Имя: Пароль:
IT
Админ
Откуда грузится баннер ?
0 Воинствующий Ламер
 
20.05.12
20:33
Доброго времени суток.

Товарищ поймал баннер.
В принципе не проблема.
Тем более что он, как ни странно, срабатывает только под одним пользователем.
(WinXP кстати)
Но возник интерес узнать, откуда он загружается?
Зашел другим пользователем.
Установил KIS2010 (единственное, что валялось у него на компе).
Обновил. Запустил полную проверку.
Нашлось пару вредоносных объектов.
Удалил. Перезагрузился. Зашел. Баннер висит.
Погуглил. Во всех предполагаемых местах реестра чисто.
Как уже писал выше в принципе не проблема.
Но интересно узнать, откуда же грузится баннер?
И почему KIS его не вылечил (вроде везде его хвалят)?
Не подскажите?

Заранее благодарю.
С уважением, Воинствующий Ламер.
1 Dannilkaaa
 
20.05.12
20:46
значит не во всех предполагаемых местах искал.Утилита от вебера еще есть, cureit звать.
2 Злобный монстр
 
20.05.12
20:47
Если баннер в браузере, то посмотри надстройки. Они иногда себя туда прописывают и не определяются как вирус.
3 Jump
 
20.05.12
20:47
(0)Что конкретно ты хочешь узнать?
Где находится сам файл этого баннера, или где находится код который его запускает?
4 IamAlexy
 
20.05.12
20:48
да зачастую банер это не вирус и нихрена его антивирусы не видят
хоть упроверяйся
5 andrewks
 
20.05.12
20:48
где баннер выходит? на раб.столе?
6 andrewks
 
20.05.12
20:48
иногда тупо висит экзешник прямо в Программы\Автозагрузка
7 Воинствующий Ламер
 
20.05.12
20:49
(1)
Очевидно что не во всех.
В этом то и вопрос..
Какие есть места в реестре откуда он может грузится?
Или может быть не только в реестре.
8 Jump
 
20.05.12
20:49
"И почему KIS его не вылечил" - он лечит по сигнатурам, т.е если файл баннера содержит код совпадающий с вирусной сигнатурой, то он его вылечит.
Значит код не совпал.
9 Jump
 
20.05.12
20:51
(7)Как вариант - в памяти висит куча системных сервисов, которые время от времени страртуют свои программы - дописываешь к такой программе довесок, и вуаля.
10 Воинствующий Ламер
 
20.05.12
20:54
(3) Файл не суть важен. Интересно что его запускает.
(5) Баннер запускается сразу при входе конкретным пользователем (только им). Черный фон и баннер.
(6) Папка Автозагрузка чиста. Чисты и соответствующие ветки рееста.
11 Vol71
 
20.05.12
20:54
Kaspersky Rescue Disk поможет
12 andrewks
 
20.05.12
20:54
удалёнку дашь?
13 Jump
 
20.05.12
20:56
Системные сервисы конечно проверяют запускаемые файлы на предмет цифровой подписи, а вот левые программы не всегда это делают.
Допустим берем какую-нибудь популярную программу типа мэйл-ру агента, которые грузятся автоматом - смотрим какие файлы запускает сервис - подменяем запускаемый файл на свой который стартует баннер, а потом стартует тот файл который он подменил.
В итоге все чисто и аккуратно.
14 Sakura
 
20.05.12
20:56
(0) грохни профиль пользователя, создай новый
15 Воинствующий Ламер
 
20.05.12
20:57
(11) Дело не в помощи. Проблема уже решена. Сидит под другим пользователем и никаких проблем.
16 andrewks
 
20.05.12
20:57
если вопрос любопытства - качни AVZ, он всё расскажет -  кто, откуда и куда
17 Jump
 
20.05.12
20:58
(10)Учитывая -"Баннер запускается сразу при входе конкретным пользователем (только им)"
Можно сказать что запуск идет или из реестра этого пользователя, либо из сервисов которые стартуют от имени этого пользователя.

Можно поэкспериментировать - отключай по очереди безобидные и нужные сервисы и смотри запустился ли баннер.
18 Воинствующий Ламер
 
20.05.12
20:59
(13) И это может вызывать запуск баннера запуск баннера сразу при входе в систему ?
19 Злобный монстр
 
20.05.12
20:59
(16) +100
20 andrewks
 
20.05.12
21:00
(17) насчёт сервисов чё-то ты загнался
21 Воинствующий Ламер
 
20.05.12
21:00
(17) Сервисы это службы ? (см. мой ник)
22 Злобный монстр
 
20.05.12
21:01
(15) Тогда в ветке реестра HKEY_CURRENT_USER ищи
23 Sakura
 
20.05.12
21:01
(15) это не решение, а костыль :)
24 Воинствующий Ламер
 
20.05.12
21:02
(16) А что AVZ прям все укажет?
Где и откуда?
25 Воинствующий Ламер
 
20.05.12
21:02
(22) Это то и дураку понятно.
26 Jump
 
20.05.12
21:03
(20)Да ну?
27 Злобный монстр
 
20.05.12
21:03
(25) Ну кто тебя знает...
28 Воинствующий Ламер
 
20.05.12
21:04
В каких еще ветках реестра, кроме автозагрузки и winlogon, может прятаться загрузчик ?
29 andrewks
 
20.05.12
21:06
(26) ок, обоснуй.
все службы грузятся при старте системы, допустим, баннер стартует как служба под  юзером №1, тогда и при входе под другим юзером №2 она тоже стартанёт, но от имени юзера №1
30 andrewks
 
20.05.12
21:07
(25) не все понимают, что при входе под новым юзером ветки старого юзера они в этом разделе не увидят
31 Sakura
 
