Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2012.01.08;
Скачать: [xml.tar.bz2];

Вниз

помогите найти заразу   Найти похожие ветки 

 
Очень Злой   (2011-09-22 15:53) [0]

Подцепил какую-то заразу с флешки. Открыл флешку тоталкомандером и хотел удалить autorun.inf (автозапуск у меня отключен), но рука дернулась и видимо ентер нажал.
В результате появился в папке Автозагрузка какой-то exe-шник. Его я удалил, поставил запрет на запись в эту папку. Вроде бы ничего, но при перезагрузке в процессах появляется firefox.exe и машина постоянно дергает дисковод. Если убить этот процесс - то дальше все нормально.
если сделать чтобы файрфокс не был браузером по умолчанию, то при перезагрузке появляется процесс iexplore.exe
Сначала подумал что что-то запускает браузер по умолчанию, скорее всего с какими-то параметрами, решил выяснить с какими, для того чтобы локализовать заразу.
наваял нечто типа:
program firefox;

{$APPTYPE CONSOLE}

USES
  classes;

procedure SaveToFile(const FileName: string; const s:string);
var
 Stream: TStream;
begin
 Stream := TFileStream.Create(FileName, fmCreate);
 try
   Stream.WriteBuffer(Pointer(S)^, Length(S));
 finally
   Stream.Free;
 end;
end;

var
s:string;
i:integer;
begin
s:="";
for i:=0 to ParamCount do  s:=s+ParamStr(i);
SaveToFile("c:\log.log",s);
end.


ну и заменил им екзешник файрфокса.
Просто при запуске этой штуки файл создается...
Но после перезагрузки - эта программа типа запускается, появляется окно консоли, но при этом программа тупо висит ничего не создавая нужного файла...

Что это может быть? куда копать?


 
CRLF   (2011-09-22 15:56) [1]

процесс эксплорером или фаром посмотри командную строку...

WriteBuffer(Pointer(S)^ детский сад, ей-бо...


 
И. Павел ©   (2011-09-22 16:04) [2]

> Очень Злой  

Посмотрите в реестре ветку:
HLM/Software/Microsoft/Current Version/Run - может быть там что-то прописалось на автозапуск


 
sniknik ©   (2011-09-22 16:09) [3]

> Посмотрите в реестре ветку:
> HLM/Software/Microsoft/Current Version/Run - может быть там что-то прописалось на автозапуск
таких мест в винде далеко не одно... не найдется там не расстраивайся. ;)


 
Омлет ©   (2011-09-22 16:14) [4]

Почему ни слова про Safe Mode, AVZ, Autoruns, а сразу какой-то странный исходник?


 
stas ©   (2011-09-22 16:14) [5]

Очень Злой   (22.09.11 15:53)
Да просто вирь свой процесс называет так как называется браузер по умолчанию, тут сам браузер не причем.
Посмотрите из какой папки запущен данный процесс.


 
stas ©   (2011-09-22 16:15) [6]

2. в командной строке набери msconfig и посмотри параметры автозагрузки


 
sniknik ©   (2011-09-22 16:16) [7]

> Почему ни слова про Safe Mode, AVZ, Autoruns
http://technet.microsoft.com/ru-ru/sysinternals/bb795534
Autoruns :)


 
Очень Злой   (2011-09-22 16:17) [8]

да смотрел. Нет там ничего подозрительного.
В win.ini, system.ini тоже нет.


> процесс эксплорером или фаром посмотри командную строку.
> ..


посмотрел. Командная строка состоит только из пути к экзешнику файерфокса, никаких параметров.

Тем не менее, пока этот процесс запущен, и система начинает дергать дисковод, то если вставить дискету - на ней сразу создается файл autorun.inf


 
stas ©   (2011-09-22 16:17) [9]

Да и что говорит антивирус? качни cureIt и проверь систему.


 
Ega23 ©   (2011-09-22 16:17) [10]

Я бы установил антивирус и просканировать машину?
Но девиз "Мы не ищем лёгких путей" я тоже понимаю.
Ненаказуемо.


 
stas ©   (2011-09-22 16:18) [11]

А дисковвод дергается т.к. вирь себя сразу пытается записать на съемные носители и опрашивает их.


 
stas ©   (2011-09-22 16:20) [12]

И вообще параметры ни к чему вирь свое тело может дописать до программы и выполнятся сразу вирь, а потом все остальное.


 
Очень Злой   (2011-09-22 16:22) [13]

Cureit сейчас попробую, но что-то мне кажется, что он если и найдет - то следствие, а не причину...


 
Очень Злой   (2011-09-22 16:35) [14]

Все. нашел...
Просто он там еще один exe-шник создал и засунул его в Program Files, где я не ожидал его найти...
там я его удалил и почистил  реестр , в местах где упоминался этот exe-шник


 
han_malign   (2011-09-22 16:37) [15]


> таких мест в винде далеко не одно

http://technet.microsoft.com/ru-ru/sysinternals/bb963902


 
ProgRAMmer Dimonych ©   (2011-09-22 16:40) [16]

> [15] han_malign   (22.09.11 16:37)
> > таких мест в винде далеко не одно
> http://technet.microsoft.com/ru-ru/sysinternals/bb963902

Этим всё равно не ограничится. Любое приложение, прописанное в автозагрузку, может создавать в реестре свои пути, содержимое которых использовать для запуска других приложений. Большинству софта это, конечно, не нужно, но сказать наверняка, не запускает ли какая-либо софтина из автозагрузки другие программы - не получится


 
Игорь Шевченко ©   (2011-09-22 16:46) [17]

и файрволл не помог...
Это к http://delphimaster.net/view/15-1316494673/


 
Компромисс   (2011-09-22 16:52) [18]


> и файрволл не помог...
> Это к http://delphimaster.net/view/15-1316494673/


Так это ж начинающий адепт. Со временем научится ручками быстро вычищать, как оппонент из процитированной ветки.
Главное не дать врагу информацию о том, какую музыку слушаешь :)


 
Очень злой   (2011-09-22 22:18) [19]

Ну вирусы разные бывают.
> Очень Злой   (22.09.11 15:53)
> Да просто вирь свой процесс называет так как называется
> браузер по умолчанию, тут сам браузер не причем.
> Посмотрите из какой папки запущен данный процесс.


