Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2007.07.22;
Скачать: CL | DM;

Вниз

Удаление альтернативных обозревателей интренета   Найти похожие ветки 

 
Сатир   (2007-06-20 16:50) [0]

При запуске Проводника или IE из системы удаляется Opera.Dll и библиотеки FIreFox"a. Это уже похоже на нечестную конкуренцию.
Проследил под FileMon, это делает процесс explorer.exe и iexplore.exe.
У кого-то была такая ситуация и как это можно полечить?
Переустановку винды не предлагать.


 
tesseract ©   (2007-06-20 16:57) [1]


> Переустановку винды не предлагать.


Предлагаю проверить систему на предмет вирусов.  У меня никто так себя не ведёт.


 
Cj ©   (2007-06-20 17:23) [2]

да, возможен вариант подгрузки DLL к Explorer"у


 
Cj ©   (2007-06-20 17:28) [3]

дай мне мыло, я скину тебе свою прогу по этой части, только через 12 часов Т.К спать надо. у меня  0:26


 
Сатир   (2007-06-20 18:24) [4]


> Предлагаю проверить систему на предмет вирусов.  У меня
> никто так себя не ведёт.
>

Проверял. Были вирусы, вроде всех поубивал. Но похоже, они пропатчили проводник и ослика...

> дай мне мыло, я скину тебе свою прогу по этой части,

А как эта прога называется? Может она у меня уже есть...
Кидай на joe_satirus(сабака)mail.ru


 
oldman ©   (2007-06-20 18:58) [5]


> Сатир   (20.06.07 16:50)  


Либо машина больна, либо ручки умелые...
Процесс explorer.exe не будет удалять dll для Opera.
Он для этого не предназначен.
Имхо.


 
TUser ©   (2007-06-20 19:10) [6]

Вирусы воспитывают пользование правильными программами? Интересно. Надо написать вируса, который удаляет MSVS и ставит Turbo Delphi.


 
Virgo_Style ©   (2007-06-20 19:45) [7]

TUser ©   (20.06.07 19:10) [6]
Вирусы воспитывают пользование


теми программами, под которые заточены сами, что-то мне подсказывает


 
Anatoly Podgoretsky ©   (2007-06-20 20:08) [8]

> Сатир  (20.06.2007 18:24:04)  [4]

> Проверял. Были вирусы, вроде всех поубивал.

Как опять и опять всех поубивал.


 
sniknik ©   (2007-06-20 20:33) [9]

может и не вирус, может ad-aware.


 
Anatoly Podgoretsky ©   (2007-06-20 20:35) [10]

> sniknik  (20.06.2007 20:33:09)  [9]

Если удаляет, то это уже вирус, класса троян


 
Сатир   (2007-06-21 11:32) [11]


> Вирусы воспитывают пользование правильными программами?

скорее не воспитывают, а навязывают пользование только Осликом, потому что под него больше всего вирусов, он больше всего изучен, с помощью него легче всего закачать другие вирусы, он встроен в систему. Поэтому, чтобы пользователь после всех метаний к другим программам просмотра инета, пришёл к ослику и пользовался только им, удаляются альтернативные проги.


> Как опять и опять всех поубивал.


Этим какое-то время занимался NAV, но одну длл-ку он никак не мог удалить.
Удалил вручную с помощью анлокера, который поставил удаление в очередь перед загрузкой системы.
После этого, Ослик перестал грузить троянов, которые потом убивались антивирусом. Остался вот только такой эффект как бы "нечестной конкуренции".
Ещё проверял с помощью Ad-Aware, антивирусом зайцева - классная вещь, McAffee8 - практически ничего не нашёл.
Заменял экзешник iexplore.exe, на другой с дистрибутива. Но эффект остался.
Похоже, остались какие-то ключи в реестре, которые перед запуском осла или проводника, дёргают какую-то дллку, которая выполняет все эти пакости.
Но под файловым монитором удаление этих файлов выполняют только две этих проги.
И устанновленный аутпост не ругается о том, что в их тело было что-то внедренно.
Вот такой крик души получился.
Естественно, на какую-то помощь я здесь не расщитывал.
Только как в качестве блога, может кому-то пригодится.


 
Сатир   (2007-06-21 11:35) [12]


> дай мне мыло, я скину тебе свою прогу по этой части, только
> через 12 часов Т.К спать надо. у меня  0:26

лучше выложи на какой нить публичный сервер или скажи название, если это не самопал. То мыло сейчас недоступно.


 
Думкин ©   (2007-06-21 11:38) [13]


> Сатир   (21.06.07 11:35) [12]

А то ли он предлагает на фоне интеллектального прорыва при подготовке к ЕГЭ?

> да, возможен вариант подгрузки DLL к Explorer"у

меня смущает такой комментарий к твоему сабжу.


 
Сатир   (2007-06-21 12:40) [14]


> > да, возможен вариант подгрузки DLL к Explorer"у
>
> меня смущает такой комментарий к твоему сабжу.

как именно смущает? и по какой причине?

На самом деле, это происходит(удаление библиотек альтернативных просмотрщиков инета) также и при запуске Панели управления(Control Panel) и при запуске виндового поиска.

Так что скорее всего есть какие-то ключи реестра, которые дёргаются во время запуска этих программ, ибо изменение самих программ мог бы выкупить антивирус.
Можно ещё проверить контрольную сумму этих программ и сравнить с теми, что из дистриба.
Ладно, пойдё поищу регмон, гляну под ним, что там творится...


 
Сатир   (2007-06-21 17:38) [15]

Ура!
Кажеццо я его таки залечил!)))
Спасибо Антивирусу Зайцева. AVZ, который.
Вообщем рассказываю, как полечил.
В AVZ есть возможность просмотреть модули расширения эксплорера, ослика, автозагрузки, список драйверов и многое другое.
Вот и решил просмотреть список драйверов и нашел там четыре неподписаных драйвера, один из которых в описании назывался просто driver. :-) Не хватило вирусописателям в такой простой вещи фантазии)))
Потом взял и просто переименовал эти файлики и перегрузил систему.
Привожу список файлов, которые вызвали подозрение и которые пришлось переименовать:
\system32\nso12k.sys
\system32\driver\EntDrv51.sys
\system32\driver\naiavf5x.sys
\system32\driver\mvstdi5x.sys

Мои злоключения, которые длились больше месяца, наконец-то закончились:)
Всем спасибо, кто за меня переживал.


 
tesseract ©   (2007-06-21 17:58) [16]


> Сатир   (21.06.07 17:38) [15]


Autoruns намного круче для этого.


 
Галинка ©   (2007-06-21 17:58) [17]

что есть ослик? eMule?


 
Плохиш ©   (2007-06-21 18:08) [18]


> Галинка ©   (21.06.07 17:58) [17]
> что есть ослик?

internet explorer


 
Сатир   (2007-06-21 18:15) [19]


> Autoruns намного круче для этого.

а разве он показывает список загружаемых драйверов?
кстати, его тоже до обеда запускал и никакой подозрительной инфы он мне не выдал.
Так что в данном случае он явно не круче.
Просто выдал список ключей реестра, из которых проводится запуск программ при старте винды. а вот сами драйвера и какие именно загружаются, не показал.
может, у меня версия нета

Name:autoruns.zip
URL:http://www.systeminternals.com/files/autoruns.zip
Size: 28KB
Complete Time:Mon Dec 23 13:53:10 2002
Referer:http://www.systeminternals.com/ntw2k/source/misc.shtml
Comment:Download AutoRuns (32 KB)
версия 2.0


 
tesseract ©   (2007-06-21 18:23) [20]


> а разве он показывает список загружаемых драйверов?


на закладке drivers показывает.


 
Сатир   (2007-06-21 18:42) [21]

у меня наверное версия старая - нет там такой закладки, там вообще закладок нету, только одно окошко с перечнем ключей реестра



Страницы: 1 вся ветка

Текущий архив: 2007.07.22;
Скачать: CL | DM;

Наверх




Память: 0.52 MB
Время: 0.021 c
1-1179238508
XR
2007-05-15 18:15
2007.07.22
Вопрос по Delphi 2007


15-1182524283
Dreamse
2007-06-22 18:58
2007.07.22
Подскажите утилиту для извлечения списка экспорта из dll


15-1182782540
icqbot
2007-06-25 18:42
2007.07.22
ICQ BOT


2-1182803080
медиатор
2007-06-26 00:24
2007.07.22
перемотка


15-1181359354
MBo
2007-06-09 07:22
2007.07.22
Новый roadmap CodeGear