Текущий архив: 2009.12.27;
Скачать: CL | DM;
Вниз
О вирусе... Найти похожие ветки
← →
{RASkov} © (2009-10-27 12:15) [0]т.е. вирус или неч-то "прилепило" в браузеры сверху красный банер сомнительного содержания...
Как бы "это дело" победить? т.е. убрать эту бяку...
Поисковики(Яндекс и гугл) находят решения.... много решений.... пробовал с их помощью избавится от этой гадости. Ни в какую :(
Браузеры: ИЕ и Опера. В ИЕ Надстройки проверены, практически все отключено. Рядом с соседским(здоровым) компом сравнено.
В Опере тоже все проверено...
Но, если в разных браузерах одно и тоже, значит это не в них дело?
Начал искать тварь в автозагрузке.... и параллельно запустил НОДа на проверку. Ни он ни я ничего не нашли :(
Первый раз такое.... неужели нельзя решить проблему без переустановки оси?
← →
brother © (2009-10-27 12:19) [1]1. поставь Process Explorer (смотри процессы)
2. мониторь активность на винте (Filemon)
3. доступ к реестру (Regmon)
4. поставь anvirrus (посмотри шо к чему)
5. антивирь надеюсь в Safe Mode запущен?
6. в любом случае пакость где-либо засветится...
зы удачи!
← →
Игорь Шевченко © (2009-10-27 12:20) [2]autoruns|Internet Explorer|Browser helper objects ?
← →
brother © (2009-10-27 12:21) [3]7. поставь хром - там окно отладки - вообще вешь!
← →
brother © (2009-10-27 12:22) [4]> Internet Explorer|Browser helper objects ?
эээ, а к опере это разве относится?
← →
sniknik © (2009-10-27 12:23) [5]т.е. оно в html добавляется? - мазила + adblock plus
а вообще посмотри может у тебя через прокси контент идет? и он это это добавляет.
← →
sniknik © (2009-10-27 12:24) [6]> 7. поставь хром - там окно отладки - вообще вешь!
лучше чем firebug в мазиле?
← →
antonn © (2009-10-27 12:24) [7]проверь службы :)
← →
antonn © (2009-10-27 12:29) [8]И вообще, что за отладка да отладка? Кнопку в чужом окне можем ведь сделать, какой там дебагер это отловит? :)
← →
Кто б сомневался © (2009-10-27 13:41) [9]А вы бы не могли сказать сайт где это можно подхватить? Давно хотел посмотреть как работает.
← →
Кто б сомневался © (2009-10-27 13:43) [10]Кстати, поставьте себе файрволл хороший, типа Outpost - и уберите антивирус. Этого хватит чтобы шарится по инету без проблем, ни о чем не задумываясь.
← →
{RASkov} © (2009-10-27 13:46) [11]> [1] brother © (27.10.09 12:19)
1 - смотрел уже, ничего подозрительного там не увидел... это без "Lower Pane", с ней месяц разбираться можно...)
2 - не умею, т.е. там большой поток информации, а фильтр ставить нужно знать что. Можно конечно начать с выключения из слежения заведомо "исправных" объектов....
3 - тоже что и 2..... возможно, если не найду других решений и будет время можно будет заняться этими инструментами.
4 - установлен, НОД... свежие базы.
5 - и в безопасном режиме тоже проверял....
6 - нифика :(
7 - примерно тоже что и 2, 3...
> [2] Игорь Шевченко © (27.10.09 12:20)
Повыключал всё. там были 4 штуки: Акробатовский, квиповский, майлрусский) и спайботский...
эффект - 0
> [5] sniknik © (27.10.09 12:23)
> т.е. оно в html добавляется?
ну если посмотреть код html страницы с бякой, то да.... в начало добовляется эта ерундистика...
> а вообще посмотри может у тебя через прокси контент идет?
вроде нет. Т.е. в настройках Оперы, например, там где про прокси, нет ни одной галочки.... в ИЕ тоже нет.
> [7] antonn © (27.10.09 12:24)
ничего подозрительного....
← →
{RASkov} © (2009-10-27 13:51) [12]> [9] Кто б сомневался © (27.10.09 13:41)
Сам удивляюсь, где находят такое вообще)
Комп не мой..... обратились именно с этой проблемой.
Собс-но это не первый раз(не с этим компом, но не важно), но раньше это как-то легко "выковыривалось", например, путем отключения надстроек в ИЕ....
> [10] Кто б сомневался © (27.10.09 13:43)
Инет, инетом.... но без антивиря честным людям всеж сейчас, я считаю, никак нельзя....
Другое дело если это свой комп и ты в нем уверен.... т.е. проблему решишь своми силами если что....