Тоже так думал.  Но когда процесс был запущен, с самим екзешником браузера я не мог ничего сделать (ни удалить, ни переименовать). Кроме того, когда я подменял екзешник браузера на упомянутое в сабжевом посте консольное приложение, то после перезагрузки появлялось консольное окно...

А из какой папки, уже писал в [8]:


> посмотрел. Командная строка состоит только из пути к экзешнику
> файерфокса, никаких параметров.


 
Кто б сомневался ©   (2011-09-22 22:53) [20]

Ежики кололись, но продолжали жрать кактус.
Нет чтобы авторан отключить вообще везде, он столько бед приносит, а толку от него никакого.


 
Inovet ©   (2011-09-22 23:28) [21]

> [20] Кто б сомневался ©   (22.09.11 22:53)
> Нет чтобы авторан отключить вообще везде

> [0] Очень Злой   (22.09.11 15:53)
> автозапуск у меня отключен


 
Омлет ©   (2011-09-22 23:35) [22]

> Нет чтобы авторан отключить вообще везде, он столько бед приносит, а толку от него никакого.

С таким подходом проще не включать компьютер.
А лучше не выходить из палаты.


 
ProgRAMmer Dimonych ©   (2011-09-23 09:41) [23]

> [20] Кто б сомневался ©   (22.09.11 22:53)
> Ежики кололись, но продолжали жрать кактус.
> Нет чтобы авторан отключить вообще везде, он столько бед
> приносит, а толку от него никакого.

Автозапуск на оптических дисках. Особенно когда, как у HP к МФУ, например, EXEшников на диске дофига, а с какого начать - неочевидно.


 
Очень злой   (2011-09-23 09:47) [24]


> Нет чтобы авторан отключить вообще везде, он столько бед
> приносит, а толку от него никакого.


Вобще-то он у меня отключен. Просто случайно получилось, хотел удалить файл, а вместо этого запустил его.

Не знаю как для кого, но авторан для меня тоже абсолютно бесполезен. Никогда не сталкивался с ситуацией, когда он действительно нужен.

На ум приходит только анекдот о том как устроен бизнес: Типа одни пишут вирусы, другие антивирусы, а третьи - операционные системы под которыми это все будет работать

И не добавь майктрософт лишнюю дыру в винду в лице авторана, глядишь, в итоге бы пострадали производители антивирусов.


 
ProgRAMmer Dimonych ©   (2011-09-23 09:53) [25]

> [24] Очень злой   (23.09.11 09:47)
> И не добавь майктрософт лишнюю дыру в винду в лице авторана,
> глядишь, в итоге бы пострадали производители антивирусов.

Не такая уж и дыра. Разве что не помешало бы явно запрашивать подтверждение пользователя, изредка меняя местами кнопки "Да" и "Нет".


 
Очень Злой   (2011-09-23 10:28) [26]


> Не такая уж и дыра. Разве что не помешало бы явно запрашивать
> подтверждение пользователя, изредка меняя местами кнопки
> "Да" и "Нет".


ну не знаю.  А вот то, что при установке винды - авторан по умолчанию включен - очень плохо.
3/4 флешек, которые мне приносят - содержат вирусы, распространяющиеся через autorun.inf
В мелких предприятиях/организациях, где отсутствуют сисадмины все напрочь завирусовано. И довольно значительная часть вирусов там именно из этой категории... там вирусы уже между собой деруться за право поместить себя в autorun.inf
даже если спрашивать подтверждение пользователя - далеко не все поймут что это лучше не запускать, какая-нить тетя-бухгалтер все равно обязательно его запустит.


 
Inovet ©   (2011-09-23 10:30) [27]

> [20] Кто б сомневался ©   (22.09.11 22:53)
> Нет чтобы авторан отключить вообще везде

Кстати, DrWeb отключает авторан, и вообще фиг откроешь autorun.inf даже на чтение, пока в административном режиме не снимешь галку.


 
ProgRAMmer Dimonych ©   (2011-09-23 10:31) [28]

> [27] Inovet ©   (23.09.11 10:30)
> Кстати, DrWeb отключает авторан, и вообще фиг откроешь autorun.inf
> даже на чтение, пока в административном режиме не снимешь
> галку.

Вот в этом смысле как раз разделения на флешки и CD/DVD мне лично у них и не хватает. В остальном - действительно очень приятная фишка.


 
CRLF   (2011-09-23 10:38) [29]

аж Руссинович новую версию autoruns выпустил, начитавшись ваших топиков.



Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2012.01.08;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.54 MB
Время: 0.004 c
2-1317219642
Gu
2011-09-28 18:20
2012.01.08
события


15-1316162516
И. Павел
2011-09-16 12:41
2012.01.08
Переезд в Санкт-Петербург


15-1316464181
Юрий
2011-09-20 00:29
2012.01.08
С днем рождения ! 20 сентября 2011 вторник


2-1317305480
Очень Злой
2011-09-29 18:11
2012.01.08
Как работать с двухмерным динамический массивом?


2-1317637088
onyx2012
2011-10-03 14:18
2012.01.08
кастомная сортировка в ExpressQuantumGrid





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский