Форум: "Прочее";
Текущий архив: 2007.07.22;
Скачать: [xml.tar.bz2];
ВнизУдаление альтернативных обозревателей интренета Найти похожие ветки
← →
Сатир (2007-06-20 16:50) [0]При запуске Проводника или IE из системы удаляется Opera.Dll и библиотеки FIreFox"a. Это уже похоже на нечестную конкуренцию.
Проследил под FileMon, это делает процесс explorer.exe и iexplore.exe.
У кого-то была такая ситуация и как это можно полечить?
Переустановку винды не предлагать.
← →
tesseract © (2007-06-20 16:57) [1]
> Переустановку винды не предлагать.
Предлагаю проверить систему на предмет вирусов. У меня никто так себя не ведёт.
← →
Cj © (2007-06-20 17:23) [2]да, возможен вариант подгрузки DLL к Explorer"у
← →
Cj © (2007-06-20 17:28) [3]дай мне мыло, я скину тебе свою прогу по этой части, только через 12 часов Т.К спать надо. у меня 0:26
← →
Сатир (2007-06-20 18:24) [4]
> Предлагаю проверить систему на предмет вирусов. У меня
> никто так себя не ведёт.
>
Проверял. Были вирусы, вроде всех поубивал. Но похоже, они пропатчили проводник и ослика...
> дай мне мыло, я скину тебе свою прогу по этой части,
А как эта прога называется? Может она у меня уже есть...
Кидай на joe_satirus(сабака)mail.ru
← →
oldman © (2007-06-20 18:58) [5]
> Сатир (20.06.07 16:50)
Либо машина больна, либо ручки умелые...
Процесс explorer.exe не будет удалять dll для Opera.
Он для этого не предназначен.
Имхо.
← →
TUser © (2007-06-20 19:10) [6]Вирусы воспитывают пользование правильными программами? Интересно. Надо написать вируса, который удаляет MSVS и ставит Turbo Delphi.
← →
Virgo_Style © (2007-06-20 19:45) [7]TUser © (20.06.07 19:10) [6]
Вирусы воспитывают пользование
теми программами, под которые заточены сами, что-то мне подсказывает
← →
Anatoly Podgoretsky © (2007-06-20 20:08) [8]> Сатир (20.06.2007 18:24:04) [4]
> Проверял. Были вирусы, вроде всех поубивал.
Как опять и опять всех поубивал.
← →
sniknik © (2007-06-20 20:33) [9]может и не вирус, может ad-aware.
← →
Anatoly Podgoretsky © (2007-06-20 20:35) [10]> sniknik (20.06.2007 20:33:09) [9]
Если удаляет, то это уже вирус, класса троян
← →
Сатир (2007-06-21 11:32) [11]
> Вирусы воспитывают пользование правильными программами?
скорее не воспитывают, а навязывают пользование только Осликом, потому что под него больше всего вирусов, он больше всего изучен, с помощью него легче всего закачать другие вирусы, он встроен в систему. Поэтому, чтобы пользователь после всех метаний к другим программам просмотра инета, пришёл к ослику и пользовался только им, удаляются альтернативные проги.
> Как опять и опять всех поубивал.
Этим какое-то время занимался NAV, но одну длл-ку он никак не мог удалить.
Удалил вручную с помощью анлокера, который поставил удаление в очередь перед загрузкой системы.
После этого, Ослик перестал грузить троянов, которые потом убивались антивирусом. Остался вот только такой эффект как бы "нечестной конкуренции".
Ещё проверял с помощью Ad-Aware, антивирусом зайцева - классная вещь, McAffee8 - практически ничего не нашёл.
Заменял экзешник iexplore.exe, на другой с дистрибутива. Но эффект остался.
Похоже, остались какие-то ключи в реестре, которые перед запуском осла или проводника, дёргают какую-то дллку, которая выполняет все эти пакости.
Но под файловым монитором удаление этих файлов выполняют только две этих проги.
И устанновленный аутпост не ругается о том, что в их тело было что-то внедренно.
Вот такой крик души получился.
Естественно, на какую-то помощь я здесь не расщитывал.
Только как в качестве блога, может кому-то пригодится.
← →
Сатир (2007-06-21 11:35) [12]
> дай мне мыло, я скину тебе свою прогу по этой части, только
> через 12 часов Т.К спать надо. у меня 0:26
лучше выложи на какой нить публичный сервер или скажи название, если это не самопал. То мыло сейчас недоступно.
← →
Думкин © (2007-06-21 11:38) [13]
> Сатир (21.06.07 11:35) [12]
А то ли он предлагает на фоне интеллектального прорыва при подготовке к ЕГЭ?
> да, возможен вариант подгрузки DLL к Explorer"у
меня смущает такой комментарий к твоему сабжу.
← →
Сатир (2007-06-21 12:40) [14]
> > да, возможен вариант подгрузки DLL к Explorer"у
>
> меня смущает такой комментарий к твоему сабжу.
как именно смущает? и по какой причине?
На самом деле, это происходит(удаление библиотек альтернативных просмотрщиков инета) также и при запуске Панели управления(Control Panel) и при запуске виндового поиска.
Так что скорее всего есть какие-то ключи реестра, которые дёргаются во время запуска этих программ, ибо изменение самих программ мог бы выкупить антивирус.
Можно ещё проверить контрольную сумму этих программ и сравнить с теми, что из дистриба.
Ладно, пойдё поищу регмон, гляну под ним, что там творится...
← →
Сатир (2007-06-21 17:38) [15]Ура!
Кажеццо я его таки залечил!)))
Спасибо Антивирусу Зайцева. AVZ, который.
Вообщем рассказываю, как полечил.
В AVZ есть возможность просмотреть модули расширения эксплорера, ослика, автозагрузки, список драйверов и многое другое.
Вот и решил просмотреть список драйверов и нашел там четыре неподписаных драйвера, один из которых в описании назывался просто driver. :-) Не хватило вирусописателям в такой простой вещи фантазии)))
Потом взял и просто переименовал эти файлики и перегрузил систему.
Привожу список файлов, которые вызвали подозрение и которые пришлось переименовать:
\system32\nso12k.sys
\system32\driver\EntDrv51.sys
\system32\driver\naiavf5x.sys
\system32\driver\mvstdi5x.sys
Мои злоключения, которые длились больше месяца, наконец-то закончились:)
Всем спасибо, кто за меня переживал.
← →
tesseract © (2007-06-21 17:58) [16]
> Сатир (21.06.07 17:38) [15]
Autoruns намного круче для этого.
← →
Галинка © (2007-06-21 17:58) [17]что есть ослик? eMule?
← →
Плохиш © (2007-06-21 18:08) [18]
> Галинка © (21.06.07 17:58) [17]
> что есть ослик?
internet explorer
← →
Сатир (2007-06-21 18:15) [19]
> Autoruns намного круче для этого.
а разве он показывает список загружаемых драйверов?
кстати, его тоже до обеда запускал и никакой подозрительной инфы он мне не выдал.
Так что в данном случае он явно не круче.
Просто выдал список ключей реестра, из которых проводится запуск программ при старте винды. а вот сами драйвера и какие именно загружаются, не показал.
может, у меня версия нета
Name:autoruns.zip
URL:http://www.systeminternals.com/files/autoruns.zip
Size: 28KB
Complete Time:Mon Dec 23 13:53:10 2002
Referer:http://www.systeminternals.com/ntw2k/source/misc.shtml
Comment:Download AutoRuns (32 KB)
версия 2.0
← →
tesseract © (2007-06-21 18:23) [20]
> а разве он показывает список загружаемых драйверов?
на закладке drivers показывает.
← →
Сатир (2007-06-21 18:42) [21]у меня наверное версия старая - нет там такой закладки, там вообще закладок нету, только одно окошко с перечнем ключей реестра
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2007.07.22;
Скачать: [xml.tar.bz2];
Память: 0.51 MB
Время: 0.044 c