Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | | | | | | |
Да в принципе ничего особенного - просто в логе созданном... 17.02.04 19:19 Число просмотров: 1594
Автор: drummer Статус: Незарегистрированный пользователь
|
> Но сначала жаждем подробностей :)
Да в принципе ничего особенного - просто в логе созданном регмоном нашел искомые слова (find4u.net) - нашел прогу которая это изменяла - olehelp.exe - а потом нашел где она в реестре прописана была... в сервисах где то по-моему...
ларчик просто открывался:) не зря я тему в beginners открыл:)
|
|
<beginners>
|
Помогите отловить вредителя 15.02.04 13:45
Автор: drummer Статус: Незарегистрированный пользователь
|
Суть проблемы - какое то приложение (или сервис) постоянно при загрузке компа выставляет стартовой страничкой find4u.net и прописывает рад ссылов в избранное. Никак не могу отловить кто это делает - раньше вроде справлялся с такой чепухой, а тут что то заглох...
антивирус ничего не нашел, tauscan с outpostэом тоже молчат... а реестр постоянно загаживается...
в общем помогите чем сможете - хотя бы что еще можно/нужно проверить
Заранее спасибо
|
|
все имхо по любом3у висит в реестре 16.02.04 11:06
Автор: vladik_ Статус: Незарегистрированный пользователь
|
есть еще такая штука
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.
По крайней мере у меня в приватной сетке админ так скрипты с сервака загружает.
Дурацкий совет, но попробуй поискать в реестре по названию твоей злобной странице.
|
| |
не всё 16.02.04 11:24
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Например, образец страницы about:blank лежит в dllке какой-то. Может быть заменена она.
|
|
Need more information. 15.02.04 16:19
Автор: Den <Denis> Статус: The Elderman
|
|
|
| |
re : Need more information. 15.02.04 16:49
Автор: drummer Статус: Незарегистрированный пользователь
|
Какой?
ОС - win2000
проявляется только при перезагрузке - т.е если я все затираю - урлы в избранном + стартовую страницу
то обратно все меняется только после перезагрузки системы
видимо после этого вредитель заканчивает работу - я не могу отследить его обращение к реестру
в реестре в разделах windows\current version\run и прочих ничего вроде вредоносного нет...
в общем то меня интеерсует как отследить обращение проги к реестру при запуске - чтобы лог где-нить хоть был... не знаю что еще добавить
|
| | |
Как обычно, Руссинович рулит 15.02.04 20:55
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> в общем то меня интеерсует как отследить обращение проги к
> реестру при запуске - чтобы лог где-нить хоть был... не
> знаю что еще добавить
RegMonitor на www.sysinternals.com
|
| | | |
он уже есть - не помогает, т.к. нужно отловить обращение к... 15.02.04 23:54
Автор: drummer Статус: Незарегистрированный пользователь
|
> RegMonitor на www.sysinternals.com
он уже есть - не помогает, т.к. нужно отловить обращение к реестру при загрузке - а если вставить регмон в автозагрузку(или реестр - одна фигня) - виснет...
|
| | | | |
Вам нужно быть чуть более любознательным :) 16.02.04 12:05
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> > RegMonitor на www.sysinternals.com
> он уже есть - не помогает, т.к. нужно отловить обращение к
> реестру при загрузке - а если вставить регмон в
> автозагрузку(или реестр - одна фигня) - виснет...
Ну зачем же так грубо? Вы не обращали внимание на галку в настройках про логирование при загрузке?
В общем, читать здесь, специально для вас нашел
|
| | | | | |
Огромное спасибо - нашел злодея:)
16.02.04 21:23
Автор: drummmer Статус: Незарегистрированный пользователь
|
> Ну зачем же так грубо? Вы не обращали внимание на галку в
> настройках про логирование при загрузке?
Огромное спасибо - нашел злодея:)
Просто у меня была видимо старая версия регмонитора (года полтора назад качал...), в которой отсутствовала такая возможность... поэтому и не получалось
еще раз спасибо - тему можно закрывать:)
|
| | | | | | |
Да, было бы интересно узнать про злодея немного больше. 17.02.04 16:56
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
> еще раз спасибо - тему можно закрывать:)
Тему у нас закрывает открывший ее ("закрыть" в корневом сообщении). :) Но сначала жаждем подробностей :)
|
| | | | | | | |
Да в принципе ничего особенного - просто в логе созданном... 17.02.04 19:19
Автор: drummer Статус: Незарегистрированный пользователь
|
> Но сначала жаждем подробностей :)
Да в принципе ничего особенного - просто в логе созданном регмоном нашел искомые слова (find4u.net) - нашел прогу которая это изменяла - olehelp.exe - а потом нашел где она в реестре прописана была... в сервисах где то по-моему...
ларчик просто открывался:) не зря я тему в beginners открыл:)
|
| | | | | | |
А че было-то? 17.02.04 02:54
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
|
| | |
Re на re 15.02.04 17:27
Автор: Den <Denis> Статус: The Elderman
|
Версия браузера какая? Пропатчил? В профиле пользователя в катклоге "Рабочий стол" есть какой-нибудь скрытый файлик с расширением htt?
RunOnce проверил?
В профиле All Users папку Startup проверил?
Что прописано в HCLM\Software\Microsoft\Internet Explorer\AboutURLs?
|
| | | |
Ie 6.0 не патчил
15.02.04 18:43
Автор: drummer Статус: Незарегистрированный пользователь
|
> Версия браузера какая? Пропатчил?
Ie 6.0 не патчил
В профиле пользователя в
> катклоге "Рабочий стол" есть какой-нибудь скрытый файлик с
> расширением htt?
нет
> RunOnce проверил?
и не раз:)
> В профиле All Users папку Startup проверил?
да - ничего неправильного
> Что прописано в HCLM\Software\Microsoft\Internet
> Explorer\AboutURLs?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"NavigationFailure"="res://shdoclc.dll/navcancl.htm"
"DesktopItemNavigationFailure"="res://shdoclc.dll/navcancl.htm"
"NavigationCanceled"="res://shdoclc.dll/navcancl.htm"
"OfflineInformation"="res://shdoclc.dll/offcancl.htm"
"Home"=dword:0000010e
"blank"="res://mshtml.dll/blank.htm"
"PostNotCached"="res://mshtml.dll/repost.htm"
"mozilla"="res://mshtml.dll/about.moz"
|
| | | | |
Секции run и runonce в hkey_current_user тоже проверил? 15.02.04 19:29
Автор: Den <Denis> Статус: The Elderman
|
|
А может у тебя %SystemRoot%\system32\blank.htm подменен?
|
| | | | | |
у меня его просто нет:)
15.02.04 23:49
Автор: drummer Статус: Незарегистрированный пользователь
|
> А может у тебя %SystemRoot%\system32\blank.htm подменен?
у меня его просто нет:)
Секции Run и RunOnce в HKEY_CURRENT_USER тоже проверил?
давно
проблема вся в том, что я проверил вроде уже все - реестр (run runonce, runonceEx - HKLM,HKCU),автозагрузку - не знаю что еще
RegMonitor не помогает, поскольку нужно отслеживать обращение к реестру в момент загрузки, а если поместить его в автозагрузку - виснет гад:(
я все больше склоняюсь к тому что это верятно сервис какой-нить - но не знаю как этотпроверить - разве что отключать все последовательно...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
