Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2006.06.04;
Скачать: [xml.tar.bz2];

Вниз

Как определить-какая программа перезаписывает файл explorer.exe?   Найти похожие ветки 

 
Volf_555 ©   (2006-05-06 20:12) [0]

После переустановки системы через некоторое время начали произвольно открываться сайты через определённое время.
Просмотрел все пути автозагрузки которые знал - ничего лишнего нет
в процессах в диспетчере задач запущено всё что и должно быть
Решил сравнить файл explorer.exe с оригинальным - и тут облом!

Оригинальный файл explorer.exe весит 978 KB
А тот что системный в папке Windows - 984 KB, то есть на 6 KB больше!
При замени этого файла оригинальным, через ~5 секунд он снова перезаписывается вирусным файлом...

Как определить - какая программа или DLL производит перезапись этого файла?


 
unknown ©   (2006-05-06 20:14) [1]

А если антивирус и файрвол поставить?


 
Anatoly Podgoretsky ©   (2006-05-06 20:28) [2]

Что опять, ну сколько же можно по граблям ходить


 
Volf_555 ©   (2006-05-06 20:47) [3]


> unknown ©   (06.05.06 20:14) [1]
> А если антивирус и файрвол поставить?

Стоит антивирус - не помагает


> Anatoly Podgoretsky ©   (06.05.06 20:28) [2]
> Что опять, ну сколько же можно по граблям ходить

Подскажите лучшую защиту!
Стоит каспер, оутпост пока что не ставлю, так как проблемы с настройками (после установки оутпоста интернет перестаёт работать - до провайдера дозванивается, но страницы никакие не открываются...)


 
Eraser ©   (2006-05-06 20:49) [4]


> Volf_555 ©   (06.05.06 20:47) [3]

nod32


 
Лшдлуттнсфе   (2006-05-06 20:51) [5]

Panda


 
vrem   (2006-05-06 20:57) [6]

ghost


 
Anatoly Podgoretsky ©   (2006-05-06 21:00) [7]

PowerOff


 
ЛшдлуттнСфе   (2006-05-06 21:22) [8]


> Anatoly Podgoretsky ©   (06.05.06 21:00)


Это хардварный антивир-файрвол?


 
Cash ©   (2006-05-06 21:38) [9]

> Volf_555 ©   (06.05.06 20:47) [3]
Nod32 + Kerio Personal Firewall 4.2


 
homm ©   (2006-05-06 22:06) [10]


> какая программа перезаписывает файл explorer.exe?

Ты будеш смеятся, но это explorer.exe


 
antonn ©   (2006-05-07 06:20) [11]

Volf_555 ©   (06.05.06 20:12)
такая же фигня. не могу избавиться.
Но, у меня explorer.exe не модифицирован. Открываются сайты при задействии iexplorer в новом окне, обычно "филост.ком" и подобные. Либо рушит explorer с ошибкой, и иногда открывает для дебага в дельфи:)
Те, кому я доверил компутер на пару дней, говорят, что ничего не трогали:) Как обычно, в общем.
Долго просматрил атозагрузку и собсно процессы. Простмотрел службы (бывало иногда, какая нить левая появится). Реестр сканил. Ничего! Переворошил папки windows,system32 и dllcash. Каспер нашел 2 вирусных файла (intern.exe) в каталоге Виндовоза. Удалил.
Но все равно ничего не исправилось.
Техподдержка каспера сказала, что это вирус, который при первой инициализации устанавливает, то ли расширение, то ли плугин в explorer, т.ч. с "вирусной" стороны все чисто - обычная программка, открывающая сайт в новом окне... Но у авторов этого вируса руки из жопы растут, т.к. в большинстве случаев explorer рушится.
При пользовании для серфинга фаерфокса ничего не открывается и не рушится. Как только в iexplorer открывается новая страница - аминь...
вот и сам пытаюсь найти, где же эта сволочь спрятана, но пока тщетно...
И где можно было бы глянуть список этих расширений/плугинов?

и еще такая неприятная вещь случилась - "отключена" "Программа просмотра изображений и факсов" из стандартной поставки, и все, что с ней связано(она и не запускается). Т.е. когда я вид папки ставлю на "Плитка" и выше, то появляются миниатюры изображений/видео. Сейчас этого нет, просто большие ярлыки. Так же, в сайдбаре слева, при выделении картинки обычно выводится ее миниатюра и размер(габаритный:)), сейчас этого тоже нет.
Кто нибудь знает, как это включить? :) Просто думаю, что где то выключено...


 
sniknik ©   (2006-05-07 10:26) [12]

кроме антивирусов есть еще полезные программы (многие почемуто думают, что антивирус панацея от всего...)

