Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   приложения в Application Data (http://forum.oszone.net/showthread.php?t=178187)

truvo 15-06-2010 01:24 1434226
приложения в Application Data
 
Является ли в принципе криминальным наличие каких-бы то ни было exe-файлов в пределах папки Documents and Settings, в папке Application Data (и нахождение некоторых из этих приложений в автозапуске)?

Или же есть случаи, когда это нормально?

MotherBoard 15-06-2010 01:31 1434229
Прочитайте внимательно и выполните правила!

truvo 15-06-2010 02:09 1434238
MotherBoard, а я имею право задать общетеоретический вопрос, безотносительно к конкретному случаю? По идее должен иметь. Или мне идти в ХВЗ?

P.S. Случай, разумеется, конкретный, но я надеюсь расправиться со зловредами самостоятельно.

MotherBoard 15-06-2010 02:17 1434241
Цитата:
Цитата truvo
Или мне идти в ХВЗ? »
Понятия не имею.. о чём вы....
Цитата:
Цитата truvo
P.S. Случай, разумеется, конкретный, но я надеюсь расправиться со зловредами самостоятельно. »
Тогда в помощь Великий Гугл!
Данный раздел создан для нуждающихся в борьбе с вирусами, где оказывается помощь нашими специалистами..
А насчёт вашего вопроса
Цитата:
Цитата truvo
Или же есть случаи, когда это нормально? »
Есть норма и вирус.. так что осторожнее...
С вашими вопросами вот ссылка, где вы можете получить нужную вам информацию
http://forum.oszone.net/announcement-87-157.html
А в данном разделе мы не преподаём, а лечим...

truvo 15-06-2010 02:23 1434242
ХВЗ - "Хочу всё знать"

Drongo 15-06-2010 11:00 1434359
Цитата:
Цитата truvo
каких-бы то ни было exe-файлов в пределах папки Documents and Settings, в папке Application Data »
Исполнимые файлы могут находиться в указаных вами папках, например касперский (то что быстро вспомнилось)
Код:
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.736\Russian
А вот отсюда могут запускаться вирусы
Код:
...\temporary internet files\...
А вот если ещё и при условии нахождения в указаных выше папках и в автозапуске, то сказать однозначно нельзя, нужно смотреть на имя файла, в процентах 80-90 это не нормально
Цитата:
Цитата truvo
(и нахождение некоторых из этих приложений в автозапуске)? »
Можно говорить о различных дополнительных адварных модулях, находящихся в
Код:
...\Documents and Settings\...
Цитата:
Цитата truvo
P.S. Случай, разумеется, конкретный, но я надеюсь расправиться со зловредами самостоятельно. »
Имеете право. :yes: Но, нам, для отчётности можете кинуть лог AVZ и HiJackThis ? Заинтриговали. :)

truvo 16-06-2010 05:14 1434999
Ну, вроде расправился... самым мерзопакостным среди прочей лабуды оказался файл cift.exe в корне папки профиля пользователя, квалифицированный AVZ как "подмена диспетчера задач". Именно из-за этого файла я не мог, оказывается, вернуть второй язык - русскую раскладку, как не бился... А когда я его прибил ручками - тут и профиль накрылся - система создала новый и пришлось транспортировать туда папки прежнего... Никто не в курсе - 2011 Каспер лечит это? (7-й с LiveCD этого не заметил).

Drongo 16-06-2010 11:12 1435127
Цитата:
Цитата truvo
"подмена диспетчера задач" »
Нужно было ещё удалить ключик Taskman в реестре.
Код:
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
Такие файлы редко "путешествуют\живут" в одиночестве. Может всё же скинете логи?

truvo 16-06-2010 23:44 1435668
Ну извините, было не до этого - эпопея длилась так долго, что я буквально раздавлен (плюс болезни и погода...). так как насчет каспера 2011? - я читал, что он "лечит и пункты автозагрузки"

MotherBoard 17-06-2010 00:06 1435683
Никто не говорит, что каспер - плохой антивирус. Его все уважают...
Но каждый день выпускается туча вирусов, которые атакуют наши компьютеры.
И пока не будет проведена детальная разборка с отправкой карантина в лабораторию, антивирусник детектить незнакомца не будет...
Поэтому ещё раз убедительно просим, скиньте, пожалуйста, логи!
А хотите уметь вручную рассправляться со зловредами, поступайте на курсы Virusnet.info, при чём курсы бесплатны..
А пока что позвольте специалистам узнать самочувствие пациента... :)

Drongo 17-06-2010 11:22 1435913
Цитата:
Цитата truvo
так как насчет каспера 2011? - я читал, что он "лечит и пункты автозагрузки" »
Выше вам ответила MotherBoard. Добавить нечего. Каждый из антивирусов и 2011 будет лечить то что умеет, ну, а уж где найдёт, там и вылечит или удалит. Пункты автозагрузки, их ведь много. Например:

1. Стандартная папка Автозагрузка. (тут ума не надо, удалить ярлык\файл из папки и ветку в реестре)
2. Ключи в реестре, тут уже от фантазии вирусописателей, Shell, Userinit, AppInits_Dll, тут уже посложнее, но в принципе достаточно первым двум возвращать правильное значение, благо, оно у них по стандарту всегда одно и тоже и всё что сверху, считается нелегалом. С третьим ключём не так просто. Он двойственный, там могут быть как легальные файлы, так и нелегальные, включая семейство порнолокеров.
3. Запуск из .ini файлов, для этого антивирусу придётся переписывать их, вряд ли он это умеет?


Все вопросы по 2011 можно задать в ветке - Антивирус Касперского (KAV) и Kaspersky Internet Security (KIS) 2011


В связи с отсутствием логов тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 00:10.

Время: 00:10.
© OSzone.net 2001-