SG2_Wasy 8 Жалоба Share Опубликовано 18 октября, 2007 Вроде нет. Уменя Мэйл агент стоит.файла такого нет меня тож файлик подозрительным кажетсо, ибо ни разу не видал.... исчи лучше, в реестре тож желательно....... Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 Вроде нет. Уменя Мэйл агент стоит. Вроде нет, а yupdate.exe висит в процессах. Ищи и этот тоже. файла такого нет Диспетчер задач посмотри. Есть ли он сейчас в процессах. Кабы не пришлось переименовывающуюся сволочь ловить. И потом, ищи лучше. Что значит нет - если вот он висит. Цитата Ссылка на сообщение Поделиться на другие сайты
tim 0 Автор Жалоба Share Опубликовано 18 октября, 2007 Вроде нет, а yupdate.exe висит в процессах. Ищи и этот тоже.Диспетчер задач посмотри. Есть ли он сейчас в процессах. Кабы не пришлось переименовывающуюся сволочь ловить. И потом, ищи лучше. Что значит нет - если вот он висит. Один нашел вот Второй в процессах есть (имя не меняет), найти не могу. Через поиск (F3) нет, в реестре тоже не вижу, как еще поискать? Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 Один нашел вот Это сборщик почты Яндекса. Если не ставил - грохни через установку/удаление программ или из старт меню если есть. И процесс сам грохни в диспетчере задач для чистоты. Второй в процессах есть (имя не меняет), найти не могу.Через поиск (F3) нет, в реестре тоже не вижу, как еще поискать? Почисти ка ты кэш IE. Весь. Потом никуда не ходи только сюда ходи. Потом хлопни этот процесс в диспетчере...если получится Потом сходи в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и посмотри нет ли там чего подозрительного. И вообще ключи Run посмотри во всех разделах. Типа там RunOnce и все такое. И тут HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ секции Run и тут HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Цитата Ссылка на сообщение Поделиться на другие сайты
tim 0 Автор Жалоба Share Опубликовано 18 октября, 2007 Это сборщик почты Яндекса. Если не ставил - грохни через установку/удаление программ или из старт меню если есть.И процесс сам грохни в диспетчере задач для чистоты. Почисти ка ты кэш IE. Весь. Потом никуда не ходи только сюда ходи. Потом хлопни этот процесс в диспетчере...если получится Потом сходи в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и посмотри нет ли там чего подозрительного. И вообще ключи Run посмотри во всех разделах. Типа там RunOnce и все такое. И тут HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ секции Run и тут HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Со сборщиком почты Яндекс разобрался. Второй файл jlcekimd.exe нашел в реестре : В процессах выключил. Удалить из реестра? Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 Да. Все три галки поставь и удали. А ваще после того как удалишь регклинер перегрузи и опять посмотри автозагрузку... Потом пробуй перегрузиться...бла бла бла стремно. Цитата Ссылка на сообщение Поделиться на другие сайты
k0rrca 9 Жалоба Share Опубликовано 18 октября, 2007 мля убей чела который те такую сборку дистрибутива дал готовые троянцы ужаснах Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 Да я думаю может явский скрипт какой или через форточки непропатченные что пролезло. tim по сомнительным местам лазил, признавайся Цитата Ссылка на сообщение Поделиться на другие сайты
k0rrca 9 Жалоба Share Опубликовано 18 октября, 2007 Да я думаю может явский скрипт какой или что через форточки непропатченные что пролезло.tim по сомнительным местам лазил, признавайся мля у мя оператор млять ............отжег епт............троянец в 52 местах...........она я тока в банк клиенте работала так хотелось че серьезно?.....т.е. мордой ее лица в монитур пихнуть что б она поглядела где она лазиет...........монитор пожалел......... Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 мля у мя оператор млять ............отжег епт............троянец в 52 местах...........она я тока в банк клиенте работалатак хотелось че серьезно?.....т.е. мордой ее лица в монитур пихнуть что б она поглядела где она лазиет...........монитор пожалел......... Зачет. Это налоговая, фискалы, ФСБ, СБ Президента, Пенсионный и конкуренты Напополам 26 кейлоггеров и 26 ремотадминов Цитата Ссылка на сообщение Поделиться на другие сайты