удаление "эдэваре" программ
http://www.lavasoft.de/
пнкт меню Ad-Aware Personal (бесплатная версия для личного использования)
скачать - установить - запустить - обновить базу вредных программм (предложит) - просканировать все диски.
гарантированно чтонибудь да найдет, если ничем подобным ранее не пользовались.

просмотр с возможным "дизейблом" или удалением автостартующих, встроенных в експлорер, "активхсов" и т.д. программ
http://browsersentinel.com/download-browser-sentinel.htm демо версия на 30 дней.
(удалять в ней осторожно! некоторые программы всетаки нужны ;), они от виндовса. все лишнее что покажет надо убрать, решать что это самим придется ;)

ну и под конец, поправить все что вам там вирусы в системе натворили (или неправельные программы/сетапы и т.д.) программа лечения системы
http://www.registryfix.com/ демо версия, лечит ограниченное число багов.


 
ECM ©   (2006-05-07 11:12) [13]


> просмотр с возможным "дизейблом" или удалением автостартующих,
>  встроенных в експлорер, "активхсов" и т.д. программ
> http://browsersentinel.com/download-browser-sentinel.htm
> демо версия на 30 дней

Не мене (а то и более) мощная программа для этих целей (FreeWare)
http://www.sysinternals.com/utilities/autoruns.html


 
sniknik ©   (2006-05-07 11:35) [14]

ECM ©   (07.05.06 11:12) [13]
а слежение за реестром/етс. в ней есть?
в смысле,  browser sentinel + к только просмотру еще и как файрвол для этих мест которые просматривает работает, если кто изменяет скажем страницу по умолчанию в експлорере, или автозагрузочную программу ставит он выдаст предупреждение с подтверждением действия. (по порнушным сайтам лазить самое то, только и успевай на отказы нажимать ;о)))

если есть то конечно стоит заменить, и в любом случае бесплатное не помешает.


 
ECM ©   (2006-05-07 11:43) [15]


> а слежение за реестром/етс. в ней есть?

В ней нет.. но на SysInternals есть куча полезностей (некоторые даже с исходниками :). Слежение есть отдельно


> файрвол для этих мест


http://www.sysinternals.com/Utilities/Regmon.html
ИМХО лучший фаервол для этих целей - обычное назначение прав доступа к веткам. И не лазить где попало под административной учетной записью :)))


 
ECM ©   (2006-05-07 11:44) [16]

Сорри - эти строки надо поменять местами :)

> файрвол для этих мест

http://www.sysinternals.com/Utilities/Regmon.html


 
sniknik ©   (2006-05-07 11:58) [17]

> В ней нет.. но на SysInternals есть куча полезностей (некоторые даже с исходниками :).
это в курсе, что много всего, portmon (тоже оттуда) так вообще какоето время была одной из основных программ (писали аналог, попроще и для других целей. т.е. скан порта было не самоцель. эту использовали за "эталон" ;).

> Слежение есть отдельно
regmon, ну это судя по всему только за реестром. т.е. смену страницы по умолчанию не отследит... или отследит?, оно же тоже в реестре сохраняется...
ну да ладно, дело привычки похоже, к тому я уже привык, удобнее кажется. не буду менять.


 
ArtemESC ©   (2006-05-07 12:59) [18]

Volf_555 ©   (06.05.06 20:12)  [0]
А ты чтоже думал тебе порно просто так показывать будут...


 
Volf_555 ©   (2006-05-08 13:04) [19]


> homm ©   (06.05.06 22:06) [10]
>
> > какая программа перезаписывает файл explorer.exe?
>
> Ты будеш смеятся, но это explorer.exe

Смеяться не буду:
если завершить explorer.exe через диспетчер задач, а потом перейти Файл - Новая задача (Выполнить...) - Обзор..., перейти в папку Windows и удалить explorer.exe, то через 5 секунд появится новый explorer.exe
Как он мог появиться без внешних программ/dll...? Explorer.exe ведь не запущеный! Значит он себя и не перезаписывает

antonn ©   (07.05.06 06:20) [11]
Я проверял следующим образом:
1) скопировал с системной дискеты файл extract.exe в папку "A"
2) скопировал файл \i386\EXPLORER.EX_ в папку "A"
(под папкой "A" подразумеваю одинаковый каталог для 1 и 2 пунктов
3) запустил cmd.exe, перешёл в папку "A"
4) написал: extract explorer.ex_
5) запомнил размер извлечённого файла explorer.exe
6) перешёл в папку %WinDir%
7) и сравнил размеры explorer.exe - файлов - они оказались разными
Если размеры этих файлов одинаковы, то может у тебя под шелом используется не explorer.exe, а другая прога?

