Что бы убить заразу, нужно как минимум её выключить из автозапуска , поэтому места автозапуска
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
*Была такая фича, которая постоянно запускалась... т.е. она запускается, удаляет свою авто-загрузку, работает ... а перед выходом о5 прописывается
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RunServices
*Нет в XP по дефолу, но вроде работает :).. может быть и в \windows\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
*Нам написанно "explorer.exe" а можно написать "explorer.exe pornostart.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL
*Можно поменять www на www.uxxx.com , и если вы набираете sexnarod.ru без www вас кидает на uxxx
Ес-но всё это нужно проверить для HKCU
Дальше службы- это напасть ещё та. Захлдим в службы и сортируем по имени. Как правило вирмэйкеры всё пишут на eng и достаточно просмотреть все службы на eng и без комментариев по применению.
Бывает, что службы висят в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
И являются невидимыми... ну ... это для фанатов.
Есть штука такая - появляются новые панельки поиска в IE... И в системе тоже... Смотрим её название в вид->панели...->* * ищем его в regedit.. Оно запускается вместе с панельками Exporer. Смотрим имя класса этой панельки, и грохаем все классы из системы с таким именем ..
Это минимальный набор, если нужно буду ещё выкладывать...
ps всё лучьше делать в safemode ... только две заразы видел, которые и там работали
а вот такую скотину как BloodHoundExploit вычистить... быстрее новую винду поставить. эта хрень и без автозапуска прекрасно живёт. удаляешь из реестра, а она при каждом запуске ИЕ по новой прописывается и, вуаля, снова тут как тут.
| QUOTE (Natural X @ 23.03.2005 - время: 10:44) |
| да почти все трояны можно убить и простейшим AdAware. а вот такую скотину как BloodHoundExploit вычистить... быстрее новую винду поставить. эта хрень и без автозапуска прекрасно живёт. удаляешь из реестра, а она при каждом запуске ИЕ по новой прописывается и, вуаля, снова тут как тут. |
Ну да..... поддел...
Есть такая хрень - называется dll ... единственный случай, убиваемый с помощью сторонних программ.... смотрим в system32 ... сортируем по имени и видем все эти бяки..
А вообще эта тема для тех , кто хочет знать как это сделать ручками :)
| QUOTE (Radar @ 09.07.2005 - время: 16:14) |
| Нужна помощь! Уже неделю, как не могу избавиться от Jlok. Пробовал различные антивирусы, но ни один до конца его не лечит. |
Методика проста - сначала нужно пройтись MS AntiSpiware.....она не удалит всё..останутся динамические библиотеки, которые в данный момент работают...к ним доступа не будет.....необходимо узнать из "по именам" и загрузиться с какого-нить LiveCD дистриба, например WindowsPE....дальше они легко убиваются, снова загрузаемся и всё в норме.....я здесь не упоминаю о ключах и местах запуска программ , ибо про это везде очень много написано....
Еxplorer.exe – обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
Отправить отчет Не отправлять
Убрать это сообщение невозможно, крестик для закрытия отсутствует. Каждый раз нажимаю «Не отправлять», чтобы всё сбросилось, но через 5 сек оно возникает снова.
Этот вопрос писал минут сорок, по этой самой причине. Понятия не имею, что это может быть и как от этого избавиться !!! Надеюсь на ваш помощь !
| QUOTE (Tonic @ 13.07.2005 - время: 00:51) |
| Каждые секунд пять на экране возникает сообщение: Еxplorer.exe – обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. Отправить отчет Не отправлять Убрать это сообщение невозможно, крестик для закрытия отсутствует. Каждый раз нажимаю «Не отправлять», чтобы всё сбросилось, но через 5 сек оно возникает снова. Этот вопрос писал минут сорок, по этой самой причине. Понятия не имею, что это может быть и как от этого избавиться !!! Надеюсь на ваш помощь ! |
Загрузится в безопасном режиме..
И от туда уже лечить...
Желательно увидеть десь полный список запускаемых программ...
ps можно ещё и программками - но это не ко мне... я только ручками...
| QUOTE (Kosyaka @ 13.07.2005 - время: 03:06) |
| Загрузится в безопасном режиме.. И от туда уже лечить... Желательно увидеть десь полный список запускаемых программ... ps можно ещё и программками - но это не ко мне... я только ручками... |
Сразу же начинает загружаться dwwin.exe ! Это глюк, да ?
А как править в безопасном режиме ?
Вообще мне уже несколько десятков человек порекомендовали переустановить Винд, только мне западло потом программы ставить, уж очень много времени на это уйдет, хочется как-то исправить проблемму по-другому !
| QUOTE (Tonic @ 14.07.2005 - время: 20:24) | ||
Сразу же начинает загружаться dwwin.exe ! Это глюк, да ? А как править в безопасном режиме ? Вообще мне уже несколько десятков человек порекомендовали переустановить Винд, только мне западло потом программы ставить, уж очень много времени на это уйдет, хочется как-то исправить проблемму по-другому ! |
dwwin.exe - не системное приложение на 100% .... думаю, ет о многом говорит :)
Ещё советую запустить ctrl+alt+del и отсортировать процессы по загрузке CPU .. сразу увидишь, шо у тебя балует на ведре...
ps а без переустановки - ты наш чел... я писал как то инструкцию по работе с виндами - и первый пункт был - "если ты не можешь сделать комп, без переустановки виндов- ты чайник - начни заново"
Лично я столкнулся с тем, что оказывается возможности разграничения прав доступа в системе можно (злоумышленнику) использовать весьма нехило. Например наблюдал две такие вещи:
1) Троян висит в виде скрытого сервиса, не виден ни в списке процессов, ни в списке сервисов, на команду остановки net stop не отзывается, соответственно и не убивается. Файл с трояном ессно залочен и тоже не удалишь. Да еще и права к нему для администратора все убраны :)
2) Каталоги могут иметь или не иметь разрешение на просмотр содержимого для юзеров. Соответственно, если этого разрешения нет - то и файлов не видно и очень непросто догадаться о том, что они на самом деле есть. Правда права можно менять, но тут такая хитрость: чтобы его поменять - нужно быть владельцем, а если владелец файла SYSTEM, а администратору все права закрыты и при этом вложенность подкаталогов более 1, то эксплорер не может сменить владельца всему файловому дереву сразу - нужно по очереди. А если вложенность очень большая или очень много каталогов, то это превращается в конкретный геммор.
Я все это к тому, что пока сам не столкнулся с творчеством хакеров - никогда бы не подумал, что в винде можно наделать столько гадостей.
тогда я думаю можно было найти её тут HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
и тихонечко "под шумок" либо грохнуть, либо сменить тип ( type ) либо сменить тип запуска
а дальше можно всё что угодно делать.... кст получить в XP права SYSTEM для программы - моя мечта.... имеется ввиду когда прога запускается от Guest ))) ps как то обнаружил, что могу сам писать службы... в .net это встроенная возможнось... осьма забавно однако... надо будет попробовать :)
Хочун Москва Мдя ... от чай ника слышим... ты просто не знаком с теорией развития комп. пиратства... и принципами работы антивиров....
И чайника я называю того, кто не умеет вручную вирус грохнуть, либо написать хотя бы подобие...
| QUOTE |
| дык а в чем проблема? в безопасном ету файлу тоже не убить? |
Убить, но эт был сервер, к которому не было физического доступа, так что safe mode не устраивал.
| QUOTE |
| кст получить в XP права SYSTEM для программы - моя мечта.... имеется ввиду когда прога запускается от Guest ))) |
Так это ж по-идее автоматически получается, если программа регистрирует себя сервисом. Погоди... как это прога запускается от Guest!? Как такое может получиться?
А сервисы писать, в общем-то, несложно.