20.05.12
21:08
(29) если юзер 1 - админ, а юзер 2 - нет, то под вторым она вполне может не стартануть, если ей нужны права на старт.
мне на рабочий комп кто-то поймал когда-то баннер, который стартовал только под учеткой доменного админа. под моей, у которой тоже были полные права - его не было))
лесить было влом. переставила систему тогда
32 Sakura
 
20.05.12
21:08
*лечить
33 Jump
 
20.05.12
21:08
(29)Я не говорил что баннер стартует как служба.
Я говорил что баннер маскируется под какой то файл запускаемый этой службой.
34 andrewks
 
20.05.12
21:09
(33) ты про сервисы говорил. сервис = служба, разве нет?
35 andrewks
 
20.05.12
21:10
(31) извини, но это чушь. если служба стартует от имени админа, то как ей может не хватить прав?
36 Воинствующий Ламер
 
20.05.12
21:10
(30)Вот как?!
Правильно ли я понял, что ветка "HKEY_CURRENT_USER" под каждого пользователя своя ?
Если так то есть ли способы просмотреть ветку другого пользователя ?
37 andrewks
 
20.05.12
21:10
(36) ага.
смотри раздел HKEY_USERS
38 Воинствующий Ламер
 
20.05.12
21:10
(31) Оба админы
39 Sakura
 
20.05.12
21:12
(38) значит, где-то в профиле пользователя валяется. включи отображение скрытых и системных файлов, и шерсти папку с профилем
40 Воинствующий Ламер
 
20.05.12
21:13
(37) Она какая то странная.
Где там искать ?
41 andrewks
 
20.05.12
21:13
и вообще, вири, маскирующие себя в службы, обычно не так просты, чтобы от них отделаться пересозданием учётки
42 Воинствующий Ламер
 
20.05.12
21:15
(39) Шерстить на предмет чего?
Странных экзешников или батников ?
43 Jump
 
20.05.12
21:15
(34)Да конечно сервис и служба одно и тоже.
Ну смотри ставит пользователь вася какой-нибудь mail.ru агент - при установке прописывается служба, задача этой службы стартовать окошко этого долбанного агента - вошел пользователь вася в систему служба отловила это событие и стартанула его любимый мессенджер - только вот файл мессенджера был подменен на левый файл, который сначала стартует баннер, а уж потом мессенджер.
44 Sakura
 
20.05.12
21:16
(42) всего))
еще есть софтина, Prоcess Monitor, если мне память не изменяет, показывает, кто/что какой процесс стартует
45 andrewks
 
20.05.12
21:17
(43) конечно, это возможно, но это было бы очень глупо со стороны виря, см.(41)
46 Jump
 
20.05.12
21:18
(36)А ты какие ветки реестра кстати смотришь? - Run?
Может быть и в RunOnce и перезаписывать ее каждый раз.
Тоже красивый вариант.
47 andrewks
 
20.05.12
21:18
(46) красивше в winlogon шеллом прописаться
48 Воинствующий Ламер
 
20.05.12
21:19
Ребят, по ходу уважаемый andrewks (30), (37) прав.
Нашел какую то хрень в автозагрузке в веетке HKEY_USERS
Счас попробую полечить
Временно выйду
49 Воинствующий Ламер
 
20.05.12
21:19
(46) Все
50 Воинствующий Ламер
 
20.05.12
21:20
(47) Шелл тоже проверил
51 Jump
 
20.05.12
21:24
(45)Почему глупо? Наоборот хрен найдешь.
Обычно чистят и удаляют отключением ненужных и неизвестных служб и программ в автостарте - а если стартует известное и нужное приложение, оно останется без внимания.
А пересоздание профиля пользователя - это довольно радикальная мера, вирусы которые не смогли получить привилегий администратора это в любом случае покосит.
А те кто добыл админские права, им это пофиг.
52 Jump
 
20.05.12
21:25
(47)Да, но это один из множества вариантов.
53 Sakura
 
20.05.12
21:28
(51) в данном случае, как я понимаю, речь даже не о правах, а зараза прописалась именно в профиле - иначе бы стартовала под всеми юзерами. соответсвенно, если убить профайл полностью - заразы должно не стать.
54 Воинствующий Ламер
 
20.05.12
21:29
(48) Не помогло.
55 Воинствующий Ламер
 
20.05.12
21:30
Почистил ветку автозагрузки в HKEY_USERS
Там была какая то хрень
Не помогло
56 Sakura
 
20.05.12
21:34
(55) а что за хрень там была? м.б. сначала стоит убить исполняемый файл, а потом уже реестр от него чистить, не?
57 Jump
 
20.05.12
21:37
(55)А вообще там сколько файлов в автозагрузке?
58 БалбесВ1с
 
20.05.12
21:43
(0)Сейчас не отличишь вирусы от надоедливых сервисов типа майл-гард.Обновлял мюторрент снял галочки один хрен всё установилось.
59 Воинствующий Ламер
 
20.05.12
21:48
Все.
Ответ найден.
Оказалось что ветка HKEY_CURRENT_USER другого пользователя находится в файле ntuser.dat в корневом каталоге пользователя.
Баннер грузился из ветки автозагрузки.
Всем спасибо.
60 Nandarou
 
20.05.12
22:25
Я пару раз лечил блокиратор с помощью проги Universal Virus Sniffer. имеет базу драйверов и частей операционки. находит подозрительные файлы за 30 секунд по своей базе. удаляешь файл блокиратора и нет его.

скорее всего лежит в одной из папок профиля. что-то вроде Application Data или Local Settings
там себя ведут последние блокираторы что я встречал. в реестре в логоне они не прописываются.
61 smaharbA
 
20.05.12
22:34
(59) Колумб ?
Ошибка? Это не ошибка, это системная функция.