивай
"лазить"...

ArtemESC © (09.05.06 18:24) [34]
помогла только перестановка Windows.
подождал бы до сегодня, и не надо было переустанавливать:)
файлик можно даже руками удалить, он все равно сам не запускается:)

← →
Dead Man (2006-05-09 22:29) [36]

> Volf_555 © (09.05.06 02:41) [26]
> Опера более менее, но не устраивает то... а
> имя web-файла - это раз, второе - невозможно сохранять
> страницы в формате MHT (веб-архив, один файл)

Возможно. В 9 версии точно.

Avast.com
Поставь. Потом согласися на проверку после перезагрузки и он тебе проверит все диски вылечит все что можно :)

> Volf_555 © (06.05.06 20:12)

Периодически надо делать резервные копии системного диска. Желательно, на болванки сразу писать.

угу а лучше образ со свежеустановленной системой. Тоды если что. Просто Reastore Image и все дела...

Как определить-какая программа перезаписывает файл explorer.exe? Найти похожие ветки