Удаление альтернативных обозревателей интренета

← →
Сатир (2007-06-20 16:50) [0]

При запуске Проводника или IE из системы удаляется Opera.Dll и библиотеки FIreFox"a. Это уже похоже на нечестную конкуренцию.
Проследил под FileMon, это делает процесс explorer.exe и iexplore.exe.
У кого-то была такая ситуация и как это можно полечить?
Переустановку винды не предлагать.

← →
tesseract © (2007-06-20 16:57) [1]

> Переустановку винды не предлагать.

Предлагаю проверить систему на предмет вирусов. У меня никто так себя не ведёт.

← →
Cj © (2007-06-20 17:23) [2]

да, возможен вариант подгрузки DLL к Explorer"у

← →
Cj © (2007-06-20 17:28) [3]

дай мне мыло, я скину тебе свою прогу по этой части, только через 12 часов Т.К спать надо. у меня 0:26

← →
Сатир (2007-06-20 18:24) [4]

> Предлагаю проверить систему на предмет вирусов. У меня
> никто так себя не ведёт.
>

Проверял. Были вирусы, вроде всех поубивал. Но похоже, они пропатчили проводник и ослика...

> дай мне мыло, я скину тебе свою прогу по этой части,

А как эта прога называется? Может она у меня уже есть...
Кидай на joe_satirus(сабака)mail.ru

← →
oldman © (2007-06-20 18:58) [5]

> Сатир (20.06.07 16:50)

Либо машина больна, либо ручки умелые...
Процесс explorer.exe не будет удалять dll для Opera.
Он для этого не предназначен.
Имхо.

← →
TUser © (2007-06-20 19:10) [6]

Вирусы воспитывают пользование правильными программами? Интересно. Надо написать вируса, который удаляет MSVS и ставит Turbo Delphi.

← →
Virgo_Style © (2007-06-20 19:45) [7]

TUser © (20.06.07 19:10) [6]
Вирусы воспитывают пользование

теми программами, под которые заточены сами, что-то мне подсказывает

← →
Anatoly Podgoretsky © (2007-06-20 20:08) [8]

> Сатир (20.06.2007 18:24:04) [4]

> Проверял. Были вирусы, вроде всех поубивал.

Как опять и опять всех поубивал.

← →
sniknik © (2007-06-20 20:33) [9]

может и не вирус, может ad-aware.

← →
Anatoly Podgoretsky © (2007-06-20 20:35) [10]

> sniknik (20.06.2007 20:33:09) [9]

Если удаляет, то это уже вирус, класса троян

← →
Сатир (2007-06-21 11:32) [11]

> Вирусы воспитывают пользование правильными программами?

скорее не воспитывают, а навязывают пользование только Осликом, потому что под него больше всего вирусов, он больше всего изучен, с помощью него легче всего закачать другие вирусы, он встроен в систему. Поэтому, чтобы пользователь после всех метаний к другим программам просмотра инета, пришёл к ослику и пользовался только им, удаляются альтернативные проги.

> Как опять и опять всех поубивал.

Этим какое-то время занимался NAV, но одну длл-ку он никак не мог удалить.
Удалил вручную с помощью анлокера, который поставил удаление в очередь перед загрузкой системы.
После этого, Ослик перестал грузить троянов, которые потом убивались антивирусом. Остался вот только такой эффект как бы "нечестной конкуренции".
Ещё проверял с помощью Ad-Aware, антивирусом зайцева - классная вещь, McAffee8 - практически ничего не нашёл.
Заменял экзешник iexplore.exe, на другой с дистрибутива. Но эффект остался.
Похоже, остались какие-то ключи в реестре, которые перед запуском осла или проводника, дёргают какую-то дллку, которая выполняет все эти пакости.
Но под файловым монитором удаление этих файлов выполняют только две этих проги.
И устанновленный аутпост не ругается о том, что в их тело было что-то внедренно.
Вот такой крик души получился.
Естественно, на какую-то помощь я здесь не расщитывал.
Только как в качестве блога, может кому-то пригодится.

← →
Сатир (2007-06-21 11:35) [12]

> дай мне мыло, я скину тебе свою прогу по этой части, только
> через 12 часов Т.К спать надо. у меня 0:26

лучше выложи на какой нить публичный сервер или скажи название, если это не самопал. То мыло сейчас недоступно.

← →
Думкин © (2007-06-21 11:38) [13]

> Сатир (21.06.07 11:35) [12]

А то ли он предлагает на фоне интеллектального прорыва при подготовке к ЕГЭ?

> да, возможен вариант подгрузки DLL к Explorer"у

меня смущает такой комментарий к твоему сабжу.

← →
Сатир (2007-06-21 12:40) [14]

> > да, возможен вариант подгрузки DLL к Explorer"у
>
> меня смущает такой комментарий к твоему сабжу.

как именно смущает? и по какой причине?

На самом деле, это происходит(удаление библиотек альтернативных просмотрщиков инета) также и при запуске Панели управления(Control Panel) и при запуске виндового поиска.

Так что скорее всего есть какие-то ключи реестра, которые дёргаются во время запуска этих программ, ибо изменение самих программ мог бы выкупить антивирус.
Можно ещё проверить контрольную сумму этих программ и сравнить с теми, что из дистриба.
Ладно, пойдё поищу регмон, гляну под ним, что там творится...

← →
Сатир (2007-06-21 17:38) [15]

Ура!
Кажеццо я его таки залечил!)))
Спасибо Антивирусу Зайцева. AVZ, который.
Вообщем рассказываю, как полечил.
В AVZ есть возможность просмотреть модули расширения эксплорера, ослика, автозагрузки, список драйверов и многое другое.
Вот и решил просмотреть список драйверов и нашел там четыре неподписаных драйвера, один из которых в описании назывался просто driver. :-) Не хватило вирусописателям в такой простой вещи фантазии)))
Потом взял и просто переименовал эти файлики и перегрузил систему.
Привожу список файлов, которые вызвали подозрение и которые пришлось переименовать:
\system32\nso12k.sys
\system32\driver\EntDrv51.sys
\system32\driver\naiavf5x.sys
\system32\driver\mvstdi5x.sys

Мои злоключения, которые длились больше месяца, наконец-то закончились:)
Всем спасибо, кто за меня переживал.

> Сатир (21.06.07 17:38) [15]

Autoruns намного круче для этого.

что есть ослик? eMule?

← →
Сатир (2007-06-21 18:15) [19]

> Autoruns намного круче для этого.

а разве он показывает список загружаемых драйверов?
кстати, его тоже до обеда запускал и никакой подозрительной инфы он мне не выдал.
Так что в данном случае он явно не круче.
Просто выдал список ключей реестра, из которых проводится запуск программ при старте винды. а вот сами драйвера и какие именно загружаются, не показал.
может, у меня версия нета

Name:autoruns.zip
URL:http://www.systeminternals.com/files/autoruns.zip
Size: 28KB
Complete Time:Mon Dec 23 13:53:10 2002
Referer:http://www.systeminternals.com/ntw2k/source/misc.shtml
Comment:Download AutoRuns (32 KB)
версия 2.0

> а разве он показывает список загружаемых драйверов?

на закладке drivers показывает.

← →
Сатир (2007-06-21 18:42) [21]

у меня наверное версия старая - нет там такой закладки, там вообще закладок нету, только одно окошко с перечнем ключей реестра

Удаление альтернативных обозревателей интренета Найти похожие ветки