Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | | |
А тему закрыть???? 27.03.03 13:19 Число просмотров: 1256
Автор: CEKTAHT Статус: Незарегистрированный пользователь
|
Я бы с радостью, только не знаю как это сделать. Могу просто сказать всем СПАСИБО, тема закрыта :)
Я тут недавно, вы уж меня простите. В описании форума про это вроде тоже не написано.
|
|
<beginners>
|
Помогите убить зверя 26.03.03 15:02 [Den]
Автор: CEKTAHT Статус: Незарегистрированный пользователь
|
Привет всем
Думаю, этот вопрос пользуется популярностью. У меня винда 2000 проф. Не знаю откуда, но у меня прописался save.exe или savenow.exe точно не знаю. Найти мне его не удалось. Как его найти и стереть? Его находит Ad-ware и стирает, но после перезагрузки снова появляется.
Спасибо
|
|
Помогите убить зверя 26.03.03 20:28
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 26.03.03 20:36 Количество правок: 2
|
Убей процесс savenow.exe, удали его из Program Files (он там лежит), затем сотри все упоминания о savenow из реестра. Именно в такой последовательности.
Пояснение по удалению упоминаний из реестра:
1)запускаешь regedit.exe
2)Жмешь Ctrl+F (Edit-Find)
3)вводишь там savenow И жмешь Enter
4)по нахождению записи стираешь ее
5)жмешь F3
6)if(!error) переход на 4
Почитай тут
|
| |
Помогите убить зверя 27.03.03 02:21
Автор: CEKTAHT Статус: Незарегистрированный пользователь
|
|
Всем спасибо за инфу. Save окончательно убит! Причем их окозалось целых два :)
|
| | |
А тему закрыть???? 27.03.03 11:06
Автор: Den <Denis> Статус: The Elderman
|
|
|
| | | |
А тему закрыть???? 27.03.03 13:19
Автор: CEKTAHT Статус: Незарегистрированный пользователь
|
Я бы с радостью, только не знаю как это сделать. Могу просто сказать всем СПАСИБО, тема закрыта :)
Я тут недавно, вы уж меня простите. В описании форума про это вроде тоже не написано.
|
|
Re: Помогите убить зверя 26.03.03 15:56
Автор: Den <Denis> Статус: The Elderman
|
Около пол года назад был вирус со схожими повадками. Первым делом вирус вешался в память и закрывал антивирусные программы, далее создавал исполняемый файл и создавал на него ссылки в группе автозапуска и в системном реестре в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run или RunOnce (точно не помню). Если этот файл удалялся, то тело вируса, сидящее в оперативке, создавало этот файл заново и ссылки тоже.
Легко справиться с вирусом ручками можно на системе Win9x или линолеум, загрузившись в "чистый" DOS и вычистив реест и группу запуска.
В 2K тоже можо получить командную строку без загрузки ядра, но я не помню как. Эту возможность нужно устанавливать отдельно с дистрибутива 2K. Может быть All подскажет как...
Есть еще вариант - попробовать загрузить "лечащий" файл с сайта Касперского, который и занимается вычищением автозапуска и реестра от ссылок на вирус. Правда это поможет только если ты подцепил вариацию вируса, который вычищается этой утилитой.
Бесплатная утилита для лечения червей
|
| |
Чтобы получить командную строку под В2к, надо установить Recovery Console 27.03.03 14:48
Автор: Sandy <Alexander Stepanov> Статус: Elderman
|
> В 2K тоже можо получить командную строку без загрузки ядра,
> но я не помню как. Эту возможность нужно устанавливать
> отдельно с дистрибутива 2K. Может быть All подскажет как...
Для этого надо запустить winnt32.exe с дистрибутивного диска с параметром /cmdcons
|
|
Проверь ветку реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run 26.03.03 15:41
Автор: JINN <Sergey> Статус: Elderman
|
|
|
| |
Проверь ветку реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run 26.03.03 18:43
Автор: CEKTAHT Статус: Незарегистрированный пользователь
|
Спасибо за помощь!
Звер убит! Это был не вирус, а... хрен его знает что. Чаще всего он прописывавется из popup рекламы или при скачке и установке левых прог. Может троянец, хотя ни один из ведущих firewall-ов не ругался.
|
| | |
Проверь ветку реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run 26.03.03 19:28
Автор: CEKTAHT Статус: Незарегистрированный пользователь
|
Рано я обрадовался(( Проверил еще раз Ad-aware и он опять нашел эту заразу. Название файла SaveNow детали wusn.1
адваря говорит, что он находится в HKEY_CLASSES_ROOT как wasn.1 но в реестре я такой записи не нашел.
Может есть идеи как его найти?
Спасибо
|
| | | |
Вспомни, что из программ устанавливал в последнее время. 26.03.03 20:27
Автор: JINN <Sergey> Статус: Elderman
|
SaveNow.exe - Advertising spyware. Installed as part of the Kazaa Media Desktop bundle for example
Save.exe - Rebranded version of SaveNow advertising spyware
Start-Up Applications
|
| | | |
Re: Проверь ветку реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run 26.03.03 20:15
Автор: Den <Denis> Статус: The Elderman
|
|
Если на диске такого файла нет, то и переживать по этому поводу не стоит. Одним мусором в реестре меньше, одним больше - фигня...
|
|
|
подробно о проекте
Анализ криптографических сетевых...
