HELP!!!

[SG2_Wasy 8]

Вроде нет. Уменя Мэйл агент стоит.

файла такого нет

меня тож файлик подозрительным кажетсо, ибо ни разу не видал.... исчи лучше, в реестре тож желательно.......

[=HD=Golem 48]

Вроде нет. Уменя Мэйл агент стоит.

Вроде нет, а yupdate.exe висит в процессах. Ищи и этот тоже.

файла такого нет

Диспетчер задач посмотри. Есть ли он сейчас в процессах. Кабы не пришлось переименовывающуюся сволочь ловить.

И потом, ищи лучше. Что значит нет - если вот он висит.

[tim 0]

Вроде нет, а yupdate.exe висит в процессах. Ищи и этот тоже.

Диспетчер задач посмотри. Есть ли он сейчас в процессах. Кабы не пришлось переименовывающуюся сволочь ловить.

И потом, ищи лучше. Что значит нет - если вот он висит.

Один нашел вот

Второй в процессах есть (имя не меняет), найти не могу.

Через поиск (F3) нет, в реестре тоже не вижу, как еще поискать?

[=HD=Golem 48]

Один нашел вот

Это сборщик почты Яндекса. Если не ставил - грохни через установку/удаление программ или из старт меню если есть.

И процесс сам грохни в диспетчере задач для чистоты.

Второй в процессах есть (имя не меняет), найти не могу.

Через поиск (F3) нет, в реестре тоже не вижу, как еще поискать?

Почисти ка ты кэш IE. Весь. Потом никуда не ходи только сюда ходи. Потом хлопни этот процесс в диспетчере...если получится

Потом сходи в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и посмотри нет ли там чего подозрительного. И вообще ключи Run посмотри во всех разделах. Типа там RunOnce и все такое.

И тут HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ секции Run

и тут HKEY_USERS\.DEFAULT\Software\Microsoft\Windows

[tim 0]

Это сборщик почты Яндекса. Если не ставил - грохни через установку/удаление программ или из старт меню если есть.

И процесс сам грохни в диспетчере задач для чистоты.

Почисти ка ты кэш IE. Весь. Потом никуда не ходи только сюда ходи. Потом хлопни этот процесс в диспетчере...если получится

Потом сходи в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и посмотри нет ли там чего подозрительного. И вообще ключи Run посмотри во всех разделах. Типа там RunOnce и все такое.

И тут HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ секции Run

и тут HKEY_USERS\.DEFAULT\Software\Microsoft\Windows

Со сборщиком почты Яндекс разобрался.

Второй файл jlcekimd.exe нашел в реестре :

В процессах выключил.

Удалить из реестра?

[=HD=Golem 48]

Да. Все три галки поставь и удали.

А ваще после того как удалишь регклинер перегрузи и опять посмотри автозагрузку...

Потом пробуй перегрузиться...бла бла бла стремно.

[k0rrca 9]

мля убей чела который те такую сборку дистрибутива дал

готовые троянцы ужаснах

[=HD=Golem 48]

Да я думаю может явский скрипт какой или через форточки непропатченные что пролезло.

tim по сомнительным местам лазил, признавайся

[k0rrca 9]

Да я думаю может явский скрипт какой или что через форточки непропатченные что пролезло.

tim по сомнительным местам лазил, признавайся

мля у мя оператор млять ............отжег епт............троянец в 52 местах...........она я тока в банк клиенте работала

так хотелось че серьезно?.....т.е. мордой ее лица в монитур пихнуть что б она поглядела где она лазиет...........монитор пожалел.........

[=HD=Golem 48]

мля у мя оператор млять ............отжег епт............троянец в 52 местах...........она я тока в банк клиенте работала

так хотелось че серьезно?.....т.е. мордой ее лица в монитур пихнуть что б она поглядела где она лазиет...........монитор пожалел.........

Зачет. Это налоговая, фискалы, ФСБ, СБ Президента, Пенсионный и конкуренты

Напополам 26 кейлоггеров и 26 ремотадминов

[tim 0]

Да я думаю может явский скрипт какой или что через форточки непропатченные что пролезло.

tim по сомнительным местам лазил, признавайся

Все сделал как сказал.

После перезагрузки обоих сомнительных файлов в процессах нет. В реестре нет.

