Текущий архив: 2004.12.26;
Скачать: CL | DM;
Вниз
Убить зверя на компе.... Найти похожие ветки
← →
NailMan © (2004-12-08 12:10) [0]Есть юзерский комп с какой-то зверью. Зверь висит в процессах в 2-х копиях и следит друг за другом чтобы не закрыли одну из них. Если закрываю, то она автоматом запускается вновь. Все это очень быстро делается. Кроме того тварь грузится в авторане HCU, а не HKLM.
Если гружусь в сейф мод то естественно я не имею доступа к этому разделу юзверя, так как сеть с доменом.
Каспер и прочие антивири его порубать не могут - процесс убить не получается. Есть какие-то решения проблемы?
← →
stud © (2004-12-08 12:11) [1]сафе моде. пробуй убить оттуда
← →
NailMan © (2004-12-08 12:12) [2]А, пардон он еще и в HKLM запускается :-(
---
WBR, NailMan aka 2:5020/3337.13
← →
wicked © (2004-12-08 12:13) [3]убить из-под Far"а - там есть пакетный режим убиения, выделил и F8...
← →
raidan © (2004-12-08 12:13) [4]>NailMan © (08.12.04 12:10)
А если убить тварь из всех авторанов, а потом жмакнуть Reset?
Должна помереть, ибо не запустится.
← →
NailMan © (2004-12-08 12:14) [5]raidan ©
Реестр он проверяет с той же частотой что и свою запущенную копию. Пробовал - сразу же появляется вновь.
---
WBR, NailMan aka 2:5020/3337.13
← →
stud © (2004-12-08 12:14) [6]
> А если убить тварь из всех авторанов, а потом жмакнуть
> Reset?
так процессы,запущенные следят за всем этим хозяйством
← →
Digitman © (2004-12-08 12:15) [7]
> с какой-то зверью
Касперский-то, пусть он "зверя" и не прибил, но ведь как-то обозвал его породу, наверно ?
А раз обозвал, почему не найти на сайте Лаборатории описание логики внедрения и работы "зверя" ? Вслепую тыкаться - дороже себе встанет ..
← →
NailMan © (2004-12-08 12:18) [8]Кроме того обнаружилось что зверь время от времени меняет свое расположение на винте, меняет и имя экзешника и пути в авторане, причем в HKLM и HCU разные имена.
Всегда меняет свои расположения и имена при перезагрузках системы.
Блин и раздел на NTFS-е, ресетом хотел избежать переименования и физически удалить - обломс! :-(
---
WBR, NailMan aka 2:5020/3337.13
← →
raidan © (2004-12-08 12:19) [9]>NailMan © (08.12.04 12:14) [5]
В таких случаях я выдирал винт, ставил на другую машину и вычищал тварь под корень. Путем физического удаления с жесткого диска (в авторане ведь написано, где она живет). Стоит поискать еще и другие экземпляры этой гадины по винчестеру.
← →
NailMan © (2004-12-08 12:21) [10]Digitman ©
Каспер его не задетектил, а NAV попросту завис на каком-то проценте.
8-[ ]
Выкорчую, обязательно отошлю бяку Касперскому - пущай разбирается.
Файло между прочим дельфевское - иконка от 6-й Дельфи. Зверь собсно все время устанавливает ярлыки на какое-то порно-приложеньце, которое время от времени запускает. Причем также бережно следит за его существованием на компе, как и за собой.
---
WBR, NailMan aka 2:5020/3337.13
← →
Игорь Шевченко © (2004-12-08 12:28) [11]А загрузиться без авторанов в безопасном режиме религия мешает ?
Или хотя бы Bootlog посмотреть
← →
Anatoly Podgoretsky © (2004-12-08 12:31) [12]Почему бы не использовать проверенный и надежный путь? Format c: а то кто его знает какие там еще звери бродят, за это время что ты мучаешься давно бы уже переустановил всю систему.
← →
Суслик © (2004-12-08 12:32) [13]А вдруг format c: тоже заражен?
← →
Маг Похмеляйнен (2004-12-08 12:34) [14]Попробовать под админом переименовать *.exe в *.bak
Иногда прокатывает.
← →
NailMan © (2004-12-08 12:37) [15]Блин - комп Dell-овский ноут на гарантии. Я бы его раскрутил бы и переходником к нормальной машине, но гарантия может быть и того.
---
WBR, NailMan aka 2:5020/3337.13
← →
Vovchik_A © (2004-12-08 12:38) [16]2NailMan © (08.12.04 12:21) [10]
Версию NAV озвучь ?
← →
NailMan © (2004-12-08 13:10) [17]Vovchik_A ©
7.60.926
---
WBR, NailMan aka 2:5020/3337.13
← →
AxelBlack (2004-12-08 13:17) [18]>NailMan © (08.12.04 12:37) [15]
Ne nado ego raskruchivat" ves". Vykruti tol"ko HDD - sboku na vinte boltik. Tam ne dolzno byt" nikakah plomb. I podsoedinyaj kuda hochesh".
No luchshe ---> see Игорь Шевченко © (08.12.04 12:28) [11]
← →
Vovchik_A © (2004-12-08 13:18) [19]2NailMan © (08.12.04 13:10) [17]
Хм... У меня 9-ка
А оставь где-нить экземпляр этой хрени. Мне интересно поковыряться
← →
Digitman © (2004-12-08 13:31) [20]
> NailMan © (08.12.04 12:10)
загляни в
Mой компьютер -> Свойства системы -> Менеджер устройств -> Non plug"n"play Драйверы
скорей всего обнаружишь там активный драйвер режима ядра, который "зверь" установил при заражении системы, и теперь этот драйвер стартует вместе с системой и ему подконтрольны все происходящие в системе события
← →
NewDelpher © (2004-12-08 13:41) [21]я бы тоже не отказался посмотреть на этого зверя
← →
Кудесник © (2004-12-08 14:55) [22]
> Vovchik_A © (08.12.04 13:18) [19]
> А оставь где-нить экземпляр этой хрени. Мне интересно поковыряться
> NewDelpher © (08.12.04 13:41) [21]
> я бы тоже не отказался посмотреть на этого зверя
И выставил NailMan вируса
И разошлось потомство его по миру
Узнали об этом дядьки злобные
Пришли к NailMan"у и оставили ему
Один монитор с клавою... Ибо нефих... %)
← →
n_v_j (2004-12-08 15:10) [23]Так в диспетчере задач вроде должно быть кроме "завершить процесс" "завершить дерево процессов", всегда против подобных зверей помогало
Страницы: 1 вся ветка
Текущий архив: 2004.12.26;
Скачать: CL | DM;
Память: 0.52 MB
Время: 0.03 c
