Суть проблемы - какое то приложение (или сервис) постоянно при загрузке компа выставляет стартовой страничкой find4u.net и прописывает рад ссылов в избранное. Никак не могу отловить кто это делает - раньше вроде справлялся с такой чепухой, а тут что то заглох...
антивирус ничего не нашел, tauscan с outpostэом тоже молчат... а реестр постоянно загаживается...
в общем помогите чем сможете - хотя бы что еще можно/нужно проверить
Заранее спасибо
все имхо по любом3у висит в реестре16.02.04 11:06 Автор: vladik_ Статус: Незарегистрированный пользователь
есть еще такая штука
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
По крайней мере у меня в приватной сетке админ так скрипты с сервака загружает.
Дурацкий совет, но попробуй поискать в реестре по названию твоей злобной странице.
не всё16.02.04 11:24 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Какой?
ОС - win2000
проявляется только при перезагрузке - т.е если я все затираю - урлы в избранном + стартовую страницу
то обратно все меняется только после перезагрузки системы
видимо после этого вредитель заканчивает работу - я не могу отследить его обращение к реестру
в реестре в разделах windows\current version\run и прочих ничего вроде вредоносного нет...
в общем то меня интеерсует как отследить обращение проги к реестру при запуске - чтобы лог где-нить хоть был... не знаю что еще добавить
> в общем то меня интеерсует как отследить обращение проги к > реестру при запуске - чтобы лог где-нить хоть был... не > знаю что еще добавить RegMonitor на www.sysinternals.com
он уже есть - не помогает, т.к. нужно отловить обращение к...15.02.04 23:54 Автор: drummer Статус: Незарегистрированный пользователь
> RegMonitor на www.sysinternals.com он уже есть - не помогает, т.к. нужно отловить обращение к реестру при загрузке - а если вставить регмон в автозагрузку(или реестр - одна фигня) - виснет...
Вам нужно быть чуть более любознательным :)16.02.04 12:05 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> > RegMonitor на www.sysinternals.com > он уже есть - не помогает, т.к. нужно отловить обращение к > реестру при загрузке - а если вставить регмон в > автозагрузку(или реестр - одна фигня) - виснет... Ну зачем же так грубо? Вы не обращали внимание на галку в настройках про логирование при загрузке?
> Ну зачем же так грубо? Вы не обращали внимание на галку в > настройках про логирование при загрузке? Огромное спасибо - нашел злодея:)
Просто у меня была видимо старая версия регмонитора (года полтора назад качал...), в которой отсутствовала такая возможность... поэтому и не получалось
еще раз спасибо - тему можно закрывать:)
Да, было бы интересно узнать про злодея немного больше.17.02.04 16:56 Автор: Ktirf <Æ Rusakov> Статус: Elderman
> Но сначала жаждем подробностей :) Да в принципе ничего особенного - просто в логе созданном регмоном нашел искомые слова (find4u.net) - нашел прогу которая это изменяла - olehelp.exe - а потом нашел где она в реестре прописана была... в сервисах где то по-моему...
ларчик просто открывался:) не зря я тему в beginners открыл:)
А че было-то?17.02.04 02:54 Автор: Zef <Alloo Zef> Статус: Elderman
Версия браузера какая? Пропатчил? В профиле пользователя в катклоге "Рабочий стол" есть какой-нибудь скрытый файлик с расширением htt?
RunOnce проверил?
В профиле All Users папку Startup проверил?
Что прописано в HCLM\Software\Microsoft\Internet Explorer\AboutURLs?
> Версия браузера какая? Пропатчил? Ie 6.0 не патчил
В профиле пользователя в
> катклоге "Рабочий стол" есть какой-нибудь скрытый файлик с > расширением htt? нет
> RunOnce проверил? и не раз:)
> В профиле All Users папку Startup проверил? да - ничего неправильного
> Что прописано в HCLM\Software\Microsoft\Internet > Explorer\AboutURLs? [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"Home"=dword:0000010e
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
Секции run и runonce в hkey_current_user тоже проверил?15.02.04 19:29 Автор: Den <Денис Т.> Статус: The Elderman
> А может у тебя %SystemRoot%\system32\blank.htm подменен? у меня его просто нет:)
Секции Run и RunOnce в HKEY_CURRENT_USER тоже проверил?
давно
проблема вся в том, что я проверил вроде уже все - реестр (run runonce, runonceEx - HKLM,HKCU),автозагрузку - не знаю что еще
RegMonitor не помогает, поскольку нужно отслеживать обращение к реестру в момент загрузки, а если поместить его в автозагрузку - виснет гад:(
я все больше склоняюсь к тому что это верятно сервис какой-нить - но не знаю как этотпроверить - разве что отключать все последовательно...
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