Прога, взятая с сайта http://www.sysinternals.com/utilities/autoruns.html ничего лишнего не показывает


> ArtemESC ©   (07.05.06 12:59) [18]

:)))))))))))))))))
Если настроить свой комп должным образом, то никакие сайты не страшны

По поводу антивирусов: надо опрос провести - кто за какой антивирус, а то все про разные говорят - глаза аж разбегаются!!!!!!!!!!!!!!!!!!!!!!!


 
Virgo_Style ©   (2006-05-08 13:20) [20]

Volf_555 ©   (08.05.06 13:04) [19]
По поводу антивирусов: надо опрос провести - кто за какой антивирус, а то все про разные говорят - глаза аж разбегаются!!!!!!!!!!!!!!!!!!!!!!!


Так при опросе опять все разное скажут)

А кстати, есть ли в природе (интернете %-) ) наборы вирусов и прочей нечисти для тестирования антивирусов? Конечно, желательно не от производителей антивирусов, которые этот список могут в свою пользу подредактировать ;-)

P.S. Прошу прощения за некоторый оффтоп )


 
homm ©   (2006-05-08 13:21) [21]


>  [19] Volf_555 ©   (08.05.06 13:04)

Ну е мае, сколько можно ламирить. Ты о папке DllCache ничего не слышал? Надо а Safe mode заменить explorer.exe в папке \windows и \windows\system32\dllcache. В [10] я имел ввиду что это не какая-нибудь програма сторонняя делает, а система, частью которой и является explorer.exe, т.е. назвав его я не имел ввиду его самого :)


 
Volf_555 ©   (2006-05-08 14:09) [22]


> homm ©   (08.05.06 13:21) [21]

Теперь догнал, где и что изменять надо :)
Только в Safe Mode заходить не пришлось, explorer.exe нормально заменился и в обычном режиме


 
Nick Denry ©   (2006-05-08 18:47) [23]

Linux ставь. И никакого explorer.exe :)


 
TStas ©   (2006-05-08 20:11) [24]

CareFree неплохая защита


 
Eraser ©   (2006-05-08 21:41) [25]

ещё один совет - используй браузер НЕ IE. Т.к. специально под ie уж очень много различного рода вредительских программ написано, на порядки больше чем для остальных браузеров.


 
Volf_555 ©   (2006-05-09 02:41) [26]


> homm ©   (08.05.06 13:21) [21]

Не помогло...
По прежнему explorer.exe заменяется и автоматически открывается сайт h**p://540.filost.com/randomsites/banner.aspx (вирусный)


> Nick Denry ©   (08.05.06 18:47) [23]

Многие проги под него не идут...


> TStas ©   (08.05.06 20:11) [24]
> CareFree неплохая защита

Где инфу прочитать про эту прогу? В Гугле не нашёл


> Eraser ©   (08.05.06 21:41) [25]
> ещё один совет - используй браузер НЕ IE. Т.к. специально
> под ie уж очень много различного рода вредительских программ
> написано, на порядки больше чем для остальных браузеров.
>

Согласен. Только на что переходить? Опера более менее, но не устраивает то, что при сохранении страниц в ИМЯ ФАЙЛА вписывается не заголовок страницы, а имя web-файла - это раз, второе -  невозможно сохранять страницы в формате MHT (веб-архив, один файл), в-третьих - при сохранении веб-файла с рисунками, рисунки сохраняются не в дополнительной папке, а вместе с веб-файлом  -  в итоге получается бред...


 
Сорс   (2006-05-09 02:57) [27]

Volf_555 ©   (09.05.06 02:41) [26]
Уже скоро год как использую ФайрФокс и очень даволен. Раньше тоже так мучился, а ФайрФокс видно пока малопопулярен, поэтому под него или не пишут, или пишут мало вирусов. Тьфу, тьфу, тьфу.

ИЕ использую только, чтобы сохранять странички. Чтобы в одном стиле всё было.

http://www.mozilla.ru/

Напиши Касперскому в техподдержку. Я как то переписывался с ними, может и тебе помогут.


 
Сорс   (2006-05-09 02:59) [28]


> Volf_555 ©   (09.05.06 02:41) [26]

У тебя каждые 5 минут сайты открываются когда ИЕ запущен, или даже когда не запущен, то тоже?


