| NANO Antivirus > Forum http://www.nanoav.pro/forum/ |
|
| 2 папки Windows на системном диске http://www.nanoav.pro/forum/viewtopic.php?f=15&t=1083 |
Страница 1 из 1 |
| Автор: | Questz [ 14 окт 2013 14:51 ] | ||
| Заголовок сообщения: | 2 папки Windows на системном диске | ||
Системный блок клиента. WinXP. Без антивируса. 1. Папка Windows c системой 2. Папка Windows с EXPLORER.EXE (SMS информер). Вопрос: Windows не позволяет создавать одноименных папок, файлов в одной папке. Или все таки позволяет? И каким образом?
|
|||
| Автор: | Rodger [ 14 окт 2013 17:19 ] |
| Заголовок сообщения: | Re: 2 папки Windows на системном диске |
Здравствуйте, Questz. Скорее всего в имени папки, содержащей заразу, содержатся символы из другой локализации или кодировки, которые выглядят похожими на оригинальные, например "О" и "O" (в первом случае это кириллица, во втором латиница). Проверить эту догадку просто: скопируйте имена каждой из этих папок в текстовый редактор, а затем скопируйте имя одной из них и поищите это имя сначала документа - если дело в кодировке, будет всего одно совпадение. Также можно сохранить этот текстовый документ и просмотреть его содержимое в HEX-редакторе. |
|
| Автор: | Questz [ 14 окт 2013 19:22 ] |
| Заголовок сообщения: | Re: 2 папки Windows на системном диске |
да, о таком варианте я не подумал. это проверю завтра. комп уже отдан клиенту, но сама папа есть на флешке Но опять же возникает вопрос: я не менял путей в реестре (на уровне HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\exporer.exe) я просто изменил наименование папки WINDOWS (вирусной) и загрузился в систему |
|
| Автор: | ya [ 15 окт 2013 12:10 ] |
| Заголовок сообщения: | Re: 2 папки Windows на системном диске |
Questz, не могли бы Вы отправить нам на исследование файлы, которые лежат в скопированной папке? |
|
| Автор: | Questz [ 17 окт 2013 15:06 ] |
| Заголовок сообщения: | Re: 2 папки Windows на системном диске |
Rodger, Вы оказались правы. Сейчас могу говорить о втором случае (сегодня).Win7-опять информер Из которого понятно что было и где в 1 случае. В первом случае ERD (управление компьютером/автозапуск) и Autoruns (запущенный из под ERD) не показали HKCU Потому искали другими методами. Во втором случае ERD все показал. остался еще один вопрос: Как отследить файл создавший Банер? Если в первом случае в папке PREFETCH было приятно увидеть VIDEO_XXX, то во втором ??? prefetch в 2-ом архиве Модератор: потер архивы |
|
| Автор: | Rodger [ 17 окт 2013 17:47 ] |
| Заголовок сообщения: | Re: 2 папки Windows на системном диске |
Здравствуйте, Questz. Спасибо за образцы. Сейчас уже почти невозможно сказать каким образом этот файл оказался во временной папке. Вариантов может быть множество: начиная от трояна-даунлодера, скачивающего своих друзей, заканчивая выбором варианта "запустить" на запрос браузера "что делать с исполняемым файлом?". |
|
| Автор: | mrbelyash [ 20 окт 2013 18:45 ] |
| Заголовок сообщения: | Re: 2 папки Windows на системном диске |
Rodger писал(а): Здравствуйте, Questz. Спасибо за образцы. Сейчас уже почти невозможно сказать каким образом этот файл оказался во временной папке. Вариантов может быть множество: начиная от трояна-даунлодера, скачивающего своих друзей, заканчивая выбором варианта "запустить" на запрос браузера "что делать с исполняемым файлом?". Trojan.Winlock.6999 обычно через жабоскрипты пролазит. Сейчас оне немного поутихли. Пошла раздача Trojan.Winlock.2741 Цитата: HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell="c:\windОws\ехрlоrеr.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run C:\WINDОWS\ехрlоrеr.exe="c:\windОws\ехрlоrеr.exe" |
|
| Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|