← →
Smile (2009-10-27 13:58) [13]http://search.otvet.mail.ru/?q=%F3%E4%E0%EB%E8%F2%FC+%EF%EE%F0%ED%EE%E8%ED%F4%EE%F0%EC%E5%F0
← →
Eraser © (2009-10-27 14:29) [14]http://www.freedrweb.com/cureit/
← →
{RASkov} © (2009-10-27 23:02) [15]Был plugshow.dll в System32
но откуда он загружался, так я и не понял.....
А нашел его Dr.Web® CureIt!®
← →
Плохиш © (2009-10-28 00:25) [16]
> sniknik © (27.10.09 12:23) [5]
>
> т.е. оно в html добавляется? - мазила + adblock plus
Это да :-)) Хотел как-то на чужом компе что-то с айфолдера скачать, минут пять среди сисек искал куда ткнуть надо :-))
← →
Плохиш © (2009-10-28 00:32) [17]
> {RASkov} © (27.10.09 23:02) [15]
>
> Был plugshow.dll в System32
> но откуда он загружался, так я и не понял
Прям как "наивный чукотский мальчик" ;-) Ну ткнули челы в банер с обещанием больших ... или сереальчик какой посмотреть решили :-)
PS. А ентот ff фигня, не все попапы блокирует, урод :-(
← →
boa_kaa © (2009-10-28 00:32) [18]
> Кто б сомневался © (27.10.09 13:43) [10]
найдуца же советчики...
> {RASkov} © (27.10.09 23:02) [15]
нефик под админом сидеть
← →
Плохиш © (2009-10-28 00:35) [19]
> boa_kaa © (28.10.09 00:32) [18]
> нефик под админом сидеть
Незнай, незнай, у меня avp в описанныом случае сразу просыпается.
← →
boa_kaa © (2009-10-28 00:40) [20]
> Плохиш © (28.10.09 00:35) [19]
ну проснется раз, два, потом хватанет что-нить такое, что его нокаутирует
под никсами же никто под рутом не сидит?
а попробуйте на досуге...
← →
Плохиш © (2009-10-28 00:44) [21]
> ну проснется раз, два, потом хватанет что-нить такое, что
> его нокаутирует
Во, точно, хоть посмотрю как "что-нить" выглядит :-) Столько лет жду, ещё подожду. Хотя с политикой мелкого софта видно не дождаться...
← →
boa_kaa © (2009-10-28 00:50) [22]
> Плохиш © (28.10.09 00:44) [21]
мое дело предложить, Ваше дело - отказаться :)
← →
{RASkov} © (2009-10-28 00:54) [23]> [17] Плохиш © (28.10.09 00:32)
> Ну ткнули челы в банер с обещанием больших ...
Не, я не о том как его "скачали", а о том, где(откуда) эта библиотека загружается при загрузке ОС...
:)
← →
boa_kaa © (2009-10-28 01:03) [24]
> {RASkov} © (28.10.09 00:54) [23]
возьми process explorer и посмотри, кого она пользует
скорее всего, какой-то драйвер
← →
{RASkov} © (2009-10-28 01:22) [25]> [24] boa_kaa © (28.10.09 01:03)
ну теперь поздно....:) после того, как CureIt!® его грохнул, я думал найду записи в реестре о нем(ней, библиотеке(dll)) но практически ничего не нашлось...)
т.е. был найден раздел с именем библиотеки plugshow с одним ключом в нем с именем ID и значением "0"... Я его быстро "добил"(DEL), потом поиск далее, ничего не нашлось более и затем потерял то место, где был тот раздел...
← →
boa_kaa © (2009-10-28 02:32) [26]
> {RASkov} © (28.10.09 01:22) [25]
пройдись автораном с сисинтерналса по разделу драйверов, может, что сомнительное увидишь
← →
brother © (2009-10-28 04:22) [27]главное - пакость нашли, остальное - мелочи ;)
← →
brother © (2009-10-28 04:23) [28]меня так и подмывает спровить...
> был найден раздел с именем библиотеки plugshow с одним ключом
> в нем с именем ID и значением "0"...
что бы было, если в 1 переставить? ;)
зы надо было библу восстановить и мониторить уже ее ;)
← →
{RASkov} © (2009-10-28 10:21) [29]> [26] boa_kaa © (28.10.09 02:32)
на мой взгляд там ничего подозрительного нет... хотя у этих драйверов такие имена, что подозревать можно через одного)
> [28] brother © (28.10.09 04:23)
можно было бы... мне тоже интересно, но времени не хватает на это :( :)
← →
brother © (2009-10-28 10:23) [30]> но времени не хватает на это
жаль, эксперимент провалился, так и не начавшись ;)
← →
Anatoly Podgoretsky © (2009-10-28 11:38) [31]> Плохиш (28.10.2009 00:35:19) [19]
А если не проснется?
Страницы: 1 вся ветка
Текущий архив: 2009.12.27;
Скачать: CL | DM;
Память: 0.54 MB
Время: 0.021 c
