(no subject)

[shaihkritzer.livejournal.com]

что такое idd5953.tmp.exe и как от него избавиться?
периодически запускается и висит в трее. Имеет два сосотяния: connected и disconnected. Траффик не жрёт, антивирусом, файрволлом и антишпионом не обнаруживается. Убивается через процессы или по нажатию правой кнопкой по иконке в трее и выбора Close. Но если нажать Close, то в процессах всё равно остаётся.
В автозагрузке на найден.
При запуске выдаёт на секунду сообщение, которое исчезает так быстро, что его невозможно прочитать. Есть две кнопки, Да и нет, но и нажать их тоже не успеваю...

Comments

[m-c-riptor.livejournal.com]

выполнить->msconfig->автозагрузка
поищи его тут

[shaihkritzer.livejournal.com]

там нет

[traktor-bang.livejournal.com]

не знаю что-то, но скайте программу Process Explorer, там должно быть написано что это такое.

[hmyr.livejournal.com]

Ключи Run RunOnce
Запустите regedit

[shaihkritzer.livejournal.com]

а где именно он может быть?

[hmyr.livejournal.com]

Ых..
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
Ищите там...
Всякое что не относится..

[roman-pro.livejournal.com]

Самые популярные ключи, но далеко не все. Например не указан такой

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Ключ с именем Shell. Обычно там "explorer.exe". Если есть ещё что-то, то это повод задуматься. (Просто я дрянь ловил которая туда прописалась, но это ей не помогло :))

бОльшую часть палит программка Autoruns. Однако и он знает не все пути автозапуска. Наверняка даже в самом Microsoft'е их все назвать затруднятся.

[shaihkritzer.livejournal.com]

проверил все ключи в перечисленных директориях - чисто.
в winlogon, shell стоит только explorer.exe

[roman-pro.livejournal.com]

А поискать по всему диску файл по этому имени и переименовать не пробовали ?

[shaihkritzer.livejournal.com]

ну если его в автозагрузке не нашлось, то не думаю что так найдётся, но попробую...

[roman-pro.livejournal.com]

Способов автозапуска под Windows туева хуча. Например службы (services) вы явно не проверяли, да и в реестре хватает мест помимо тех которые детектируются msconfig'ом. Например, прописаться в качестве Shell. Так что лучше поищите. Удалить оно себя скорее всего не даст, а вот переименовать обычно можно.

[shaihkritzer.livejournal.com]

удаляются на ура.. нашёл в windows\temp под 15 таких файлов, практически с одинаковыми именами. Все ушли под shift+delete

[roman-pro.livejournal.com]

Ну тогда наверняка это какая-то программа создаёт этот файл и дополнительный процесс, причём за собой потом этот файл она не стирает. Выяснить какая же программа себя так ведёт поможет например Filemon. Он показывает все файловые операции. С его помощью легко выяснить "виновника".

[shaihkritzer.livejournal.com]

удивительно, но нашёлся))

[roman-pro.livejournal.com]

Кстати по реестру поищите это имя, узнаете где он прописался :)

[shaihkritzer.livejournal.com]

нашёл.. их много прописано в HKEY_USERS\S-1-5-21-515967899-1078145449-725345543-1003\Software\Microsoft\Windows\CurrentVersion\ShellNoRoam\MUICache
удалил их всех, посмотрим что дальше будет...

[roman-pro.livejournal.com]

Ну это не автозапуск. Windows при запуске программы некоторые параметры кэширует для оптимизации повторного запуска.

Как я уже сказал - если хотите узнать кто их создаёт - Filemon вам в помощь. Можете ещё экземплярчик такого файла скормить какому-нибудь virustotal.com или другой онлайновой службе проверки на вирусы. Авось чего подскажет. Ещё вариант - использовать программку HijackThis и выложить лог её работы. Часто это помогает поймать необнаруживаемую антивирусами заразу (новые вредоносные программы которых пока нет в базах антивируса), особенно при наличии опыта в подобных делах.

Удачи!

[noemi.livejournal.com]

Это порно-звонилка.
Непонятно, откуда берется. У меня вот была такая, но лично я до того, как ее схватила, нигде, кроме жж и гуглевых сервисов не лазила.
Единственное, что мне помогло - это последний касперский. Скачала триальную версию с сайта и он мне все почистил.
Один раз ребутнулась в процессе - и никаких больше звонилок.

Стоящий все это время на компе нод эти файлики опасными не посчитал.

[shaihkritzer.livejournal.com]

я вручную это постирал.. а что они вообще делают?

[noemi.livejournal.com]

Стирание их вручную из виндоуз/темп ничем особо не поможет
потому что в виндоуз/систем32 есть зараженная длл-ка, причем в различных случаях она по-разному называется
По крайней мере, у меня было так =)

Она в "соединениях" создает новое с каким-то хитрым номером.
Теоретически если вы сидите в инете через модем, то она звонится по этому номеру и чего-нибудь качает.
Практически - у меня адсл, так что проверить на себе, звонит ли она, не пришлось =)

[shaihkritzer.livejournal.com]

то что ничем не поможет я уже заметил :)
у меня тоже адсл,так что они бездействуют...

[noemi.livejournal.com]

Ну тем не менее разводить гадость на компьютере не хочется =)

[shaihkritzer.livejournal.com]

кстати, в СетевыхПодключениях действительно завёлся новый диал-ап под именем I-Dialer. В качестве модема присвоил мой мобильник :) Стёр к чертям...

[noemi.livejournal.com]

Эта звонилка пересоздает соединение каждый раз, пока от нее окончательно не избавишься.
Могу порекомендовать свой метод: триальный касперский с сайта с последними базами, все им зачистить и удалить его нафик =)