Похоже вирусняк?

Eximus · 07.09.2005, 15:18

Короче позвонили мне сегодня мои клиенты, говорят при нажатии на любой экзешник запускается ИЕ и щемится на какойто сайт. Приехал посмотрел - действительно так. Даже при открытии папки лезет в инет.
Проблема в том что никакого антивиря установить нельзя.
Как быть?

ZEUS · 07.09.2005, 16:24

и не надо

1. в зависимости от типа операционки на подозрительных компах скачиваешь соответствующую прогу с sysinternals.com
список процессов http://www.sysinternals.com/Utilitie...sExplorer.html
список DLL http://www.sysinternals.com/Utilities/ListDlls.html

а вообще все утили здесь: http://www.sysinternals.com/Processe...Utilities.html

2. запускаешь, ищешь глассками лишние процессы, глядишь где енто добро валяецца на диске
3. ручками еще поищи это добро на предмет дублирования
4. выносишь ручкам ненужное
5. выносишь сохраненный веб-контент осла IE
6. проверяешь командой netstat -a свои сетевые подключения на предмет отсутствия установленных левых соединений

Eximus · 07.09.2005, 17:53

Цитата:

Сообщение от ZEUS

2. запускаешь, ищешь глассками лишние процессы, глядишь где енто добро валяецца на диске

как я запущу ехе-шник, когда они не запускаются?

Цитата:

Сообщение от ZEUS

5. выносишь сохраненный веб-контент осла IE

чистил - не помогло

AleksandrD · 07.09.2005, 17:53

ZEUS
и не надо

Силен.... и как, по-твоему, народ запустит "чудо-утили"? Говорят же, все экзешники не пашут.

Eximus
Значится так, не претендуя на оригинальность :-)....
1. Любым способом приносишь regedit.exe на комп (или перетаскиваешь из Винды) и переименовываешь его в regedit.com (обычно вири только ехешники корежат)
запускаешь regedit.com forexe.reg (приложенный)
Это выдранное из нормальной Винды описалово действий для .exe файлов
2. Просто запускаешь forexe.vbs (его я скачал с одной такой темы на хоботе, но не использовал. Делает то же самое)

А вот потом уже пользуешься арсеналом, предложенным ZEUS :-)

ZEUS · 07.09.2005, 18:01

AleksandrD и Eximus - но если не тыкать крысой через проводник и им подобные приблуды

.... а скажем запустить все через command/cmd. через виртуальную ДОС-машину. должно работать

как вариант на win 9x запускаем progman.exe и через него портачим.
ЗЫ: не претендую на оригинальность

AleksandrD · 07.09.2005, 18:24

ZEUS
AleksandrD и Eximus - но если не тыкать крысой через проводник и им подобные приблуды .... а скажем запустить все через command/cmd. через виртуальную ДОС-машину. должно работать

Т.е. скачать zip архив и пытаться его распаковать через cmd с помощью winrar.exe или winzip(unzip).exe? Ы? шучу :-)

К тому же имхо заработает вряд ли :-), т.к. консоль и эмулятор ДОС берут действия для зарегистрированных расширений из того же реестра (можно проверить, запустив doc или jpg файл из командной строки).

К тому же предложенные утилиты не решат проблему незапускающихся экзешников.
Гадину-то прибить с их помощью можно, а покореженный реестр не полечить.

А может вообще проблема не из этой оперы. Eximus , Вы в режиме защиты от сбоев заходить пробовали? Там то же самое?

Eximus · 07.09.2005, 22:45

Цитата:

Сообщение от AleksandrD

А может вообще проблема не из этой оперы. Eximus , Вы в режиме защиты от сбоев заходить пробовали? Там то же самое?