tim 0 Автор Жалоба Share Опубликовано 18 октября, 2007 Да я думаю может явский скрипт какой или что через форточки непропатченные что пролезло.tim по сомнительным местам лазил, признавайся Все сделал как сказал. После перезагрузки обоих сомнительных файлов в процессах нет. В реестре нет. По сомнительным местам нелазаю. Жену допросил - получил скандальчик. Жена определила - я двинулся по фазе Голем, ОГРОМНОЕ спасибо за помощь, посмотрю денек будет ли вылазить эта кака обязательно отпишусь Пойду Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Boor 22 Жалоба Share Опубликовано 18 октября, 2007 а третья строчка в диспечере всех удовлетворяет? :biggrin: :biggrin: Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 а третья строчка в диспечере всех удовлетворяет? :biggrin: :biggrin: Попадалось что такие вещи как системные процессы запускаются. Типа интеграция мать её. Если завтра полезет - надо дальше копать. Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Boor 22 Жалоба Share Опубликовано 18 октября, 2007 Попадалось что такие вещи как системные процессы запускаются. Типа интеграция мать её. Если завтра полезет - надо дальше копать. ты что комрад? :icon_mad: ExploreR.EXE файл от Корпорации Майкрософт а файл iexplore.exe верняк от коорпорации Мукрософт и он начало всех начал...запускается как замена ExploreR у... и дальше http://forum.kaspersky.com/index.php?showtopic=21103 Цитата Ссылка на сообщение Поделиться на другие сайты
tim 0 Автор Жалоба Share Опубликовано 18 октября, 2007 Попадалось что такие вещи как системные процессы запускаются. Типа интеграция мать её. Если завтра полезет - надо дальше копать. Придется копать дальше опять дрянь такая лезит :huh: (Только я щас спать) Цитата Ссылка на сообщение Поделиться на другие сайты
SLI=Hetzer_34= 10 Жалоба Share Опубликовано 18 октября, 2007 Второй файл jlcekimd.exe нашел в реестре : Йопта. Хренасе автозагрузка. :swoon: Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 18 октября, 2007 ты что комрад? :icon_mad: ExploreR.EXE файл от Корпорации Майкрософт а файл iexplore.exe верняк от коорпорации Мукрософт и он начало всех начал...запускается как замена ExploreR у... и дальше http://forum.kaspersky.com/index.php?showtopic=21103 Эх. Я кажись догадываюсь что это за шняга Попытка выгрузить его приведет к тому что он опять запустится. Если его и найдешь где по поиску - то в той папке его тупо не будет. Дурная ситуация - по поиску показывает файл и папку где он лежит, а при попытке удалить говорит что нет такого файла. Или он тут же опять восстанавливается из dllcache. А Каспер его не видит потому что тот под системную службу какую маскируется. Наверняка собака порты слушает. Ну...одну дрянь прибили хоть...будем дальше. Лана...завтра. tim Убей из автозагрузки Mmdmm.exe и сам файл найди и убей. Или на крайняк скажи где лежит...Я чет сразу внимания не обратил. Цитата Ссылка на сообщение Поделиться на другие сайты
nb79 88 Жалоба Share Опубликовано 19 октября, 2007 Эх. Я кажись догадываюсь что это за шняга Попытка выгрузить его приведет к тому что он опять запустится. Если его и найдешь где по поиску - то в той папке его тупо не будет. Дурная ситуация - по поиску показывает файл и папку где он лежит, а при попытке удалить говорит что нет такого файла. Или он тут же опять восстанавливается из dllcache. А Каспер его не видит потому что тот под системную службу какую маскируется. Наверняка собака порты слушает. Ну...одну дрянь прибили хоть...будем дальше. Лана...завтра. tim Убей из автозагрузки Mmdmm.exe и сам файл найди и убей. Или на крайняк скажи где лежит...Я чет сразу внимания не обратил. Так, первое. Это может быть и вполне серьезно. Вероятнее всего ты стал частью какого то китайского бот-нета. Или не китайского :ph34r: Вся нехорошесть в том, что это может быть вполне злая зараза, хорошо маскирующаяся. И имена файлов не причем. Садится троян, он загружает руткит, и кучу разных вирусов. Причем просить перезагрузки, это вполне в этой теме. И не в бут он пишется, а ему надо аккуратно свой драйвер притырить. Вот при перезагрузке он его и маскирует. Потом ставит хуки и прячется от всего мира. К сведенью. Есть такие, которых никто на сегодняшний день не ловит. Что сделать? Первое. Сходи, и почитай вот это: http://forum.kaspersky.com/index.php?showtopic=23473 оно же, но оригинал: http://virusinfo.info/showthread.php?t=1235 Прчитай внимательно и выполни все согласно инструкции. Скачай: Rootkit Unhooker(www.rku.nm.ru) RootkitRevealer(http://www.microsoft.com/technet/sysinternals/default.mspx) Autoruns (http://www.microsoft.com/technet/sysinternals/default.mspx) В них внимательно посмотри на производителей (Version Info). Если система чистая, то там кроме Microsoft и производителей оборудования ничего не должно быть! Все, что не нравится (пустой версион инфо, не знакомое имя и т.