Форум: "Прочее";
Текущий архив: 2012.01.08;
Скачать: [xml.tar.bz2];
Внизпомогите найти заразу Найти похожие ветки
← →
Очень Злой (2011-09-22 15:53) [0]Подцепил какую-то заразу с флешки. Открыл флешку тоталкомандером и хотел удалить autorun.inf (автозапуск у меня отключен), но рука дернулась и видимо ентер нажал.
В результате появился в папке Автозагрузка какой-то exe-шник. Его я удалил, поставил запрет на запись в эту папку. Вроде бы ничего, но при перезагрузке в процессах появляется firefox.exe и машина постоянно дергает дисковод. Если убить этот процесс - то дальше все нормально.
если сделать чтобы файрфокс не был браузером по умолчанию, то при перезагрузке появляется процесс iexplore.exe
Сначала подумал что что-то запускает браузер по умолчанию, скорее всего с какими-то параметрами, решил выяснить с какими, для того чтобы локализовать заразу.
наваял нечто типа:program firefox;
{$APPTYPE CONSOLE}
USES
classes;
procedure SaveToFile(const FileName: string; const s:string);
var
Stream: TStream;
begin
Stream := TFileStream.Create(FileName, fmCreate);
try
Stream.WriteBuffer(Pointer(S)^, Length(S));
finally
Stream.Free;
end;
end;
var
s:string;
i:integer;
begin
s:="";
for i:=0 to ParamCount do s:=s+ParamStr(i);
SaveToFile("c:\log.log",s);
end.
ну и заменил им екзешник файрфокса.
Просто при запуске этой штуки файл создается...
Но после перезагрузки - эта программа типа запускается, появляется окно консоли, но при этом программа тупо висит ничего не создавая нужного файла...
Что это может быть? куда копать?
← →
CRLF (2011-09-22 15:56) [1]процесс эксплорером или фаром посмотри командную строку...
WriteBuffer(Pointer(S)^
детский сад, ей-бо...
← →
И. Павел © (2011-09-22 16:04) [2]> Очень Злой
Посмотрите в реестре ветку:
HLM/Software/Microsoft/Current Version/Run - может быть там что-то прописалось на автозапуск
← →
sniknik © (2011-09-22 16:09) [3]> Посмотрите в реестре ветку:
> HLM/Software/Microsoft/Current Version/Run - может быть там что-то прописалось на автозапуск
таких мест в винде далеко не одно... не найдется там не расстраивайся. ;)
← →
Омлет © (2011-09-22 16:14) [4]Почему ни слова про Safe Mode, AVZ, Autoruns, а сразу какой-то странный исходник?
← →
stas © (2011-09-22 16:14) [5]Очень Злой (22.09.11 15:53)
Да просто вирь свой процесс называет так как называется браузер по умолчанию, тут сам браузер не причем.
Посмотрите из какой папки запущен данный процесс.
← →
stas © (2011-09-22 16:15) [6]2. в командной строке набери msconfig и посмотри параметры автозагрузки
← →
sniknik © (2011-09-22 16:16) [7]> Почему ни слова про Safe Mode, AVZ, Autoruns
http://technet.microsoft.com/ru-ru/sysinternals/bb795534
Autoruns :)
← →
Очень Злой (2011-09-22 16:17) [8]да смотрел. Нет там ничего подозрительного.
В win.ini, system.ini тоже нет.
> процесс эксплорером или фаром посмотри командную строку.
> ..
посмотрел. Командная строка состоит только из пути к экзешнику файерфокса, никаких параметров.
Тем не менее, пока этот процесс запущен, и система начинает дергать дисковод, то если вставить дискету - на ней сразу создается файл autorun.inf
← →
stas © (2011-09-22 16:17) [9]Да и что говорит антивирус? качни cureIt и проверь систему.
← →
Ega23 © (2011-09-22 16:17) [10]Я бы установил антивирус и просканировать машину?
Но девиз "Мы не ищем лёгких путей" я тоже понимаю.
Ненаказуемо.
← →
stas © (2011-09-22 16:18) [11]А дисковвод дергается т.к. вирь себя сразу пытается записать на съемные носители и опрашивает их.
← →
stas © (2011-09-22 16:20) [12]И вообще параметры ни к чему вирь свое тело может дописать до программы и выполнятся сразу вирь, а потом все остальное.
← →
Очень Злой (2011-09-22 16:22) [13]Cureit сейчас попробую, но что-то мне кажется, что он если и найдет - то следствие, а не причину...
← →
Очень Злой (2011-09-22 16:35) [14]Все. нашел...
Просто он там еще один exe-шник создал и засунул его в Program Files, где я не ожидал его найти...
там я его удалил и почистил реестр , в местах где упоминался этот exe-шник
← →
han_malign (2011-09-22 16:37) [15]
> таких мест в винде далеко не одно
http://technet.microsoft.com/ru-ru/sysinternals/bb963902
← →
ProgRAMmer Dimonych © (2011-09-22 16:40) [16]> [15] han_malign (22.09.11 16:37)
> > таких мест в винде далеко не одно
> http://technet.microsoft.com/ru-ru/sysinternals/bb963902
Этим всё равно не ограничится. Любое приложение, прописанное в автозагрузку, может создавать в реестре свои пути, содержимое которых использовать для запуска других приложений. Большинству софта это, конечно, не нужно, но сказать наверняка, не запускает ли какая-либо софтина из автозагрузки другие программы - не получится
← →
Игорь Шевченко © (2011-09-22 16:46) [17]и файрволл не помог...