Там винда 98-ая

Кстати насчет команды Выполнить - пробовал я через Пуск-Выполнить вводить любые пути, хрена лысого

Eximus · 07.09.2005, 22:51

ZEUS AleksandrD спасибо Вам обоим, завтра утром доеду, попробую по Вашим советам чтонить изобразить
о результатах доложу

Fenixator · 07.09.2005, 23:28

тебе, скорее всего, не реестр повредили( В нем ты ничего не найдешь). А испоганили сам эксплорер.
На некоторых системных дисках(загрузочных) есть эксплореры, лежащие отдельно.
Просто переустанови его(тем более у тебя винда как раз 98, проблем не будет!)

ЗЫ: И будет тебе великое счастье!

Fenixator · 07.09.2005, 23:34

Или перетащи со своего компа explorer.exe и загрузившись на той машине с компакт-диска(можешь попробовать загрузиться по Ф8 и выбрать режим ДОС, винда же 98) и в ДОСе перезапиши этот файл.

ЗЫ: И снова будет тебе великое счастье

safe · 08.09.2005, 09:27

Eximus

Цитата:

как я запущу ехе-шник, когда они не запускаются?

Когда ходи по сети еще sircam, тоже ехе-шники запускаться не хотели из-за подмененной dll-ки, если здесь механизм такой же, то попробуй сменить расширение ему на bat и запустить. Если другой механизм, то не поможет.
А может это сиркам и есть, поскольку он, по-моему, под 98 и ходил.

AleksandrD · 08.09.2005, 10:43

Eximus
Там винда 98-ая
Кстати насчет команды Выполнить - пробовал я через Пуск-Выполнить вводить любые пути, хрена лысого

Что же не сказал, что 98-я. Эти приблуды я на ней не пробовал, да и vbs фиг запустится без установленного Windows Script Host

Eximus · 08.09.2005, 11:27

safe очень может быть что Серкам, я как то не подумал
Fenixator тоже мысль
AleksandrD

Цитата:

Что же не сказал, что 98-я. Эти приблуды я на ней не пробовал, да и vbs фиг запустится без установленного Windows Script Host

ну чайник я, что поделать

Zeth · 08.09.2005, 11:46

Eximus А reg файл ты запустить смогешь? Короче виря скорее всегоуже нету в процессах... он реестр покорежил и ушел

(( Мона попробать с другой тачки 98 правильный раздел реестра взять и воткнуть, опять же если заработает, кстати в safe-mode все должно быть намана ибо там дефолтовый реестр юзается,

в идеале конечно настоятельно рекомендую переставть винды.. благо 98-е

также мона полечить копм от вирусов легко - снимаешь винт ставишь на тачку с антивирем и лечишь, или по сетке - тож самое

Eximus · 09.09.2005, 08:44

Zeth в последний раз когда я там был - в процессах его точно не было
по сетке сканил Каспером 4.5 , но видать базы у того старые, ничего не нашел

shmel · 09.09.2005, 11:49

долазились в тырнете товарищи...
а радикально справиться с ситуацией? типа Винды перебить?

подход не самый рациональный, но, как правило, помогает

Zeth · 09.09.2005, 12:35

Eximus Начит вирь сделал че надо и ушел

)) рег файлы запускать таки можешь?

shmel · 09.09.2005, 12:53

вот копание в порносайтах до чего доводит..
видел я такие штуки

Angеl · 11.09.2005, 13:13

Похоже на какой-нить троян-даунлоадер. Он сидит где-то в систем32 и при открытии эксплойлера пытаеца соединица с определенным сайтом и скачать другой троянчик, и по ходу дела портит экзешники. В общем, порыца в этой папочке и попытаца на глаз определить зловредный файл.

shmel · 11.09.2005, 14:44

вряд ли пристой..."НОРМАЛЬНЫЙ" человек на глаз найдет...
в принципе, это не сложно, но кто из нас часто в вынь32 глядит? тока если "по работе"...поэтому и предложил - нафик Винды перебить. Причем лучше весь раздел форматнуть

Angеl · 12.09.2005, 18:01

shmel, это да. А выглядит он как маленький экзешничек. Можно попробовать поиском по дате появления, если период времени примерно известен.

07.09.2005, 15:18	#1
Eximus Форумец Сообщений: 2,453 Регистрация: 21.01.2003 Возраст: 44 Не в сети	Похоже вирусняк? Короче позвонили мне сегодня мои клиенты, говорят при нажатии на любой экзешник запускается ИЕ и щемится на какойто сайт. Приехал посмотрел - действительно так. Даже при открытии папки лезет в инет. Проблема в том что никакого антивиря установить нельзя. Как быть?

		Большой Воронежский Форум » Компьютеры и все, что с ними связано » » Техническая поддержка
Похоже вирусняк?

07.09.2005, 16:24	#2
ZEUS Murderator Сообщений: 4,384 Регистрация: 19.07.2003 Не в сети	и не надо 1. в зависимости от типа операционки на подозрительных компах скачиваешь соответствующую прогу с sysinternals.com список процессов http://www.sysinternals.com/Utilitie...sExplorer.html список DLL http://www.sysinternals.com/Utilities/ListDlls.html а вообще все утили здесь: http://www.sysinternals.com/Processe...Utilities.html 2. запускаешь, ищешь глассками лишние процессы, глядишь где енто добро валяецца на диске 3. ручками еще поищи это добро на предмет дублирования 4. выносишь ручкам ненужное 5. выносишь сохраненный веб-контент осла IE 6. проверяешь командой netstat -a свои сетевые подключения на предмет отсутствия установленных левых соединений

07.09.2005, 18:01	#5
ZEUS Murderator Сообщений: 4,384 Регистрация: 19.07.2003 Не в сети	AleksandrD и Eximus - но если не тыкать крысой через проводник и им подобные приблуды .... а скажем запустить все через command/cmd. через виртуальную ДОС-машину. должно работать как вариант на win 9x запускаем progman.exe и через него портачим. ЗЫ: не претендую на оригинальность

07.09.2005, 18:24	#6
AleksandrD Форумец Сообщений: 1,536 Регистрация: 02.06.2003 Не в сети	ZEUS AleksandrD и Eximus - но если не тыкать крысой через проводник и им подобные приблуды .... а скажем запустить все через command/cmd. через виртуальную ДОС-машину. должно работать Т.е. скачать zip архив и пытаться его распаковать через cmd с помощью winrar.exe или winzip(unzip).exe? Ы? шучу :-) К тому же имхо заработает вряд ли :-), т.к. консоль и эмулятор ДОС берут действия для зарегистрированных расширений из того же реестра (можно проверить, запустив doc или jpg файл из командной строки). К тому же предложенные утилиты не решат проблему незапускающихся экзешников. Гадину-то прибить с их помощью можно, а покореженный реестр не полечить. А может вообще проблема не из этой оперы. Eximus , Вы в режиме защиты от сбоев заходить пробовали? Там то же самое?

07.09.2005, 22:51	#8
Eximus Форумец Сообщений: 2,453 Регистрация: 21.01.2003 Возраст: 44 Не в сети	ZEUS AleksandrD спасибо Вам обоим, завтра утром доеду, попробую по Вашим советам чтонить изобразить о результатах доложу

07.09.2005, 23:28	#9
Fenixator Познавший Сообщений: 172 Регистрация: 28.09.2003 Возраст: 42 Не в сети	тебе, скорее всего, не реестр повредили( В нем ты ничего не найдешь). А испоганили сам эксплорер. На некоторых системных дисках(загрузочных) есть эксплореры, лежащие отдельно. Просто переустанови его(тем более у тебя винда как раз 98, проблем не будет!) ЗЫ: И будет тебе великое счастье!

07.09.2005, 23:34	#10
Fenixator Познавший Сообщений: 172 Регистрация: 28.09.2003 Возраст: 42 Не в сети	Или перетащи со своего компа explorer.exe и загрузившись на той машине с компакт-диска(можешь попробовать загрузиться по Ф8 и выбрать режим ДОС, винда же 98) и в ДОСе перезапиши этот файл. ЗЫ: И снова будет тебе великое счастье

08.09.2005, 10:43	#12
AleksandrD Форумец Сообщений: 1,536 Регистрация: 02.06.2003 Не в сети	Eximus Там винда 98-ая Кстати насчет команды Выполнить - пробовал я через Пуск-Выполнить вводить любые пути, хрена лысого Что же не сказал, что 98-я. Эти приблуды я на ней не пробовал, да и vbs фиг запустится без установленного Windows Script Host

08.09.2005, 11:46	#14
Zeth imola Сообщений: 23,036 Регистрация: 01.07.2004 Возраст: 43 Не в сети	Eximus А reg файл ты запустить смогешь? Короче виря скорее всегоуже нету в процессах... он реестр покорежил и ушел (( Мона попробать с другой тачки 98 правильный раздел реестра взять и воткнуть, опять же если заработает, кстати в safe-mode все должно быть намана ибо там дефолтовый реестр юзается, в идеале конечно настоятельно рекомендую переставть винды.. благо 98-е также мона полечить копм от вирусов легко - снимаешь винт ставишь на тачку с антивирем и лечишь, или по сетке - тож самое

09.09.2005, 08:44	#15
Eximus Форумец Сообщений: 2,453 Регистрация: 21.01.2003 Возраст: 44 Не в сети	Zeth в последний раз когда я там был - в процессах его точно не было по сетке сканил Каспером 4.5 , но видать базы у того старые, ничего не нашел

09.09.2005, 11:49	#16
shmel Darth Bombus Сообщений: 2,837 Регистрация: 11.09.2003 Возраст: 46 Не в сети	долазились в тырнете товарищи... а радикально справиться с ситуацией? типа Винды перебить? подход не самый рациональный, но, как правило, помогает

09.09.2005, 12:35	#17
Zeth imola Сообщений: 23,036 Регистрация: 01.07.2004 Возраст: 43 Не в сети	Eximus Начит вирь сделал че надо и ушел )) рег файлы запускать таки можешь?

09.09.2005, 12:53	#18
shmel Darth Bombus Сообщений: 2,837 Регистрация: 11.09.2003 Возраст: 46 Не в сети	вот копание в порносайтах до чего доводит.. видел я такие штуки

11.09.2005, 13:13	#19
Angеl дирехтор Сообщений: 367 Регистрация: 19.05.2004 Записей в дневнике: 1 Не в сети	Похоже на какой-нить троян-даунлоадер. Он сидит где-то в систем32 и при открытии эксплойлера пытаеца соединица с определенным сайтом и скачать другой троянчик, и по ходу дела портит экзешники. В общем, порыца в этой папочке и попытаца на глаз определить зловредный файл.

11.09.2005, 14:44	#20
shmel Darth Bombus Сообщений: 2,837 Регистрация: 11.09.2003 Возраст: 46 Не в сети	вряд ли пристой..."НОРМАЛЬНЫЙ" человек на глаз найдет... в принципе, это не сложно, но кто из нас часто в вынь32 глядит? тока если "по работе"...поэтому и предложил - нафик Винды перебить. Причем лучше весь раздел форматнуть

12.09.2005, 18:01	#21
Angеl дирехтор Сообщений: 367 Регистрация: 19.05.2004 Записей в дневнике: 1 Не в сети	shmel, это да. А выглядит он как маленький экзешничек. Можно попробовать поиском по дате появления, если период времени примерно известен.

	Ваши права в разделе
	Вы не можете создавать новые темы Вы не можете отвечать в темах Вы не можете прикреплять вложения Вы не можете редактировать свои сообщения	BB коды Вкл. Смайлы Вкл. [IMG] код Вкл. HTML код Выкл. Правила форума

Как разместить платную(важную.коммерческую) тему - ИНСТРУКЦИЯ ЗДЕСЬ!