Текущий архив: 2012.01.08;
Скачать: CL | DM;

Вниз

помогите найти заразу   Найти похожие ветки 

← →
Очень Злой   (2011-09-22 15:53) [0]

Подцепил какую-то заразу с флешки. Открыл флешку тоталкомандером и хотел удалить autorun.inf (автозапуск у меня отключен), но рука дернулась и видимо ентер нажал.
В результате появился в папке Автозагрузка какой-то exe-шник. Его я удалил, поставил запрет на запись в эту папку. Вроде бы ничего, но при перезагрузке в процессах появляется firefox.exe и машина постоянно дергает дисковод. Если убить этот процесс - то дальше все нормально.
если сделать чтобы файрфокс не был браузером по умолчанию, то при перезагрузке появляется процесс iexplore.exe
Сначала подумал что что-то запускает браузер по умолчанию, скорее всего с какими-то параметрами, решил выяснить с какими, для того чтобы локализовать заразу.
наваял нечто типа:
program firefox;

{$APPTYPE CONSOLE}

USES
  classes;

procedure SaveToFile(const FileName: string; const s:string);
var
 Stream: TStream;
begin
 Stream := TFileStream.Create(FileName, fmCreate);
 try
   Stream.WriteBuffer(Pointer(S)^, Length(S));
 finally
   Stream.Free;
 end;
end;

var
s:string;
i:integer;
begin
s:="";
for i:=0 to ParamCount do  s:=s+ParamStr(i);
SaveToFile("c:\log.log",s);
end.

ну и заменил им екзешник файрфокса.
Просто при запуске этой штуки файл создается...
Но после перезагрузки - эта программа типа запускается, появляется окно консоли, но при этом программа тупо висит ничего не создавая нужного файла...

Что это может быть? куда копать?

---

← →
CRLF   (2011-09-22 15:56) [1]

процесс эксплорером или фаром посмотри командную строку...

WriteBuffer(Pointer(S)^ детский сад, ей-бо...

---

← →
И. Павел ©   (2011-09-22 16:04) [2]

> Очень Злой  

Посмотрите в реестре ветку:
HLM/Software/Microsoft/Current Version/Run - может быть там что-то прописалось на автозапуск

---

← →
sniknik ©   (2011-09-22 16:09) [3]

> Посмотрите в реестре ветку:
> HLM/Software/Microsoft/Current Version/Run - может быть там что-то прописалось на автозапуск
таких мест в винде далеко не одно... не найдется там не расстраивайся. ;)

---

← →
Омлет ©   (2011-09-22 16:14) [4]

Почему ни слова про Safe Mode, AVZ, Autoruns, а сразу какой-то странный исходник?

---

← →
stas ©   (2011-09-22 16:14) [5]

Очень Злой   (22.09.11 15:53)
Да просто вирь свой процесс называет так как называется браузер по умолчанию, тут сам браузер не причем.
Посмотрите из какой папки запущен данный процесс.

---

← →
stas ©   (2011-09-22 16:15) [6]

2. в командной строке набери msconfig и посмотри параметры автозагрузки

---

← →
sniknik ©   (2011-09-22 16:16) [7]

> Почему ни слова про Safe Mode, AVZ, Autoruns
http://technet.microsoft.com/ru-ru/sysinternals/bb795534
Autoruns :)

---

← →
Очень Злой   (2011-09-22 16:17) [8]

да смотрел. Нет там ничего подозрительного.
В win.ini, system.ini тоже нет.


> процесс эксплорером или фаром посмотри командную строку.
> ..


посмотрел. Командная строка состоит только из пути к экзешнику файерфокса, никаких параметров.

Тем не менее, пока этот процесс запущен, и система начинает дергать дисковод, то если вставить дискету - на ней сразу создается файл autorun.inf

---

← →
stas ©   (2011-09-22 16:17) [9]

Да и что говорит антивирус? качни cureIt и проверь систему.

---

← →
Ega23 ©   (2011-09-22 16:17) [10]

Я бы установил антивирус и просканировать машину?
Но девиз "Мы не ищем лёгких путей" я тоже понимаю.
Ненаказуемо.

---

← →
stas ©   (2011-09-22 16:18) [11]

А дисковвод дергается т.к. вирь себя сразу пытается записать на съемные носители и опрашивает их.

---

← →
stas ©   (2011-09-22 16:20) [12]

И вообще параметры ни к чему вирь свое тело может дописать до программы и выполнятся сразу вирь, а потом все остальное.

---

← →
Очень Злой   (2011-09-22 16:22) [13]

Cureit сейчас попробую, но что-то мне кажется, что он если и найдет - то следствие, а не причину...

---

← →
Очень Злой   (2011-09-22 16:35) [14]

Все. нашел...
Просто он там еще один exe-шник создал и засунул его в Program Files, где я не ожидал его найти...
там я его удалил и почистил  реестр , в местах где упоминался этот exe-шник

---

← →
han_malign   (2011-09-22 16:37) [15]

> таких мест в винде далеко не одно

http://technet.microsoft.com/ru-ru/sysinternals/bb963902

---

← →
ProgRAMmer Dimonych ©   (2011-09-22 16:40) [16]

> [15] han_malign   (22.09.11 16:37)
> > таких мест в винде далеко не одно
> http://technet.microsoft.com/ru-ru/sysinternals/bb963902

Этим всё равно не ограничится. Любое приложение, прописанное в автозагрузку, может создавать в реестре свои пути, содержимое которых использовать для запуска других приложений. Большинству софта это, конечно, не нужно, но сказать наверняка, не запускает ли какая-либо софтина из автозагрузки другие программы - не получится