Это к http://delphimaster.net/view/15-1316494673/
← →
Компромисс (2011-09-22 16:52) [18]
> и файрволл не помог...
> Это к http://delphimaster.net/view/15-1316494673/
Так это ж начинающий адепт. Со временем научится ручками быстро вычищать, как оппонент из процитированной ветки.
Главное не дать врагу информацию о том, какую музыку слушаешь :)
← →
Очень злой (2011-09-22 22:18) [19]Ну вирусы разные бывают.
> Очень Злой (22.09.11 15:53)
> Да просто вирь свой процесс называет так как называется
> браузер по умолчанию, тут сам браузер не причем.
> Посмотрите из какой папки запущен данный процесс.
Тоже так думал. Но когда процесс был запущен, с самим екзешником браузера я не мог ничего сделать (ни удалить, ни переименовать). Кроме того, когда я подменял екзешник браузера на упомянутое в сабжевом посте консольное приложение, то после перезагрузки появлялось консольное окно...
А из какой папки, уже писал в [8]:
> посмотрел. Командная строка состоит только из пути к экзешнику
> файерфокса, никаких параметров.
← →
Кто б сомневался © (2011-09-22 22:53) [20]Ежики кололись, но продолжали жрать кактус.
Нет чтобы авторан отключить вообще везде, он столько бед приносит, а толку от него никакого.
← →
Inovet © (2011-09-22 23:28) [21]> [20] Кто б сомневался © (22.09.11 22:53)
> Нет чтобы авторан отключить вообще везде
> [0] Очень Злой (22.09.11 15:53)
> автозапуск у меня отключен
← →
Омлет © (2011-09-22 23:35) [22]> Нет чтобы авторан отключить вообще везде, он столько бед приносит, а толку от него никакого.
С таким подходом проще не включать компьютер.
А лучше не выходить из палаты.
← →
ProgRAMmer Dimonych © (2011-09-23 09:41) [23]> [20] Кто б сомневался © (22.09.11 22:53)
> Ежики кололись, но продолжали жрать кактус.
> Нет чтобы авторан отключить вообще везде, он столько бед
> приносит, а толку от него никакого.
Автозапуск на оптических дисках. Особенно когда, как у HP к МФУ, например, EXEшников на диске дофига, а с какого начать - неочевидно.
← →
Очень злой (2011-09-23 09:47) [24]
> Нет чтобы авторан отключить вообще везде, он столько бед
> приносит, а толку от него никакого.
Вобще-то он у меня отключен. Просто случайно получилось, хотел удалить файл, а вместо этого запустил его.
Не знаю как для кого, но авторан для меня тоже абсолютно бесполезен. Никогда не сталкивался с ситуацией, когда он действительно нужен.
На ум приходит только анекдот о том как устроен бизнес: Типа одни пишут вирусы, другие антивирусы, а третьи - операционные системы под которыми это все будет работать
И не добавь майктрософт лишнюю дыру в винду в лице авторана, глядишь, в итоге бы пострадали производители антивирусов.
← →
ProgRAMmer Dimonych © (2011-09-23 09:53) [25]> [24] Очень злой (23.09.11 09:47)
> И не добавь майктрософт лишнюю дыру в винду в лице авторана,
> глядишь, в итоге бы пострадали производители антивирусов.
Не такая уж и дыра. Разве что не помешало бы явно запрашивать подтверждение пользователя, изредка меняя местами кнопки "Да" и "Нет".
← →
Очень Злой (2011-09-23 10:28) [26]
> Не такая уж и дыра. Разве что не помешало бы явно запрашивать
> подтверждение пользователя, изредка меняя местами кнопки
> "Да" и "Нет".
ну не знаю. А вот то, что при установке винды - авторан по умолчанию включен - очень плохо.
3/4 флешек, которые мне приносят - содержат вирусы, распространяющиеся через autorun.inf
В мелких предприятиях/организациях, где отсутствуют сисадмины все напрочь завирусовано. И довольно значительная часть вирусов там именно из этой категории... там вирусы уже между собой деруться за право поместить себя в autorun.inf
даже если спрашивать подтверждение пользователя - далеко не все поймут что это лучше не запускать, какая-нить тетя-бухгалтер все равно обязательно его запустит.
← →
Inovet © (2011-09-23 10:30) [27]> [20] Кто б сомневался © (22.09.11 22:53)
> Нет чтобы авторан отключить вообще везде
Кстати, DrWeb отключает авторан, и вообще фиг откроешь autorun.inf даже на чтение, пока в административном режиме не снимешь галку.
← →
ProgRAMmer Dimonych © (2011-09-23 10:31) [28]> [27] Inovet © (23.09.11 10:30)
> Кстати, DrWeb отключает авторан, и вообще фиг откроешь autorun.inf
> даже на чтение, пока в административном режиме не снимешь
> галку.
Вот в этом смысле как раз разделения на флешки и CD/DVD мне лично у них и не хватает. В остальном - действительно очень приятная фишка.
← →
CRLF (2011-09-23 10:38) [29]аж Руссинович новую версию autoruns выпустил, начитавшись ваших топиков.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2012.01.08;
Скачать: [xml.tar.bz2];
Память: 0.54 MB
Время: 0.004 c