По сомнительным местам нелазаю. Жену допросил - получил скандальчик. Жена определила - я двинулся по фазе

Голем, ОГРОМНОЕ спасибо за помощь, посмотрю денек будет ли вылазить эта кака

обязательно отпишусь Пойду

[=HD=Boor 22]

а третья строчка в диспечере всех удовлетворяет? :biggrin: :biggrin:

[=HD=Golem 48]

а третья строчка в диспечере всех удовлетворяет? :biggrin: :biggrin:

Попадалось что такие вещи как системные процессы запускаются. Типа интеграция мать её. Если завтра полезет - надо дальше копать.

[=HD=Boor 22]

Попадалось что такие вещи как системные процессы запускаются. Типа интеграция мать её. Если завтра полезет - надо дальше копать.

ты что комрад? :icon_mad:

ExploreR.EXE файл от Корпорации Майкрософт а файл iexplore.exe верняк от коорпорации Мукрософт

и он начало всех начал...запускается как замена ExploreR у... и дальше

http://forum.kaspersky.com/index.php?showtopic=21103

[tim 0]

Попадалось что такие вещи как системные процессы запускаются. Типа интеграция мать её. Если завтра полезет - надо дальше копать.

Придется копать дальше опять дрянь такая лезит :huh:

(Только я щас спать)

[SLI=Hetzer_34= 10]

Второй файл jlcekimd.exe нашел в реестре :

Йопта. Хренасе автозагрузка. :swoon:

[=HD=Golem 48]

ты что комрад? :icon_mad:

ExploreR.EXE файл от Корпорации Майкрософт а файл iexplore.exe верняк от коорпорации Мукрософт

и он начало всех начал...запускается как замена ExploreR у... и дальше

http://forum.kaspersky.com/index.php?showtopic=21103

Эх.

Я кажись догадываюсь что это за шняга Попытка выгрузить его приведет к тому что он опять запустится. Если его и найдешь где по поиску - то в той папке его тупо не будет. Дурная ситуация - по поиску показывает файл и папку где он лежит, а при попытке удалить говорит что нет такого файла. Или он тут же опять восстанавливается из dllcache. А Каспер его не видит потому что тот под системную службу какую маскируется. Наверняка собака порты слушает.

Ну...одну дрянь прибили хоть...будем дальше.

Лана...завтра.

tim Убей из автозагрузки Mmdmm.exe и сам файл найди и убей. Или на крайняк скажи где лежит...Я чет сразу внимания не обратил.

[nb79 88]

Эх.

Я кажись догадываюсь что это за шняга Попытка выгрузить его приведет к тому что он опять запустится. Если его и найдешь где по поиску - то в той папке его тупо не будет. Дурная ситуация - по поиску показывает файл и папку где он лежит, а при попытке удалить говорит что нет такого файла. Или он тут же опять восстанавливается из dllcache. А Каспер его не видит потому что тот под системную службу какую маскируется. Наверняка собака порты слушает.

Ну...одну дрянь прибили хоть...будем дальше.

Лана...завтра.

tim Убей из автозагрузки Mmdmm.exe и сам файл найди и убей. Или на крайняк скажи где лежит...Я чет сразу внимания не обратил.

Так, первое. Это может быть и вполне серьезно. Вероятнее всего ты стал частью какого то китайского бот-нета. Или не китайского :ph34r: Вся нехорошесть в том, что это может быть вполне злая зараза, хорошо маскирующаяся. И имена файлов не причем. Садится троян, он загружает руткит, и кучу разных вирусов. Причем просить перезагрузки, это вполне в этой теме. И не в бут он пишется, а ему надо аккуратно свой драйвер притырить. Вот при перезагрузке он его и маскирует. Потом ставит хуки и прячется от всего мира. К сведенью. Есть такие, которых никто на сегодняшний день не ловит.

Что сделать? Первое.

Сходи, и почитай вот это:

http://forum.kaspersky.com/index.php?showtopic=23473

оно же, но оригинал:

http://virusinfo.info/showthread.php?t=1235

Прчитай внимательно и выполни все согласно инструкции.

Скачай:

Rootkit Unhooker(www.rku.nm.ru)

RootkitRevealer(http://www.microsoft.com/technet/sysinternals/default.mspx)

Autoruns (http://www.microsoft.com/technet/sysinternals/default.mspx)

В них внимательно посмотри на производителей (Version Info). Если система чистая, то там кроме Microsoft и производителей оборудования ничего не должно быть! Все, что не нравится (пустой версион инфо, не знакомое имя и т.д.) должно попасть под контроль. Смотри на сообщения! Если пишут, что хукнуто, то надо хуки снять! А авто загрузке так же смотри на имена производителя. Отсортируй по именам. Пусто/не нравится - убери крыжик. Если опять вылазит, значит кто то ставит его!

Еще почистить все тэмпы и прочии кэши. Temp юзеровский обычно в %RootDir%\Documents and Settings\%User%\Local Settings\Temp. Удали там ВСЕ тоже. Зайди в %WindowsDir%\System32\ и по всем

директориям пройдись. В каждой отсортируй файлы по дате. Большенство из них будут иметь одну дату, дату релиза операционки или сервиспака. Все, где дата отличается надо проверить. Да, еще выдерни сетевой (Net который) кабель на все время проверки. Только после скачки всего нужного. Или все другие способы в сеть выйти (модем, WiFi и т.п.). Кстати, бывает так, что криво писанные трои/вирусы падают с ошибкой если сеть не находят Вобщем ВНИМАТЕЛЬНО почитай и сделай все, что там написанно. Скорее всего проблема решится. Ну и нафига ставить операционку неизвестно от куда взятую? Пойди, и купи ОЕМ ного хомяка. Не думаю, что 100 ойро на несколько лет, это много. Последнее, это мое частное мнение, не навязываю

[=HD=Golem 48]

К сведенью. Есть такие, которых никто на сегодняшний день не ловит.

Я словил раз такого. Так и не понял - как. Каспер не определял хотя однозначная зараза была. Репорт отослал, ответ только через день пришел. Что методы лечения отрабатываются а пока просто включен в базы.

К тому времени я его прихлопнул подключив винт с резервной системой. Вычистил все что можно, многое чисто эмпирическим путем. Зараза была зачетная.

[nb79 88]

Я словил раз такого. Так и не понял - как. Каспер не определял хотя однозначная зараза была. Репорт отослал, ответ только через день пришел. Что методы лечения отрабатываются а пока просто включен в базы.

К тому времени я его прихлопнул подключив винт с резервной системой. Вычистил все что можно, многое чисто эмпирическим путем. Зараза была зачетная.

Да, вариант с резервной системой правильный. Только вот руками в огромной массе файлов сложно копаться. Да и добраться до некоторых мест сложно. Если это какой нибудь компаунд файл, который по сути сам вроде файловой системы, то ручками ты там не много найдешь. Но в любом случае это хороший вариант для радикального лечения. Вроде подключения к автономным системам жзниобеспечения в реанимации :biggrin:

PS: Про зачетные системы лучше без деталей. Пусть пионеры сами изобретают. Хотя еще лучше им бабами занятся...

PPS: Забыл акцентировать внимание. Резервнвя система, это резервная система! Отдельный носитель в столе/сейфе! Подключается ТОЛЬКО при аварийных ситуациях. А то бывает вставят такой в комп и юзают. Мол, с него же не запускаемя?!... Почему он не годится?

[tim 0]

Эх.

Я кажись догадываюсь что это за шняга Попытка выгрузить его приведет к тому что он опять запустится. Если его и найдешь где по поиску - то в той папке его тупо не будет. Дурная ситуация - по поиску показывает файл и папку где он лежит, а при попытке удалить говорит что нет такого файла. Или он тут же опять восстанавливается из dllcache. А Каспер его не видит потому что тот под системную службу какую маскируется. Наверняка собака порты слушает.

Ну...одну дрянь прибили хоть...будем дальше.

Лана...завтра.

tim Убей из автозагрузки Mmdmm.exe и сам файл найди и убей. Или на крайняк скажи где лежит...Я чет сразу внимания не обратил.

Приду с работы сделаю.

