выскочило обновление флешплеера при включении компа
#1
Отправлено 13 Январь 2009 - 04:12
Сейчас сижу за очередной машиной, где выскочило обновление флешплеера при включении компа...
Как всегда не могу найти концов...
выскочившее окно ещё не закрывал, но в автозагрузках ничего подобного найти не могу...
Но знаю, что Шу после этого грохнется, хоть закрою окно, хоть сделаю обновление...
Последний раз (до этого включения)машина работала 9го вечером...
Что мне искать, что сохранить? DrWeb ничего не увидал...
В папке Temp появилась папка Free Download Manager - чего не должно быть, а в ней два файлика(tic24.tmp и tic1.tmp)которые не могу скопировать...
#2
Отправлено 13 Январь 2009 - 04:17
#3
Отправлено 13 Январь 2009 - 04:28
Извините, но попроще можно???запускайте HijackThis и RKU, потом их логи в студию.
Что это и с чем его едят?
Мне надо сделать всё как можно аккуратней, до перезагрузки, после перезагрузки следов не найдём, там только лечить и восстанавливать буду...
#4
Отправлено 13 Январь 2009 - 04:32
http://forum.drweb.com/index.php?showtopic=276590
#5
Отправлено 13 Январь 2009 - 04:44
там написано, что возможно потребуется перезагрузка, но после перезагрузки всё исчезнет...Можно. Ссылки на то, как сделать такие логи можно увидеть тут
http://forum.drweb.com/index.php?showtopic=276590
и ещё написано - закрыть все приложения, к IE это тоже относится???
Что именно профиксить? У меня такого пункта нет
Прикрепленные файлы:
#6
Отправлено 13 Январь 2009 - 05:00
Про копирование: "Вообще говоря, сканер Доктора - прекрасный инструмент для копирования скрытых файлов. Если Шилд видит файл - его можно скопировать.
Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy." Вот ссылочка как это сделать в подробностях http://wiki.drweb.com/index.php/Скрытые_процессы
#7
Отправлено 13 Январь 2009 - 05:06
Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...IE не закрывайте - через него вам впингвинивают. Перезагрузку тоже пока не делайте. Как скоприрвать вредоноса щас попробую поискать на форуме.
Про копирование: "Вообще говоря, сканер Доктора - прекрасный инструмент для копирования скрытых файлов. Если Шилд видит файл - его можно скопировать.
Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy."
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...
Висит окно Adobe Flash Plaer Update, чем запущено - не пойму...
#8
Отправлено 13 Январь 2009 - 05:16
У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...
Второго лога не вижу. Делайте лог и RKU тоже.
#9
Отправлено 13 Январь 2009 - 05:23
Удалённый раб стол включён только на этой машине, а страдают от этого флешпр-ля все...У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...
Второго лога не вижу. Делайте лог и RKU тоже.
и как я выяснил - независимо от того, на каких страницах инета бываешь...
Выскакивает только после выключения и включения компа..., при отключённой сети..
Прикрепленные файлы:
#10
Отправлено 13 Январь 2009 - 05:30
Удалённый раб стол включён только на этой машине, а страдают от этого флешпр-ля все...У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...
Второго лога не вижу. Делайте лог и RKU тоже.
Установите Autorun Manager, он видит все, любой файл можно сдампить http://www.online-solutions.ru/osam_autorun_manager.php
#11
Отправлено 13 Январь 2009 - 05:32
У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...
Второго лога не вижу. Делайте лог и RKU тоже.
В папке Temp появилась папка Free Download Manager - чего не должно быть, а в ней два файлика(tic24.tmp и tic1.tmp) - чем их можно скопировать???
Ругается, говорит не могу прочесть(там уже 4 сидит, с другими названиями)(tic2C.tmp tic27.tmp tic25.tmp tic24.tmp)
#12
Отправлено 13 Январь 2009 - 05:40
1. Пришло время создать отдельную тему в разделе Помощь по лечению. Переезжайте туда с логами и описанием проблемы.
2. Отчёт RKU не тот. Перейдите на вкладку Отчет, нажмите Обновить и снимите галку с пункта Файлы. Потом создавайте отчёт.
3. Система с SP2. Надо ставить SP3 и все последующие заплатки. Как уже отмечалось, против эксплойтов бессильны и фаерволы и антивирусы. Только заплатки.
#13
Отправлено 13 Январь 2009 - 05:43
Кто ругается? Как скопировать с помощью сканера я уже давал ссылку. Вот ещё раз http://wiki.drweb.com/index.php/Скрытые_процессыВ папке Temp появилась папка Free Download Manager - чего не должно быть, а в ней два файлика(tic24.tmp и tic1.tmp) - чем их можно скопировать???
Ругается, говорит не могу прочесть(там уже 4 сидит, с другими названиями)(tic2C.tmp tic27.tmp tic25.tmp tic24.tmp)
Переезжаем в новый раздел и новую тему?
#14
Отправлено 13 Январь 2009 - 05:48
И опять таки, на всех остальных машинах, как ни странно, стоит SP3..Из общих рекомендаций.
1. Пришло время создать отдельную тему в разделе Помощь по лечению. Переезжайте туда с логами и описанием проблемы.
2. Отчёт RKU не тот. Перейдите на вкладку Отчет, нажмите Обновить и снимите галку с пункта Файлы. Потом создавайте отчёт.
3. Система с SP2. Надо ставить SP3 и все последующие заплатки. Как уже отмечалось, против эксплойтов бессильны и фаерволы и антивирусы. Только заплатки.
Эта машина - исключение, т к пришлось винду распаковывать из архива, созданного ещё в апреле(восстановление было невозможно)...
И галу Files я убрал...
Прикрепленные файлы:
#15
Отправлено 13 Январь 2009 - 05:55
Без перезагрузки не будет нормального отчёта о перехватах и руткитах.И галу Files я убрал...
#16
Отправлено 13 Январь 2009 - 06:06
Тогда мне остаётся только запустить Spyware Doctor и убить этот процесс на корню...Без перезагрузки не будет нормального отчёта о перехватах и руткитах.И галу Files я убрал...
А жаль, я очень хотел, чтоб DrWeb мог перехватывать эту фигню...
не появляется она только там, где включён постоянно Spyware Doctor на пару с Drweb 4.44///
#18
Отправлено 13 Январь 2009 - 06:12
Убить-то, конечно, можно. И жаль, что это не попадёт к Доктору. И оно снова будет проявляться. Почему не хотите скопировать temp файлы с помощью сканера?]
Тогда мне остаётся только запустить Spyware Doctor и убить этот процесс на корню...
А жаль, я очень хотел, чтоб DrWeb мог перехватывать эту фигню...
не появляется она только там, где включён постоянно Spyware Doctor на пару с Drweb 4.44///
Не пользуйтесь больше IE и никому не советуйте этого чуда для веб серфинга. Утановите что-то альтернативное типа Opera или FF.
#19
Отправлено 13 Январь 2009 - 13:36
Все работает нормально, ничего подозрительного нет. Может, это просто совпадение, и сообщение было от настоящего флешплеера...
А какие последствия от этой бяки?
#20
Отправлено 13 Январь 2009 - 14:05
Нагуглил.Отослал в вирлаб,тикет сейчас напишу
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых