Зловред на компе
От: Vain Россия google.ru
Дата: 09.09.09 05:35
Оценка: :))) :)
Сегодня обнаружил странную вещь, предположительно вирус-зловред. Но зловред этот не простой, его никто не видит (Ни Kаspersky, ни AVZ, ни CureIt), а он есть! Есть он по косвенным признакам. Признаки следующие:
1. Открываешь Total Commander/Far/Шелл-по-вкусу и Explorer на директории "%WINDIR%\system32" и сравниваешь списки файлов, — Total Commander/Far показывают не все файлы! К примеру, ntoskrnl.exe отсутствует. Explorer же его присутствие показывает. Причём если попытаться его открыть через Notepad++, скажет что "файл отсутствует, создать?", но если его скопировать через Explorer в другую директорию, то файл копируется и смотриться на ура.
2. Открываешь Total Commander/Far/Шелл-по-вкусу и Explorer. В Explorer'е набираешь regedit и ищешь ветку "HKLM\software\microsoft\SystemCertificates" — имеется, Total Commander/Far'е делаешь тоже — нет ключа! Зато есть какие-то два других, которых нету в первом случае — "SqlMobile" и "SQMClient".

Вот такая хрень. Может кто поможет, а то мозги кипят, а гугль молчит.

PS: OS WinXP 64bit/NTFS.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Re: Зловред на компе
От: DOOM Россия  
Дата: 09.09.09 05:39
Оценка:
Здравствуйте, Vain, Вы писали:

V>Вот такая хрень. Может кто поможет, а то мозги кипят, а гугль молчит.
Ну раз уши так откровенно торчат, то попробуй посканить RootkitRevealer от sysinternals — хотя, скорее всего, тело в ntoskrnl.exe и живет — надо восстановление системы делать (просто с дистрибутива).
Re: Зловред на компе
От: andrey.desman  
Дата: 09.09.09 05:50
Оценка: 3 (2) +4
Здравствуйте, Vain, Вы писали:

V>PS: OS WinXP 64bit/NTFS.

Windows 7 — странная странность
Автор: ononim
Дата: 14.06.09
Re: Зловред на компе
От: Were  
Дата: 09.09.09 08:09
Оценка: 5 (3) +3
Здравствуйте, Vain, Вы писали:

1. То, что TC и Far 32-х битный, а Explorer 64-х битный не наводит ни на какие мысли?)

2. Аналогично, regedit 32-х и 64-х битный.

V>Сегодня обнаружил странную вещь, предположительно вирус-зловред. Но зловред этот не простой, его никто не видит (Ни Kаspersky, ни AVZ, ни CureIt), а он есть! Есть он по косвенным признакам. Признаки следующие:
V>1. Открываешь Total Commander/Far/Шелл-по-вкусу и Explorer на директории "%WINDIR%\system32" и сравниваешь списки файлов, — Total Commander/Far показывают не все файлы! К примеру, ntoskrnl.exe отсутствует. Explorer же его присутствие показывает. Причём если попытаться его открыть через Notepad++, скажет что "файл отсутствует, создать?", но если его скопировать через Explorer в другую директорию, то файл копируется и смотриться на ура.
V>2. Открываешь Total Commander/Far/Шелл-по-вкусу и Explorer. В Explorer'е набираешь regedit и ищешь ветку "HKLM\software\microsoft\SystemCertificates" — имеется, Total Commander/Far'е делаешь тоже — нет ключа! Зато есть какие-то два других, которых нету в первом случае — "SqlMobile" и "SQMClient".

V>Вот такая хрень. Может кто поможет, а то мозги кипят, а гугль молчит.

V>PS: OS WinXP 64bit/NTFS.
Re[2]: Зловред на компе
От: Vain Россия google.ru
Дата: 09.09.09 13:32
Оценка: :)
Здравствуйте, Were, Вы писали:

W>1. То, что TC и Far 32-х битный, а Explorer 64-х битный не наводит ни на какие мысли?)
W>2. Аналогично, regedit 32-х и 64-х битный.
Ага! Я так и знал, что зловред этот виндоусом окажется.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
Re: Зловред на компе
От: Vain Россия google.ru
Дата: 09.09.09 16:07
Оценка:
Здравствуйте, Vain, Вы писали:

Здесь рассказано несколько интересных идей-решений по проблеме.
[In theory there is no difference between theory and practice. In
practice there is.]
[Даю очевидные ответы на риторические вопросы]
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.