Форум 3DNews
Вернуться   Форум 3DNews > Софт > Операционные системы Microsoft Windows

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 27.10.2006, 13:45   [включить плавающее окно]   #1
professor
Мужской Новенький
Автор темы
 
Регистрация: 07.06.2006
мифический explorasi.exe

На днях проверил свою машину avast!'ом. Он нашел, как я и подозревал, червя,которого я притащил из универа. В ходе проверки антивирус нашел некоторый файл в папке C:\WINDOWS\ якобы зараженный файл explorasi.exe и удалил его. Теперь при загрузке компа вылетает сообщение что explorer не может найти explorasi. Самое страшное, что теперь, когда я захожу на диск, в котором видео(именно видео), explorer вырубается(на мониторе остаются только обои) потом снова запускается и выводит все тоже сообщение об explorasi. И так происходит постоянно при "контакте" с видео. Временную передышку приносит перезагрузка. Самое странное, что у людей, у которых я спрашивал, explorasi.exe нет вообще. А как это лечить?
professor вне форума  
Ответить с цитированием
Непрочитано 27.10.2006, 14:04   [включить плавающее окно]   #2
Lamo
Женский Заслуженный
 
Аватар для Lamo
 
Регистрация: 26.02.2003
Адрес: _________________ Valley of Damned Soul
professor
Вичисти реестр на предмет explorasi.exe
Изучать
FAQ по безопасности информации
Достали меня Korgo и Explet...
__________________
Вот что я вам скажу. Позвольте мне немножко подсластить вам сделку
(Вельзевул)
Lamo вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 27.10.2006, 15:59   [включить плавающее окно]   #3
professor
Мужской Новенький
Автор темы
 
Регистрация: 07.06.2006
Reg Organizer никаких намеков на explorasi не нашел
professor вне форума  
Ответить с цитированием
Непрочитано 28.10.2006, 04:10   [включить плавающее окно]   #4
4x
Мужской Недосягаемый
 
Аватар для 4x
 
Регистрация: 16.02.2003
Адрес: Novosibirsk
Цитата (professor) »
Reg Organizer никаких намеков на explorasi не нашел
Ручками, ручками...
__________________
Стучитесь!!! И Вас откопают.
4x вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 29.10.2006, 17:34   [включить плавающее окно]   #5
professor
Мужской Новенький
Автор темы
 
Регистрация: 07.06.2006
Ручками тоже ничего не нашел
professor вне форума  
Ответить с цитированием
Непрочитано 31.10.2006, 01:11   [включить плавающее окно]   #6
Trayan_
Мужской Начинающий
 
Регистрация: 26.10.2006
Вы знаете explorasi.exe и у меня тоже нет а я всётаки считаю что это не доконца вылеченый чевь, но может быть моё мнение ошибочно т.к. в основном исходмт из недоверия к avast'у. Поставь др. антивир загрузи базы и проверь.
Trayan_ вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 12:58   [включить плавающее окно]   #7
Berad
Мужской Новенький
 
Регистрация: 04.08.2005
Адрес: Березово(ХМАО)
Цитата (Trayan_) »
Поставь др. антивир загрузи базы и проверь.
Я проверял Dr Web'oм новеньким. Он нашел тот же файл и так же его убил. теперь у меня та же надпись вылетает при загрузке винды.
вирус, кстати, был, если не ошибаюсь, W32.Rontokbro.K@mm . интересная такая тварина. при открытии окон и программ, в заголовке которых содержится ключевое слово (список слов в вирусню вшит) комп рестартится. это, естественно, не все проказики, если кому интересно - в инете поищите по имени eksplorasi.exe
потому что именно так файл называется

в реестре поиски так же ничего не дали.
воот. если кто может чем помочь - присоветуйте, а то надоела эта месага каждый раз при загрузке компа
Berad вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 13:00   [включить плавающее окно]   #8
Vanya
Мужской Недосягаемый
 
Аватар для Vanya
 
Регистрация: 24.11.2003
Адрес: Наукоград Пущино
Цитата (Berad) »
W32.Rontokbro.K@mm
Если с английским дружишь - инструкция
http://www.symantec.com/security_res...353-99&tabid=3
__________________
Признайся себе, что тебе в этот момент меньше всего хочется делать
и сделай это.
Vanya вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 13:01   [включить плавающее окно]   #9
Berad
Мужской Новенький
 
Регистрация: 04.08.2005
Адрес: Березово(ХМАО)
вот файлы, которые создает эта тваринка при заражении компа:

%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
%UserProfile%\Start Menu\Programs\Startup\Empty.pif
%UserProfile%\Templates\Brengkolang.com
%Windir%\eksplorasi.exe
%Windir%\ShellNew\sempalong.exe
%System%\[USER NAME]'s Setting.scr

попытка пролезть в любую из этих папок либо кончается перезагрузкой, либо невозможна - вирь отключает возможность редактирования реестра, а так же свойства папки убирает из панели управления и контекстного меню, делая при этом скрытые и системные файлы-папки невидимыми

Berad добавил :

во, человек выложил ту самую инструкцию - там написано как убить вирь Нортонским антивирем - не верьте!!!
я скачал эту гадину (34 метра с копейками), потом базы обновил, потом лечил комп. проверка заняла около 2 часов.
ничего нортон не нашел и не убил. а Др Веб нашел и этого червя и еще один вирь, тоже, кстати с универа принесенный.
короче, убилось и вылечилось все, но какая-то запись где-то при загрузке винды еще просит загрузит убитый вирь

