Странные приложения в Task monitor
 

Два дня назад в task monitor появились странные приложения. Сначало одно, затем - три. Названия у всех трех одинаковы: "12514365". Иконка как у инсталлятора. Приложения связаны со scandisk'ом, т.е. во вкладке процессы можно наблюдать три строки scandisk.exe, при убивании которых закрываются приложения. Грузятся вместе с виндами (XP). Выключить компьютер не дают, если их не убить (никакой реакции на shut down). Отсюда вопрос: Откуда могло появиться сие чудо, почему прописалось в "Run"и откуда такие странные названия и связь со Скандиском? Сейчас убил их в реестре, но после рестарта все равно прописались. Что за .. вообще?

Оно может появлятся потому что его кто то запускает например... это может быть малеькная программуля или игрушка...

Обнови вирусные базы...

Вирус у тебя, наверняка.

3vo Никто его не запускает. Сети нет. Сразу после перезагрузки появляются. После удаления, правда, только один стал. Но теперь вообще не могу найти, с каким процессом связан.

Alexvn Гм... И что же это за вирус, если он кушает аж 5 Mb памяти, нагло висит в Task monitor и легко убивается?

--
Опять 3 стало...
В реестре на эти 3 файла 2 ссылки.

Вирусов AVP не нашел. Убил scandisk.exe в папке виндов. Теперь "цыферки" не грузятся, но при старте винда выдает мессагу, что не может найти scandisk.

Breeze
Ещё бы АВП что-нибудь нашел... Поищи файлы с таким именем, прочисти реестр...

Breeze а где в реестре ты их убил?
Глянь ещё в Автозагрузку и в All Users Автозагрузку.

Khabarik НЕ-ТУ! И по реестру искал и по дискам.
Манни Убил в Current_user/.../Run и в Local_machine/.../Run, где они после перезагрузки соизволили появиться вновь.

Breeze
А в автозагрузке нету (в папках)?

Я недавно видел красивый прикол на эту тему, правда под 98. То же самое, какая-то дрянь грузится непонятно откуда. Я убил на это пару дней, но нашёл: оно лежало в Windows\System32 и называлось ntoskrnl.exe :))
Но у тебя XP, так что этот номер наверное не прошёл бы.

Манни Нету, конечно. А файлик ntoskrnl.exe имеется в System32, но я не уверен, что он как-то связан с моими траблами, судя по названию.

Возможно, вирусняк, или gain-компоненты с порно- или аналогичных сайтов.

COBET Возможно, вирусняк Так ведь не видит его AVP.
gain-компоненты По 5MB?!

Так и не вылечил. Как же не хотца винду сносить...

Так ведь не видит его AVP
возможно троян, есть некоторые которые авп не видит, проверь сервисы также, может туда прописался.

Ура, камрады! Убил! Поскольку поиск по реестру ничего не давал, решил поискать вручную. И что же вы думаете? Помимо двух "тварей", которых видел msconfig (лежали в HKCU\...\Run и в HKLM\...\Run) были еще две:

1. HKCU\Software\Windows NT\CurrentVersion\Windows\ параметр run с линком на scandisk.exe.
2. HKLM\Software\Windows NT\WOW\Boot\ пареметр msw с линком на него же.

Так что проблему решил и единственное, что осталось загадкой - почему не давал результатов поиск по реестру? Искал по полной программе, т.е. параметры, ключи, значения.

А липовый scandisk.exe отправил в архив для исследований. Может, займусь, как время будет. Если кому надо - поделюсь. Он, правда, не сжимается совсем. 180KB что в архиве, что без.

Огромное спасибо камрадам за помощь. :beer:

Послал бы ты его заодно самому Касперскому на обследование. Пусть поработает. И добавит его в AVP чтоб не отдыхал. :)

acidgames Надо бы. Но сначала прогоню его через нового Кашперского, а то у меня 3й стоял...

Можно подробнее про удаление этой "бяки"? У компа такая проблема тоже, нортон ничего не находит, а в таск менеджере 12514365 по 3 штуки после загрузки. MSCONFIG не открывается, выключается комп с глюками пока эти 12514365 из таска не убрать... :( ОС WIN XP eng :(

ИМХО, стандартные диалеры порнухи. В корне диска лежат обычно.
Вообще есть прикольный способ с этим бороться - если есть доступ к из другой системы, то просто удалить эти файлы, а вместо них создать что угодно с таким же именем (хоть 1 байт) и поставить атрибут только на чтение (R).