д.) должно попасть под контроль. Смотри на сообщения! Если пишут, что хукнуто, то надо хуки снять! А авто загрузке так же смотри на имена производителя. Отсортируй по именам. Пусто/не нравится - убери крыжик. Если опять вылазит, значит кто то ставит его! Еще почистить все тэмпы и прочии кэши. Temp юзеровский обычно в %RootDir%\Documents and Settings\%User%\Local Settings\Temp. Удали там ВСЕ тоже. Зайди в %WindowsDir%\System32\ и по всем директориям пройдись. В каждой отсортируй файлы по дате. Большенство из них будут иметь одну дату, дату релиза операционки или сервиспака. Все, где дата отличается надо проверить. Да, еще выдерни сетевой (Net который) кабель на все время проверки. Только после скачки всего нужного. Или все другие способы в сеть выйти (модем, WiFi и т.п.). Кстати, бывает так, что криво писанные трои/вирусы падают с ошибкой если сеть не находят Вобщем ВНИМАТЕЛЬНО почитай и сделай все, что там написанно. Скорее всего проблема решится. Ну и нафига ставить операционку неизвестно от куда взятую? Пойди, и купи ОЕМ ного хомяка. Не думаю, что 100 ойро на несколько лет, это много. Последнее, это мое частное мнение, не навязываю Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Golem 48 Жалоба Share Опубликовано 19 октября, 2007 К сведенью. Есть такие, которых никто на сегодняшний день не ловит. Я словил раз такого. Так и не понял - как. Каспер не определял хотя однозначная зараза была. Репорт отослал, ответ только через день пришел. Что методы лечения отрабатываются а пока просто включен в базы. К тому времени я его прихлопнул подключив винт с резервной системой. Вычистил все что можно, многое чисто эмпирическим путем. Зараза была зачетная. Цитата Ссылка на сообщение Поделиться на другие сайты
nb79 88 Жалоба Share Опубликовано 19 октября, 2007 Я словил раз такого. Так и не понял - как. Каспер не определял хотя однозначная зараза была. Репорт отослал, ответ только через день пришел. Что методы лечения отрабатываются а пока просто включен в базы.К тому времени я его прихлопнул подключив винт с резервной системой. Вычистил все что можно, многое чисто эмпирическим путем. Зараза была зачетная. Да, вариант с резервной системой правильный. Только вот руками в огромной массе файлов сложно копаться. Да и добраться до некоторых мест сложно. Если это какой нибудь компаунд файл, который по сути сам вроде файловой системы, то ручками ты там не много найдешь. Но в любом случае это хороший вариант для радикального лечения. Вроде подключения к автономным системам жзниобеспечения в реанимации :biggrin: PS: Про зачетные системы лучше без деталей. Пусть пионеры сами изобретают. Хотя еще лучше им бабами занятся... PPS: Забыл акцентировать внимание. Резервнвя система, это резервная система! Отдельный носитель в столе/сейфе! Подключается ТОЛЬКО при аварийных ситуациях. А то бывает вставят такой в комп и юзают. Мол, с него же не запускаемя?!... Почему он не годится? Цитата Ссылка на сообщение Поделиться на другие сайты
tim 0 Автор Жалоба Share Опубликовано 19 октября, 2007 Эх. Я кажись догадываюсь что это за шняга Попытка выгрузить его приведет к тому что он опять запустится. Если его и найдешь где по поиску - то в той папке его тупо не будет. Дурная ситуация - по поиску показывает файл и папку где он лежит, а при попытке удалить говорит что нет такого файла. Или он тут же опять восстанавливается из dllcache. А Каспер его не видит потому что тот под системную службу какую маскируется. Наверняка собака порты слушает. Ну...одну дрянь прибили хоть...будем дальше. Лана...завтра. tim Убей из автозагрузки Mmdmm.exe и сам файл найди и убей. Или на крайняк скажи где лежит...Я чет сразу внимания не обратил. Приду с работы сделаю. Цитата Ссылка на сообщение Поделиться на другие сайты
