Как узнать откуда взялся файл в винде? - Кофейня и курилка

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 11:27

Включил с утра ноут, там вылез мерзкий баннер. Ну все как обычно пор$@#а и если желаете убрать отправьте СМС. Файлик исполняемый в програм файлс лежит типа utility.exe что ли, прописался в автозагрузку, диспетчер задач закрывает сразу, лезет поверх всех окон. Ну через реестр убить дело недолгое, потом и сам файлик удалить. Вопрос такой - как отследить откуда он там взялся? Бегло просмотрев загрузчики для закачек/обозревателе инета его не нашел конечно.

З.Ы. Надо было СМСку отправить, конечно, на автомате все убил и только потом сообразил Smile

беспокойный

На форуме 14 лет Сообщения: 1485 Откуда: улицы пыльного города Авто: у меня всё было

# 24 Марта 2010 11:31

Мог попасть через уязвимости в браузере.

S597SMRUS

На форуме 17 лет Сообщения: 711

# 24 Марта 2010 14:12

Снимки системы делай и сравнивай.Ашампу Унинстал прога раньше была -делала снимки системного реестра -дело муторное -отслеживать изменения, но... Wink

эффективное
А сабж появился...вспомни нигде на сайтах тебе не предлагали для просмотра контента установить , к примеру, flash player или прогнать систему на наличие вирусняка в онлайн режиме? Wink

Сергей Т

На форуме 15 лет Сообщения: 651

# 24 Марта 2010 14:14

Такая же хрень цепляллась. Лечил откатом системы на день назад.

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 15:08

S597SMRUS писал(а):

вспомни нигде на сайтах тебе не предлагали для просмотра контента установить , к примеру, flash player или прогнать систему на наличие вирусняка в онлайн режиме?

Я то все эти штуки - дрюки знаю, баннер с проверкой на вирусы вылетает на одном из сайтов где фильмы скачиваю. Я то их закрываю сразу, но есть подозрение что жена ткнула таки. Вроде говорит что нет.

Сергей Т писал(а):

Лечил откатом системы на день назад.

Ну это неспортивно, проблемка то решается не столь геморно ИМХО.
Ну ладно, посмотрим как можно дальше усложнить политику безопасности системы.

Aleksey1975

На форуме 17 лет Сообщения: 1126 Откуда: Пенза Авто: ТБ 2005+"калина" 2007

# 24 Марта 2010 15:17

бесперспективняк. я ауслоджиком вычислись фойл. удалил, баннер тут же пропал, но возник на следующий день и закрепился намертво. он прописываетмся в smss, а это системный файл. Тупо откатить систему не пытался. восспользовался восстановлением системы. Всё вернулось к первозданной винде, но с моими настройками, ни одна прога не слетела. дерзай

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 15:18

Сам вчера эту херь лечил Smile

. Исполнимые файлы закинулись в програм файлс + прописались в реестре в разделе автозагрузки.

PS Половина конторы вчера понять не могла - почему у меня комп включен, моник выключен, я и 2 чел-ка рядом ржом hehe

Aleksey1975

На форуме 17 лет Сообщения: 1126 Откуда: Пенза Авто: ТБ 2005+"калина" 2007

# 24 Марта 2010 15:20

а слабо 30 дней подождать что ли? обещают убрать)))

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 15:28

Aleksey1975 писал(а):

а слабо 30 дней подождать что ли? обещают убрать)))

Леха, мысля была, но, боюсь шеф этого не оценит

Aleksey1975

На форуме 17 лет Сообщения: 1126 Откуда: Пенза Авто: ТБ 2005+"калина" 2007

# 24 Марта 2010 15:31

Лёха, а ты маркером замаж на мониторе скабрезные места и шеф не заругается. Smile

ну. или вылези таки из инета и займись работой hehe

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 15:35

Aleksey1975 писал(а):

ну. или вылези таки из инета и займись работой hehe

Да блин я тока с больничного вылез на работу. А что, тут еще работать надо? hehe

Aleksey1975

На форуме 17 лет Сообщения: 1126 Откуда: Пенза Авто: ТБ 2005+"калина" 2007

# 24 Марта 2010 15:41

Lexey 58ru
ты с больничного, а я на больничный.. Drinks or Beer

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 15:47

Aleksey1975
Ну ты это ... шибко-то не хворай Wink

. А меня с температурой выписали, а завтра в полях работать. cry

ЗЫ В Пензе небось на дорогах водищааааа?

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 15:58

Aleksey1975 писал(а):

бесперспективняк. я ауслоджиком вычислись фойл. удалил, баннер тут же пропал, но возник на следующий день и закрепился намертво. он прописываетмся в smss, а это системный файл.

Хрена, это что же, завтра эта штука опять вылезет получается. Ну посмотрим. А через safe mode нельзя? Или с диска загрузится? Неужто это не вымарать никак?

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 16:00

Acquirer
у меня сегодня комп нормально загрузился.

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 16:05

Lexey 58ru писал(а):

у меня сегодня комп нормально загрузился.

Вроде исполняемый удалил. Да и после удаления из автозагрузки строки запуска этого говна перегружался и все нормально было.
Надо пользователя что ли завести с урезанными правами. Блин, а если что ставить, перелогиниваться ломает же...

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 16:08

XP?

Хотя дома на 7-ке тоже не стал заморачиваться с правами. Поотключал все нафик. supercool

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 16:11

Lexey 58ru писал(а):

XP?

Ага. Пока думаю от имени кастрированного пользователя эксплорер инета запускать. Так же можно в хрюше или нет? Не помню просто.

Тестю урезал все, но все равно он столько говна таскает что диву даешься. Антивирус все вермя орет.

Baluich

На форуме 14 лет Сообщения: 7 Авто: 21093

# 24 Марта 2010 16:32

На сайте drweba есть генератор паролей к этой фигне... http://www.drweb.com/unlocker/index

Aleksey1975

На форуме 17 лет Сообщения: 1126 Откуда: Пенза Авто: ТБ 2005+"калина" 2007

# 24 Марта 2010 16:33

Lexey 58ru писал(а):

ЗЫ В Пензе небось на дорогах водищааааа?

Ты с Заречки поди? вода местами есть. Собако, всё на морду брызжет. чуть быстрее поедешь.

Acquirer писал(а):

Вроде исполняемый удалил. Да и после удаления из автозагрузки строки запуска этого говна перегружался и все нормально было.

Дождёмся утра. Я тоже перегружал, обрадывался. типа, счас тему создам "как я кончил пор#@$у".. а нет, утро было туманным cry

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 16:38

Aleksey1975 писал(а):

Дождёмся утра. Я тоже перегружал, обрадывался. типа, счас тему создам "как я кончил пор#@$у".. а нет, утро было туманным

Дату переставить нельзя?

Lexey 58ru

На форуме 17 лет Сообщения: 1313 Откуда: г. Пенза Авто: Toyota Corolla '08

# 24 Марта 2010 16:43

Baluich писал(а):

На сайте drweba есть генератор паролей к этой фигне... http://www.drweb.com/unlocker/index

Мне не помогло

Acquirer писал(а):

Пока думаю от имени кастрированного пользователя эксплорер инета запускать

Думаю не поможет. Это же не браузер прописывает автозагрузку и уж тем более копирует файл в програм файлс.

Последний раз редактировалось: Lexey 58ru (24 Марта 2010 18:42), всего редактировалось 1 раз

S597SMRUS

На форуме 17 лет Сообщения: 711

# 24 Марта 2010 17:05

Aleksey1975 писал(а):

Дождёмся утра. Я тоже перегружал,

а че ждать то-время переведи и перегрузь комп и вуаля Wink

Aleksey1975

На форуме 17 лет Сообщения: 1126 Откуда: Пенза Авто: ТБ 2005+"калина" 2007

# 24 Марта 2010 17:11

Acquirer писал(а):

Дату переставить нельзя?

не пробывал. Дерзай))

Acquirer

На форуме 20 лет Сообщения: 1824 Откуда: Москва

# 24 Марта 2010 17:21

Aleksey1975 писал(а):

не пробывал. Дерзай))

Лана, вечерком напишу, наверное hehe

После перевода даты... Если что, то со второго ноута Smile

))
У хрюши есть кстати точка отката?

Показать сообщения:

Перейти:

ИНФОРМАЦИЯ ПО ИКОНКАМ И ВОЗМОЖНОСТЯМ