---

← →
Игорь Шевченко ©   (2011-09-22 16:46) [17]

и файрволл не помог...
Это к http://delphimaster.net/view/15-1316494673/

---

← →
Компромисс   (2011-09-22 16:52) [18]

> и файрволл не помог...
> Это к http://delphimaster.net/view/15-1316494673/


Так это ж начинающий адепт. Со временем научится ручками быстро вычищать, как оппонент из процитированной ветки.
Главное не дать врагу информацию о том, какую музыку слушаешь :)

---

← →
Очень злой   (2011-09-22 22:18) [19]

Ну вирусы разные бывают.
> Очень Злой   (22.09.11 15:53)
> Да просто вирь свой процесс называет так как называется
> браузер по умолчанию, тут сам браузер не причем.
> Посмотрите из какой папки запущен данный процесс.


Тоже так думал.  Но когда процесс был запущен, с самим екзешником браузера я не мог ничего сделать (ни удалить, ни переименовать). Кроме того, когда я подменял екзешник браузера на упомянутое в сабжевом посте консольное приложение, то после перезагрузки появлялось консольное окно...

А из какой папки, уже писал в [8]:


> посмотрел. Командная строка состоит только из пути к экзешнику
> файерфокса, никаких параметров.

---

← →
Кто б сомневался ©   (2011-09-22 22:53) [20]

Ежики кололись, но продолжали жрать кактус.
Нет чтобы авторан отключить вообще везде, он столько бед приносит, а толку от него никакого.

---

← →
Inovet ©   (2011-09-22 23:28) [21]

> [20] Кто б сомневался ©   (22.09.11 22:53)
> Нет чтобы авторан отключить вообще везде

> [0] Очень Злой   (22.09.11 15:53)
> автозапуск у меня отключен

---

← →
Омлет ©   (2011-09-22 23:35) [22]

> Нет чтобы авторан отключить вообще везде, он столько бед приносит, а толку от него никакого.

С таким подходом проще не включать компьютер.
А лучше не выходить из палаты.

---

← →
ProgRAMmer Dimonych ©   (2011-09-23 09:41) [23]

> [20] Кто б сомневался ©   (22.09.11 22:53)
> Ежики кололись, но продолжали жрать кактус.
> Нет чтобы авторан отключить вообще везде, он столько бед
> приносит, а толку от него никакого.

Автозапуск на оптических дисках. Особенно когда, как у HP к МФУ, например, EXEшников на диске дофига, а с какого начать - неочевидно.

---

← →
Очень злой   (2011-09-23 09:47) [24]

> Нет чтобы авторан отключить вообще везде, он столько бед
> приносит, а толку от него никакого.


Вобще-то он у меня отключен. Просто случайно получилось, хотел удалить файл, а вместо этого запустил его.

Не знаю как для кого, но авторан для меня тоже абсолютно бесполезен. Никогда не сталкивался с ситуацией, когда он действительно нужен.

На ум приходит только анекдот о том как устроен бизнес: Типа одни пишут вирусы, другие антивирусы, а третьи - операционные системы под которыми это все будет работать

И не добавь майктрософт лишнюю дыру в винду в лице авторана, глядишь, в итоге бы пострадали производители антивирусов.

---

← →
ProgRAMmer Dimonych ©   (2011-09-23 09:53) [25]

> [24] Очень злой   (23.09.11 09:47)
> И не добавь майктрософт лишнюю дыру в винду в лице авторана,
> глядишь, в итоге бы пострадали производители антивирусов.

Не такая уж и дыра. Разве что не помешало бы явно запрашивать подтверждение пользователя, изредка меняя местами кнопки "Да" и "Нет".

---

← →
Очень Злой   (2011-09-23 10:28) [26]

> Не такая уж и дыра. Разве что не помешало бы явно запрашивать
> подтверждение пользователя, изредка меняя местами кнопки
> "Да" и "Нет".


ну не знаю.  А вот то, что при установке винды - авторан по умолчанию включен - очень плохо.
3/4 флешек, которые мне приносят - содержат вирусы, распространяющиеся через autorun.inf
В мелких предприятиях/организациях, где отсутствуют сисадмины все напрочь завирусовано. И довольно значительная часть вирусов там именно из этой категории... там вирусы уже между собой деруться за право поместить себя в autorun.inf
даже если спрашивать подтверждение пользователя - далеко не все поймут что это лучше не запускать, какая-нить тетя-бухгалтер все равно обязательно его запустит.

---

← →
Inovet ©   (2011-09-23 10:30) [27]

> [20] Кто б сомневался ©   (22.09.11 22:53)
> Нет чтобы авторан отключить вообще везде

Кстати, DrWeb отключает авторан, и вообще фиг откроешь autorun.inf даже на чтение, пока в административном режиме не снимешь галку.

---

← →
ProgRAMmer Dimonych ©   (2011-09-23 10:31) [28]

> [27] Inovet ©   (23.09.11 10:30)
> Кстати, DrWeb отключает авторан, и вообще фиг откроешь autorun.inf
> даже на чтение, пока в административном режиме не снимешь
> галку.

Вот в этом смысле как раз разделения на флешки и CD/DVD мне лично у них и не хватает. В остальном - действительно очень приятная фишка.

---

← →
CRLF   (2011-09-23 10:38) [29]

аж Руссинович новую версию autoruns выпустил, начитавшись ваших топиков.

---

Страницы: 1 вся ветка

Текущий архив: 2012.01.08;
Скачать: CL | DM;

Наверх

Память: 0.55 MB
Время: 0.011 c