 
Volf_555 ©   (2006-05-09 03:08) [29]


> Сорс   (09.05.06 02:57) [27]


В основном открывается этот сайт при первом запуске ИЕ, но спустя некоторое время (15-20 минут) этот сайт открывается снова.


 
Сорс   (2006-05-09 03:13) [30]

Значит поставь Мозиллу и не запускай ИЕ пока не вчистишь вирус.

Кстати, а может быть так, что вирус прячестя в памяти, куда попадает после первого запуска ИЕ ?


 
antonn ©   (2006-05-09 07:33) [31]

Volf_555 ©   (09.05.06 2:41) [26]
По прежнему explorer.exe заменяется и автоматически открывается сайт

в папке windows/system32/vbsys.dll (примерно так пишется, ~88 КБ)
кстати, начиная со вчерашних обновлений баз касперыч уже его определяет. Быстро сработали:)
я им написал еще 7го...

а насчет "Программа просмотра изображений и факсов" кто нибудь знает?


 
Volf_555 ©   (2006-05-09 12:46) [32]


> Сорс   (09.05.06 03:13) [30]
> Кстати, а может быть так, что вирус прячестя в памяти, куда
> попадает после первого запуска ИЕ ?

Точно не знаю, но может быть всё


> antonn ©   (09.05.06 07:33) [31]
> Volf_555 ©   (09.05.06 2:41) [26]
> По прежнему explorer.exe заменяется и автоматически открывается
> сайт
> в папке windows/system32/vbsys.dll (примерно так пишется,
>  ~88 КБ)
> кстати, начиная со вчерашних обновлений баз касперыч уже
> его определяет. Быстро сработали:)
> я им написал еще 7го...

Точно! Обновил базы каспера - и сразу новый вирус обнаружился, файл называется vbsys2.dll


> antonn ©   (09.05.06 07:33) [31]
> а насчет "Программа просмотра изображений и факсов" кто
> нибудь знает?

Эта программа идёт в комплекте с Windows и устанавливается по умолчанию для просмотра изображений


 
antonn ©   (2006-05-09 14:56) [33]

Volf_555 ©   (09.05.06 12:46) [32]
Эта программа идёт в комплекте с Windows и устанавливается по умолчанию для просмотра изображений

это я знаю, у меня проблемы из второго абзаца поста [11] :)


 
ArtemESC ©   (2006-05-09 18:24) [34]

Volf_555 ©   (09.05.06 12:46) [32]
h**p://540.filost.com/randomsites/banner.aspx  - знаю я эти ссылочки,
долго мучился (пытался разобратся) - помогла только перестановка Windows. Действительно, переустанови Windows и давай заканчивай
"лазить"...


 
antonn ©   (2006-05-09 19:06) [35]

ArtemESC ©   (09.05.06 18:24) [34]
помогла только перестановка Windows.

подождал бы до сегодня, и не надо было переустанавливать:)
файлик можно даже руками удалить, он все равно сам не запускается:)


 
Dead Man   (2006-05-09 22:29) [36]

> Volf_555 ©   (09.05.06 02:41) [26]
> Опера более менее, но не устраивает то... а
> имя web-файла - это раз, второе -  невозможно сохранять
> страницы в формате MHT (веб-архив, один файл)


Возможно. В 9 версии точно.


 
SkyRanger ©   (2006-05-10 07:41) [37]

Avast.com
Поставь. Потом согласися на проверку после перезагрузки и он тебе проверит все диски вылечит все что можно :)


 
psa247 ©   (2006-05-10 08:11) [38]


> Volf_555 ©   (06.05.06 20:12)  

Периодически надо делать резервные копии системного диска. Желательно, на болванки сразу писать.


 
SkyRanger ©   (2006-05-10 09:04) [39]

угу а лучше образ со свежеустановленной системой. Тоды если что. Просто Reastore Image и все дела...



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.06.04;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.56 MB
Время: 0.042 c
15-1147102927
Иксик
2006-05-08 19:42
2006.06.04
День Победы!


15-1147460680
i-s-v
2006-05-12 23:04
2006.06.04
Не подскажите, как установить РНР как приложение CGI?


15-1147361347
Новичоккк
2006-05-11 19:29
2006.06.04
Решить уравнение


15-1146926799
Mozart
2006-05-06 18:46
2006.06.04
Жилье - реально ли приобрести "с нуля" - без помощи...


4-1142251757
Чапаев
2006-03-13 15:09
2006.06.04
Кто запустил процесс?





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский