28 ответов в этой теме

[JAGUAR3]

Если меня кто нибудь видит, подскажите, что делать???
Сейчас сижу за очередной машиной, где выскочило обновление флешплеера при включении компа...
Как всегда не могу найти концов...
выскочившее окно ещё не закрывал, но в автозагрузках ничего подобного найти не могу...
Но знаю, что Шу после этого грохнется, хоть закрою окно, хоть сделаю обновление...
Последний раз (до этого включения)машина работала 9го вечером...
Что мне искать, что сохранить? DrWeb ничего не увидал...
В папке Temp появилась папка Free Download Manager - чего не должно быть, а в ней два файлика(tic24.tmp и tic1.tmp)которые не могу скопировать...

[SergM]

запускайте HijackThis и RKU, потом их логи в студию.

[JAGUAR3]

запускайте HijackThis и RKU, потом их логи в студию.

Извините, но попроще можно???
Что это и с чем его едят?
Мне надо сделать всё как можно аккуратней, до перезагрузки, после перезагрузки следов не найдём, там только лечить и восстанавливать буду...

[SergM]

Можно. Ссылки на то, как сделать такие логи можно увидеть тут
http://forum.drweb.com/index.php?showtopic=276590

[JAGUAR3]

Можно. Ссылки на то, как сделать такие логи можно увидеть тут
http://forum.drweb.com/index.php?showtopic=276590

там написано, что возможно потребуется перезагрузка, но после перезагрузки всё исчезнет...
и ещё написано - закрыть все приложения, к IE это тоже относится???
Что именно профиксить? У меня такого пункта нет

Прикрепленные файлы:

•  hijackthis.log   9,2К   131 Скачано раз

[SergM]

IE не закрывайте - через него вам впингвинивают. Перезагрузку тоже пока не делайте. Как скоприрвать вредоноса щас попробую поискать на форуме.
Про копирование: "Вообще говоря, сканер Доктора - прекрасный инструмент для копирования скрытых файлов. Если Шилд видит файл - его можно скопировать.
Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy." Вот ссылочка как это сделать в подробностях http://wiki.drweb.com/index.php/Скрытые_процессы

[JAGUAR3]

IE не закрывайте - через него вам впингвинивают. Перезагрузку тоже пока не делайте. Как скоприрвать вредоноса щас попробую поискать на форуме.
Про копирование: "Вообще говоря, сканер Доктора - прекрасный инструмент для копирования скрытых файлов. Если Шилд видит файл - его можно скопировать.
Для этого нужно прочитать документацию про ключ сканера /@ и по аналогии с ним воспользоваться недокументированным ключом /copy."

Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...
Висит окно Adobe Flash Plaer Update, чем запущено - не пойму...

[SergM]

Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...

У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).
Второго лога не вижу. Делайте лог и RKU тоже.

[JAGUAR3]

Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...

У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).
Второго лога не вижу. Делайте лог и RKU тоже.

Удалённый раб стол включён только на этой машине, а страдают от этого флешпр-ля все...
и как я выяснил - независимо от того, на каких страницах инета бываешь...
Выскакивает только после выключения и включения компа..., при отключённой сети..

Прикрепленные файлы:

•  Report.txt   32,11К   150 Скачано раз

[account has been deleted]

Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...

У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).
Второго лога не вижу. Делайте лог и RKU тоже.

Удалённый раб стол включён только на этой машине, а страдают от этого флешпр-ля все...

Установите Autorun Manager, он видит все, любой файл можно сдампить http://www.online-solutions.ru/osam_autorun_manager.php

[JAGUAR3]

Дело в том, что окно обновления появилось с загрузкой рабочего стола, ещё при отключённом интернете...
Это тоже надо както учесть
Я не знаю даже где сидит этот вредонос... DrWeb его не замечает...

У Вас включен удалённый рабочий стол: O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc). По сети может кто-то\что-то и лезет. Вредоносы копируйте из папки temp (Вы уже писали про неё, что не получается скопировать).
Второго лога не вижу. Делайте лог и RKU тоже.

В папке Temp появилась папка Free Download Manager - чего не должно быть, а в ней два файлика(tic24.tmp и tic1.tmp) - чем их можно скопировать???
Ругается, говорит не могу прочесть(там уже 4 сидит, с другими названиями)(tic2C.tmp tic27.tmp tic25.tmp tic24.tmp)

[SergM]

Из общих рекомендаций.
1. Пришло время создать отдельную тему в разделе Помощь по лечению. Переезжайте туда с логами и описанием проблемы.
2. Отчёт RKU не тот. Перейдите на вкладку Отчет, нажмите Обновить и снимите галку с пункта Файлы. Потом создавайте отчёт.
3. Система с SP2. Надо ставить SP3 и все последующие заплатки. Как уже отмечалось, против эксплойтов бессильны и фаерволы и антивирусы. Только заплатки.

[SergM]

В папке Temp появилась папка Free Download Manager - чего не должно быть, а в ней два файлика(tic24.tmp и tic1.tmp) - чем их можно скопировать???
Ругается, говорит не могу прочесть(там уже 4 сидит, с другими названиями)(tic2C.tmp tic27.tmp tic25.tmp tic24.tmp)

Кто ругается? Как скопировать с помощью сканера я уже давал ссылку. Вот ещё раз http://wiki.drweb.com/index.php/Скрытые_процессы
Переезжаем в новый раздел и новую тему?

[JAGUAR3]

Из общих рекомендаций.
1. Пришло время создать отдельную тему в разделе Помощь по лечению. Переезжайте туда с логами и описанием проблемы.
2. Отчёт RKU не тот. Перейдите на вкладку Отчет, нажмите Обновить и снимите галку с пункта Файлы. Потом создавайте отчёт.
3. Система с SP2. Надо ставить SP3 и все последующие заплатки. Как уже отмечалось, против эксплойтов бессильны и фаерволы и антивирусы. Только заплатки.

И опять таки, на всех остальных машинах, как ни странно, стоит SP3..
Эта машина - исключение, т к пришлось винду распаковывать из архива, созданного ещё в апреле(восстановление было невозможно)...
И галу Files я убрал...

Прикрепленные файлы:

•  Report1.txt   32,5К   83 Скачано раз

[SergM]

И галу Files я убрал...

Без перезагрузки не будет нормального отчёта о перехватах и руткитах.

[JAGUAR3]

И галу Files я убрал...

Без перезагрузки не будет нормального отчёта о перехватах и руткитах.

Тогда мне остаётся только запустить Spyware Doctor и убить этот процесс на корню...
А жаль, я очень хотел, чтоб DrWeb мог перехватывать эту фигню...
не появляется она только там, где включён постоянно Spyware Doctor на пару с Drweb 4.44///

[account has been deleted]

JAGUAR3

А жаль, я очень хотел, чтоб DrWeb мог перехватывать эту фигню...

Дак не тупите, поставте и посмотрите что откуда, подозрительное, дамп на анализ, что теряете?

[SergM]

]
Тогда мне остаётся только запустить Spyware Doctor и убить этот процесс на корню...
А жаль, я очень хотел, чтоб DrWeb мог перехватывать эту фигню...
не появляется она только там, где включён постоянно Spyware Doctor на пару с Drweb 4.44///

Убить-то, конечно, можно. И жаль, что это не попадёт к Доктору. И оно снова будет проявляться. Почему не хотите скопировать temp файлы с помощью сканера?
Не пользуйтесь больше IE и никому не советуйте этого чуда для веб серфинга. Утановите что-то альтернативное типа Opera или FF.

[Alexander Goryachev]

Оппа. У меня на той неделе во второй учетной записи при загрузке тоже было окно обновления флешплеера. В моей учетной записи окно не появлялось.
Все работает нормально, ничего подозрительного нет. Может, это просто совпадение, и сообщение было от настоящего флешплеера...

А какие последствия от этой бяки?

[mrbelyash]

Скорей всего легальная обнова.

Нагуглил.Отослал в вирлаб,тикет сейчас напишу