Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2004.12.26;
Скачать: CL | DM;

Вниз

Убить зверя на компе....   Найти похожие ветки 

 
NailMan ©   (2004-12-08 12:10) [0]

Есть юзерский комп с какой-то зверью. Зверь висит в процессах в 2-х копиях и следит друг за другом чтобы не закрыли одну из них. Если закрываю, то она автоматом запускается вновь. Все это очень быстро делается. Кроме того тварь грузится в авторане HCU, а не HKLM.

Если гружусь в сейф мод то естественно я не имею доступа к этому разделу юзверя, так как сеть с доменом.

Каспер и прочие антивири его порубать не могут - процесс убить не получается. Есть какие-то решения проблемы?


 
stud ©   (2004-12-08 12:11) [1]

сафе моде. пробуй убить оттуда


 
NailMan ©   (2004-12-08 12:12) [2]

А, пардон он еще и в HKLM запускается  :-(

---
WBR, NailMan aka 2:5020/3337.13


 
wicked ©   (2004-12-08 12:13) [3]

убить из-под Far"а - там есть пакетный режим убиения, выделил и F8...


 
raidan ©   (2004-12-08 12:13) [4]

>NailMan ©   (08.12.04 12:10)  
А если убить тварь из всех авторанов, а потом жмакнуть Reset?
Должна помереть, ибо не запустится.


 
NailMan ©   (2004-12-08 12:14) [5]

raidan ©
Реестр он проверяет с той же частотой что и свою запущенную копию. Пробовал - сразу же появляется вновь.

---
WBR, NailMan aka 2:5020/3337.13


 
stud ©   (2004-12-08 12:14) [6]


> А если убить тварь из всех авторанов, а потом жмакнуть
> Reset?

так процессы,запущенные следят за всем этим хозяйством


 
Digitman ©   (2004-12-08 12:15) [7]


> с какой-то зверью


Касперский-то, пусть он "зверя" и не прибил, но ведь как-то обозвал его породу, наверно ?

А раз обозвал, почему не найти на сайте Лаборатории описание логики внедрения и работы "зверя" ? Вслепую тыкаться - дороже себе встанет ..


 
NailMan ©   (2004-12-08 12:18) [8]

Кроме того обнаружилось что зверь время от времени меняет свое расположение на винте, меняет и имя экзешника и пути в авторане, причем в HKLM и HCU разные имена.

Всегда меняет свои расположения и имена при перезагрузках системы.

Блин и раздел на NTFS-е, ресетом хотел избежать переименования и физически удалить - обломс!   :-(

---
WBR, NailMan aka 2:5020/3337.13


 
raidan ©   (2004-12-08 12:19) [9]

>NailMan ©   (08.12.04 12:14) [5]
В таких случаях я выдирал винт, ставил на другую машину и вычищал тварь под корень. Путем физического удаления с жесткого диска (в авторане ведь написано, где она живет). Стоит поискать еще и другие экземпляры этой гадины по винчестеру.


 
NailMan ©   (2004-12-08 12:21) [10]

Digitman ©
Каспер его не задетектил, а NAV попросту завис на каком-то проценте.    
8-[ ]

Выкорчую, обязательно отошлю бяку Касперскому - пущай разбирается.

Файло между прочим дельфевское - иконка от 6-й Дельфи. Зверь собсно все время устанавливает ярлыки на какое-то порно-приложеньце, которое время от времени запускает. Причем также бережно следит за его существованием на компе, как и за собой.

---
WBR, NailMan aka 2:5020/3337.13


 
Игорь Шевченко ©   (2004-12-08 12:28) [11]

А загрузиться без авторанов в безопасном режиме религия мешает ?
Или хотя бы Bootlog посмотреть


 
Anatoly Podgoretsky ©   (2004-12-08 12:31) [12]

Почему бы не использовать проверенный и надежный путь? Format c: а то кто его знает какие там еще звери бродят, за это время что ты мучаешься давно бы уже переустановил всю систему.


 
Суслик ©   (2004-12-08 12:32) [13]

А вдруг format c: тоже заражен?


 
Маг Похмеляйнен   (2004-12-08 12:34) [14]

Попробовать под админом переименовать *.exe в *.bak
Иногда прокатывает.


 
NailMan ©   (2004-12-08 12:37) [15]

Блин - комп Dell-овский ноут на гарантии. Я бы его раскрутил бы и переходником к нормальной машине, но гарантия может быть и того.

---
WBR, NailMan aka 2:5020/3337.13


 
Vovchik_A ©   (2004-12-08 12:38) [16]

2NailMan ©   (08.12.04 12:21) [10]

Версию NAV озвучь ?


 
NailMan ©   (2004-12-08 13:10) [17]

Vovchik_A ©
7.60.926

---
WBR, NailMan aka 2:5020/3337.13


 
AxelBlack   (2004-12-08 13:17) [18]

>NailMan ©   (08.12.04 12:37) [15]
Ne nado ego raskruchivat" ves". Vykruti tol"ko HDD - sboku na vinte boltik. Tam ne dolzno byt" nikakah plomb. I podsoedinyaj kuda hochesh".
No luchshe ---> see Игорь Шевченко ©   (08.12.04 12:28) [11]


 
Vovchik_A ©   (2004-12-08 13:18) [19]

2NailMan ©   (08.12.04 13:10) [17]
Хм... У меня 9-ка
А оставь где-нить экземпляр этой хрени. Мне интересно поковыряться


 
Digitman ©   (2004-12-08 13:31) [20]


> NailMan ©   (08.12.04 12:10)  


загляни в
Mой компьютер -> Свойства системы -> Менеджер устройств -> Non plug"n"play Драйверы

скорей всего обнаружишь там активный драйвер режима ядра, который "зверь" установил при заражении системы, и теперь этот драйвер стартует вместе с системой и ему подконтрольны все происходящие в системе события


 
NewDelpher ©   (2004-12-08 13:41) [21]

я бы тоже не отказался посмотреть на этого зверя


 
Кудесник ©   (2004-12-08 14:55) [22]


> Vovchik_A ©   (08.12.04 13:18) [19]
> А оставь где-нить экземпляр этой хрени. Мне интересно поковыряться

> NewDelpher ©   (08.12.04 13:41) [21]
> я бы тоже не отказался посмотреть на этого зверя


И выставил NailMan вируса
И разошлось потомство его по миру
Узнали об этом дядьки злобные
Пришли к NailMan"у и оставили ему
Один монитор с клавою... Ибо нефих... %)


 
n_v_j   (2004-12-08 15:10) [23]

Так в диспетчере задач вроде должно быть кроме "завершить процесс" "завершить дерево процессов", всегда против подобных зверей помогало



Страницы: 1 вся ветка

Текущий архив: 2004.12.26;
Скачать: CL | DM;

Наверх




Память: 0.52 MB
Время: 0.032 c
3-1101336235
Константинов
2004-11-25 01:43
2004.12.26
Помогите с запросами


3-1101551289
sloug
2004-11-27 13:28
2004.12.26
DbListbox и dbgrid


10-1074095414
Kavi
2004-01-14 18:50
2004.12.26
COM технология


1-1102577907
vvllaadd
2004-12-09 10:38
2004.12.26
Подскажите пожалуйста, каким образом настроить DBChart


14-1102609969
12345
2004-12-09 19:32
2004.12.26
Add-on for Internet Explorer.