[tim 0]

Так, первое. Это может быть и вполне серьезно. Вероятнее всего ты стал частью какого то китайского бот-нета. Или не китайского :ph34r: Вся нехорошесть в том, что это может быть вполне злая зараза, хорошо маскирующаяся. И имена файлов не причем. Садится троян, он загружает руткит, и кучу разных вирусов. Причем просить перезагрузки, это вполне в этой теме. И не в бут он пишется, а ему надо аккуратно свой драйвер притырить. Вот при перезагрузке он его и маскирует. Потом ставит хуки и прячется от всего мира. К сведенью. Есть такие, которых никто на сегодняшний день не ловит.

Что сделать? Первое.

Сходи, и почитай вот это:

http://forum.kaspersky.com/index.php?showtopic=23473

оно же, но оригинал:

http://virusinfo.info/showthread.php?t=1235

Прчитай внимательно и выполни все согласно инструкции.

Скачай:

Rootkit Unhooker(www.rku.nm.ru)

RootkitRevealer(http://www.microsoft.com/technet/sysinternals/default.mspx)

Autoruns (http://www.microsoft.com/technet/sysinternals/default.mspx)

В них внимательно посмотри на производителей (Version Info). Если система чистая, то там кроме Microsoft и производителей оборудования ничего не должно быть! Все, что не нравится (пустой версион инфо, не знакомое имя и т.д.) должно попасть под контроль. Смотри на сообщения! Если пишут, что хукнуто, то надо хуки снять! А авто загрузке так же смотри на имена производителя. Отсортируй по именам. Пусто/не нравится - убери крыжик. Если опять вылазит, значит кто то ставит его!

Еще почистить все тэмпы и прочии кэши. Temp юзеровский обычно в %RootDir%\Documents and Settings\%User%\Local Settings\Temp. Удали там ВСЕ тоже. Зайди в %WindowsDir%\System32\ и по всем

директориям пройдись. В каждой отсортируй файлы по дате. Большенство из них будут иметь одну дату, дату релиза операционки или сервиспака. Все, где дата отличается надо проверить. Да, еще выдерни сетевой (Net который) кабель на все время проверки. Только после скачки всего нужного. Или все другие способы в сеть выйти (модем, WiFi и т.п.). Кстати, бывает так, что криво писанные трои/вирусы падают с ошибкой если сеть не находят Вобщем ВНИМАТЕЛЬНО почитай и сделай все, что там написанно. Скорее всего проблема решится. Ну и нафига ставить операционку неизвестно от куда взятую? Пойди, и купи ОЕМ ного хомяка. Не думаю, что 100 ойро на несколько лет, это много. Последнее, это мое частное мнение, не навязываю

Скачаю, попробую.

[=HD=Boor 22]

Если ты ,tim с компом на не "ей ты железака хренова" - а походу так оно и есть, то лучшим и мудрым решением будет переустановить систему.

если же хочется длительного секса порядок рекомендую следующий...

0. купить бубен. в некотрых случаях помогают маракасы (я кстати ими пользуюсь)

1. создать загрузочный диск дающий возможность полного доступа в том числе и к реестру, например ERD Commander

2. отрубить сеть физически - (отрезать проводки, разбить хаб - на выбор)

3. загрузится с сидюка.

4. долго и нудно искать в реестре параметры и ключи с гадостями (вот здесь нужен бубен - т.к. что искать именно сказать довольно сложно....имена могут быть разными, где искать - автозагрузка, сервисы, модули эксплорера и наверное загружаемые *.dll)

5. исходя из найденых параметров найти файлы - удалить.

6. загрузится с системного диска, проверить процессы сервисы..

7. если все получилось - подключить сеть, если нет - повторить начиная с п.1 и так до победы или краха системы...

как то у знакомых чистил эту шнягу именно по описываему сценарию..получилось...

зы..... можно попробовать скачать загрузочный диск с антивирусом с последними базами....может он поможет...

[=HD=Boor 22]

Я словил раз такого. Так и не понял - как. ...........

мне кажется он пользуется вседозволенностью эксплорера...

вчера через оперу он не пролез, зашел по ссылке где его предлагают загрузить, чистое окно, но накидалось какаято шняга в системный темр...

сегодня вечерком проэксперементирую....

[nb79 88]

мне кажется он пользуется вседозволенностью эксплорера...

вчера через оперу он не пролез, зашел по ссылке где его предлагают загрузить, чистое окно, но накидалось какаято шняга в системный темр...

сегодня вечерком проэксперементирую....

Дык, а зачем запускать эксплорера под правами Администратор?