tim 0 Автор Жалоба Share Опубликовано 19 октября, 2007 Так, первое. Это может быть и вполне серьезно. Вероятнее всего ты стал частью какого то китайского бот-нета. Или не китайского :ph34r: Вся нехорошесть в том, что это может быть вполне злая зараза, хорошо маскирующаяся. И имена файлов не причем. Садится троян, он загружает руткит, и кучу разных вирусов. Причем просить перезагрузки, это вполне в этой теме. И не в бут он пишется, а ему надо аккуратно свой драйвер притырить. Вот при перезагрузке он его и маскирует. Потом ставит хуки и прячется от всего мира. К сведенью. Есть такие, которых никто на сегодняшний день не ловит.Что сделать? Первое. Сходи, и почитай вот это: http://forum.kaspersky.com/index.php?showtopic=23473 оно же, но оригинал: http://virusinfo.info/showthread.php?t=1235 Прчитай внимательно и выполни все согласно инструкции. Скачай: Rootkit Unhooker(www.rku.nm.ru) RootkitRevealer(http://www.microsoft.com/technet/sysinternals/default.mspx) Autoruns (http://www.microsoft.com/technet/sysinternals/default.mspx) В них внимательно посмотри на производителей (Version Info). Если система чистая, то там кроме Microsoft и производителей оборудования ничего не должно быть! Все, что не нравится (пустой версион инфо, не знакомое имя и т.д.) должно попасть под контроль. Смотри на сообщения! Если пишут, что хукнуто, то надо хуки снять! А авто загрузке так же смотри на имена производителя. Отсортируй по именам. Пусто/не нравится - убери крыжик. Если опять вылазит, значит кто то ставит его! Еще почистить все тэмпы и прочии кэши. Temp юзеровский обычно в %RootDir%\Documents and Settings\%User%\Local Settings\Temp. Удали там ВСЕ тоже. Зайди в %WindowsDir%\System32\ и по всем директориям пройдись. В каждой отсортируй файлы по дате. Большенство из них будут иметь одну дату, дату релиза операционки или сервиспака. Все, где дата отличается надо проверить. Да, еще выдерни сетевой (Net который) кабель на все время проверки. Только после скачки всего нужного. Или все другие способы в сеть выйти (модем, WiFi и т.п.). Кстати, бывает так, что криво писанные трои/вирусы падают с ошибкой если сеть не находят Вобщем ВНИМАТЕЛЬНО почитай и сделай все, что там написанно. Скорее всего проблема решится. Ну и нафига ставить операционку неизвестно от куда взятую? Пойди, и купи ОЕМ ного хомяка. Не думаю, что 100 ойро на несколько лет, это много. Последнее, это мое частное мнение, не навязываю Скачаю, попробую. Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Boor 22 Жалоба Share Опубликовано 19 октября, 2007 Если ты ,tim с компом на не "ей ты железака хренова" - а походу так оно и есть, то лучшим и мудрым решением будет переустановить систему. если же хочется длительного секса порядок рекомендую следующий... 0. купить бубен. в некотрых случаях помогают маракасы (я кстати ими пользуюсь) 1. создать загрузочный диск дающий возможность полного доступа в том числе и к реестру, например ERD Commander 2. отрубить сеть физически - (отрезать проводки, разбить хаб - на выбор) 3. загрузится с сидюка. 4. долго и нудно искать в реестре параметры и ключи с гадостями (вот здесь нужен бубен - т.к. что искать именно сказать довольно сложно....имена могут быть разными, где искать - автозагрузка, сервисы, модули эксплорера и наверное загружаемые *.dll) 5. исходя из найденых параметров найти файлы - удалить. 6. загрузится с системного диска, проверить процессы сервисы.. 7. если все получилось - подключить сеть, если нет - повторить начиная с п.1 и так до победы или краха системы... как то у знакомых чистил эту шнягу именно по описываему сценарию..получилось... зы..... можно попробовать скачать загрузочный диск с антивирусом с последними базами....может он поможет... Цитата Ссылка на сообщение Поделиться на другие сайты
=HD=Boor 22 Жалоба Share Опубликовано 19 октября, 2007 Я словил раз такого. Так и не понял - как. ........... мне кажется он пользуется вседозволенностью эксплорера... вчера через оперу он не пролез, зашел по ссылке где его предлагают загрузить, чистое окно, но накидалось какаято шняга в системный темр... сегодня вечерком проэксперементирую.... Цитата Ссылка на сообщение Поделиться на другие сайты
nb79 88 Жалоба Share Опубликовано 19 октября, 2007 мне кажется он пользуется вседозволенностью эксплорера...вчера через оперу он не пролез, зашел по ссылке где его предлагают загрузить, чистое окно, но накидалось какаято шняга в системный темр... сегодня вечерком проэксперементирую.... Дык, а зачем запускать эксплорера под правами Администратор? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.