где точно, в реестре по загрузке винды можно инфу глянуть про загрузку? (в файле выше нету, я читал его)
и где еще, кроме реестра, может лежать вся эта лабуда

Berad добавил :

Цитата
Если с английским дружишь - инструкция
читал. см. добавление выше
Berad вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 13:12   [включить плавающее окно]   #10
Vanya
Мужской Недосягаемый
 
Аватар для Vanya
 
Регистрация: 24.11.2003
Адрес: Наукоград Пущино
Berad
антивирус по любому реестр править не будет (насколько знаю)

попробуй удаление сделать по инструкции по пунктам.
п.1, 4, 5 и 6
__________________
Признайся себе, что тебе в этот момент меньше всего хочется делать
и сделай это.
Vanya вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 13:13   [включить плавающее окно]   #11
Berad
Мужской Новенький
 
Регистрация: 04.08.2005
Адрес: Березово(ХМАО)
Вот перевод на русский язык - не полный. тут только написано, что да как про вирус. вся ненужная инфа про лечение удалена

http://www.viruslist.com/ru/viruses/...?virusid=96428

Berad добавил :

в общем, все. по ссылке выше в моем последнем сообщении можно узнать, где вирь прописан.
первые два местоположения не дали результатов - может от того, что я папку "Автозагрузка" вообще вычистил, может еще от чего
надпись вылазит от записи, которая прописывается в

Цитата
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"
в Shell оставить только Explorer.exe

Berad добавил :

блииин
залез только что на семантику - там то же самое про реестр написано
надо было до конца читать
но все равно, всем пасиба

Berad добавил :

professor

слушай, кинь ссылку на ключ для Reg Organaizer'a ???
Berad вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 13:30   [включить плавающее окно]   #12
Vanya
Мужской Недосягаемый
 
Аватар для Vanya
 
Регистрация: 24.11.2003
Адрес: Наукоград Пущино
Ну еще это осталось. Это не реестр

Цитата
6. To delete the scheduled tasks added by the worm
a. Click Start, and then click Control Panel. (In Windows XP, switch to Classic View.)
b. In the Control Panel window, double click Scheduled Tasks.
c. Right click the task icon and select Properties from pop-up menu.
The properties of the task is displayed.
d. Delete the task if the contents of the Run text box in the task pane, matches the following:
%UserProfile%\Templates\Brengkolang.com
Кстати, начальные требования выполнял? (Отключение системы восстановления и защищенный режим)
__________________
Признайся себе, что тебе в этот момент меньше всего хочется делать
и сделай это.
Vanya вне форума  
Ответить с цитированием
Непрочитано 01.11.2006, 15:16   [включить плавающее окно]   #13
professor
Мужской Новенький
Автор темы
 
Регистрация: 07.06.2006
Berad
Я с диска ставил.
Так у тебя перестало вылезать это дурацкое сообщение?

Последний раз редактировалось professor; 01.11.2006 в 15:22.
professor вне форума  
Ответить с цитированием
Непрочитано 08.11.2006, 14:45   [включить плавающее окно]   #14
professor
Мужской Новенький
Автор темы
 
Регистрация: 07.06.2006
Чтобы убить червя я переставил систему, так как свочолочной червь запретил все операции с регистром.

Тема закрыта.
professor вне форума  
Ответить с цитированием
Непрочитано 08.06.2007, 14:39   [включить плавающее окно]   #15
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Систему после этого вируса переустанавливать не обязательно, есть различные "АнтиБронтоки"
Червь не страшный, удаляется легко, только самая "страшная" проблема это последствия от этого вируса, он вносит много запретов через реестр, например запрет на использование Regedit и запрет опций папки
Вылечить можно reg-файлом, который нужно запустить из под LiveCD ака ERD Commander, WinPE, BartPE или проще скачать утилиту AVZ, распаковать ее и запустить на вылеченном компьютере, затем: Файл - Восстановление системы - поставить галочку "восстановление всех Policies (ограничений) пользователя- кнопка "Выполнить", дождаться окошка "Ок" - Перезагрузка - Детям мороженое, бабе цветы!
__________________
2 BEER or not to be!
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 09.06.2007, 07:42   [включить плавающее окно]   #16
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
siBEERian - скорая помощь через 7(семь) месяцев?..
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.06.2007, 07:48   [включить плавающее окно]   #17
siBEERian
Мужской Модератор
 
Аватар для siBEERian
 
Регистрация: 05.06.2003
Адрес: Irkutsk
Цитата (Smirnoff) »
скорая помощь через 7(семь) месяцев?..
да вот принесли машинку в ремонт с этой проблемой, переустанавливать не хочется, т.к. много софта с привязкой к железу вот и пришлось искать решение
З.Ы. Регулярное обновление антивируса и файрвола не дает мне встречаться с заразой уже наверное лет пять-шесть, про вирусные эпидемии узнаю только из новостей, форумов и принесенных на ремонт компьютерах
__________________
2 BEER or not to be!

Последний раз редактировалось siBEERian; 11.06.2007 в 07:54.
siBEERian вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:24. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey