Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   При загрузке ОС автоматом запускается wscript.exe (http://forum.oszone.net/showthread.php?t=117488)

Flynet005 17-09-2008 17:05 901787
При загрузке ОС автоматом запускается wscript.exe
 
Вложений: 1
При загрузке ОС автоматом запускается от моего имени процесс wscript.exe
Это стало происходить после установки KIS 2009. Во всяком случае это последнее что я ставил. После убиения вирусов и прочей нечисти имею такую проблемку...
Винда ХР... Может кто сталкивался с подобным? Помогите!!!!

dimon7707 17-09-2008 17:27 901807
Flynet005,
Цитата:
убиения вирусов и прочей нечисти имею такую проблемку...
А вы уверянны,что все вирусы "убили"?

Flynet005 17-09-2008 17:34 901815
Если верить KISу 2009 то да.... Трижбы проверял... Хотя сомнения берут....
Куда залезть посмотреть или что надо исправить чтобы решить проблему?

dimon7707 17-09-2008 17:50 901827
Flynet005, Если Каспер находил вирусы на вашем компьютере,то хотелось бы узнать в каких директориях и как он охарактеризвал эти вирусы.

Flynet005 17-09-2008 17:57 901835
dimon7707 вирусы и трояны... всего штукЧег 50.... а вот где и как охарактеризовал.... это отчет надо смотреть....
ОКи закину отчет, но это скорей всего завтра (18.09.2008 в 08:00 по серверу) Я просто на работе, а тачка дома. :)

Petya V4sechkin 17-09-2008 18:02 901839
Flynet005, сделайте полную проверку и логи.

dimon7707 17-09-2008 18:11 901846
Flynet005, есть подозрения на вирус
читать дальше »
Код:
WScript.exe .\autorun.vbs

%windir%\System32\WScript.exe является комплектным модулем ОС Windows, который представляет собой специальный отладчик, под которым производится запуск и отладка программных сценариев, написанных на скрипт-языках. Используя эту программы, вирус получает возможность скрытно загружаться на выполнение и даже резидентно оставаться в памяти компьютера вплоть до завершения работы Windows. Однако в результате некой ошибки в коде основного компонента вируса, последний далеко не всегда остается резидентно в памяти, а проходит один полный цикл (инсталляция + процесс заражения дисков) и завершает свою работу.
При запуске autorun.vbs копирует все свои компоненты в системный каталог Windows. Тут проявляется следующий недочет его автора: вирус считает своими компонентами абсолютно все файлы в текущем каталоге, имена которых соответствуют "autorun", т.е. расширения файлов не проверяются. В результате этого, если в корне носителя имеют место компоненты какого-либо автозагрузочного диска, ранее скопированного пользователем на носитель, у которых имена также соответствуют "autorun", то они тоже будут скопированы в системный каталог, а в дальнейшем и на все заражаемые вирусом диски. Например, среди образцов таких "компонентов" вируса мне попадались файлы-картинки (autorun.bmp), конфигурационные файлы от игр и системных программ (autorun.ini), компоненты загрузочного меню CD-дисков (autorun.exe) и многие др. совершенно безобидные файлы, не имеющие к вирусу никакого отношения:

%windir%\System32\autorun.*

Далее, используя системный интерпретатор командной строки %windir%\System32\cmd.exe, вирус запускает на выполнение свой компонент autorun.bat. В свою очередь, используя системную утилиту %windir%\System32\regedit.exe, этот компонент запускает на выполнение файл autorun.reg, который импортирует в нижеприведенные ветки ключей реестра следующие модифицированные под потребности вируса значения:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,autorun.bat"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000000

Flynet005 17-09-2008 18:20 901854
dimon7707 Что так все плохо? А если удалить эти ключи? :(

dimon7707 17-09-2008 18:28 901859
Flynet005,Можно если точно знать где они обнаружены и если это точно вирус. Просто если он уже пустил в системе корни, то лучший способ это форматировать диск,во избежании дальнейших промблем.

Flynet005 17-09-2008 18:35 901866
dimon7707 Да не хотелось так сразу крайними мерами.... Думал дело плевое.... При загрузке Оси запускается программа, которая ну никак не должна запускаться.... Может думаю есть пути запретить ее запуск?
Я этот wscript.exe удалял нафиг и что только не крутил с ним.... он все равно появляется. В автозапуске ее нету. Единственное что в реестре не смотрел в RUNe....

dimon7707 17-09-2008 18:40 901867
Flynet005,Ну вот поэтому как советует Petya V4sechkin для начала сделайте полную проверку и логи.А там будет уже видно.

Flynet005 17-09-2008 18:45 901869
dimon7707 А не поздно уже это делать? Я трижды проверял, показывет что все ОК.... Но проблема не исчезает....
Но я обязательно сделаю как советуете... Лишь бы помогло

dimon7707 17-09-2008 19:11 901882
Flynet005, В некоторых случаях сложнее - в реестре прописан WScript, который постоянно восстанавливает autorun.inf и все скрипты. Копируются они в корень диска и в системную папку Windows. Тогда в процессах постоянно ещё висит wscript.exe - надо его убить, удалить файлы лишние отовсюду (autorun.inf там точно, батник, скрипт и текстовый какой-то) и прочистить реестр на упоминания об этих файлах.

Flynet005 17-09-2008 19:16 901884
dimon7707 М-да.... Без подробного пошагового ликбеза я не справлюсь..... Завтра тачку на работу принесу поковыряю.... Дома плохо, инета нету :(

Flynet005 22-09-2008 12:28 905553
Это просто ужас!!!! По ходу получается ничего сделать нельзя. Только перебивать винду наново.... Хреново.... :(
Всем спасибо кто откликнулся на проблему....


Время: 14:35.

Время: 14:35.
© OSzone.net 2001-