Вирус Autorun

[Homeza]

Цитата:

Сообщение от лурик

А где же он тогда находится-прячется(вирус) если я его поудалял отовсюду а при перезапуске опять вылазит.Ведь если я его удалил как он может опять запускатся?

Ты удаляешь уже следствия. Если посмотреть в автозагрузку там бывает запуск файла - qwewqe.exe или 412.tmp вот это и есть тот вирус который появляется опять. Набор букв и цифр разный. Обычно находится либо в корне системного диска, или WINDOWS\system32\
Поэтому прохожу антивирусом, потом чищу автозапуск.

[лурик]

То есть если удалить все из папки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run то ни чего автоматом запускатся не будет ? если я оттуда удалю то просто со значка с рабочего стола будет запускаться?или еще из WINDOWS\system32\ прийдется что то удалять?А там нет ни каких вжных запусков связанных с работой системы а то поудаляю а потм винда начнет виснуть.

[Homeza]

Цитата:

Сообщение от лурик

То есть если удалить все из папки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run то ни чего автоматом запускатся не будет ? если я оттуда удалю то просто со значка с рабочего стола будет запускаться?или еще из WINDOWS\system32\ прийдется что то удалять?А там нет ни каких вжных запусков связанных с работой системы а то поудаляю а потм винда начнет виснуть.

Все удалять нельзя. Удалять надо то, чего там не должно быть. А не должно там быть разных файлов с непонятным набором букв. Там указан путь и имя файла.
В автозапуске много чего есть, поэтому желательно знать что ты удаляешь. Когда антивирус шерстит комп он показывает файлы вируса, вот их потом и ищем в автозапуске и удаляем.

[commar]

лурик, возьми здесь Starter5628.rar (541.21 KB)

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

распакуй в любую папку, запусти, сделай скрин. и покажи - что там в автозагрузке..

[Маклауд]

Вот очень интересная програмка по данной теме:

Скрытый текст (вы должны зарегистрироваться или войти под своим логином):

У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

[zett]

Вчера тестировал новую партию программ и одна показала новую (первый раз вижу) ветку автозагрузки. Точнее показана ветка стандартная (HKEY_LOCAL_MACHINE.....), но при поиске "BgMonitor" нашел следующее:
[HKEY_USERS\S-1-5-21-602162358-1004336348-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"AlcoholAutomount"="\"C:\\Program Files\\Alcohol Soft\\Alcohol 120\\axcmd.exe\" /automount"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Program Files\\Common Files\\Ahead\\Lib\\NMBgMonitor.exe\""
"DAEMON Tools Lite"="\"C:\\Program Files\\DAEMON Tools Lite\\daemon.exe\" -autorun"
"AntiFreeze"="C:\\Program Files\\AntiFreeze\\AntiFreeze.exe /splash"

[lacrimax]

Есть чудная бесплатная софтина от Марка Руссиновича, автора Process Explorer, называется Autorun, взять можно на сайте Microsoft. Она отображает ВООБЩЕ ВСЕ, что запускается в процессе загрузки Windows. Аналогов ей я не видел.

[zett]

Во первых, прога называется Autorunas, и что же в ней навороченного? Во - вторых, запустите ProcessExplorer(бесплатная). Не забудьте включить Show Lower Pane (ниже выбор DLL или Handles). Про поиск в самой проге я молчу, сами увидите.

[lacrimax]

В Process Explorer не видно, что грузится при загрузке винды. Это просто более продвинутый Таск Манагер. Есть еще подобная отечественная разработка Prowise. А в Autoruns видно абсолютно все, какой сервис или процесс в какой ветке реестра прописан и когда он запускается. Но здесь этот спор не в тему.

[zett]

Собственно Process Explorer имеет отношение к данной теме. Ну, я вас переубеждать не буду (каждому свое), только не забывайте о правой кнопки мыши. Щелкните на процессе, нажмите properties и выберите, скажем, закладку Strings. Много чего увидите, в том числе и реестр.
Я конечно не смог все уместить в один скрин, но думаю этого тоже достаточно:
[Для просмотра данной ссылки нужно ]