кто такой sample.exe?

[korotetsky]

после восстановления системы с сохраненного образа появилась неприятная вещь: при завершении работы появляется окошко: "завершение программы sample..." причем на этом шатдаун, хоть и не всегда, но останавливается
каких-либо следов этого самого sample я в машине не нашел. может знающие подскажут что это есть и как его изничтожить. где-то такое уже слышал..

ингредиенты:
имеется ноут с вин_хр_сп2.
из софта болтается как правило the bat!, flashget да punto switcher. пробовал выгружать перед уходом на покой, результат тот же.
остается mcafee, может это он?

если не в ту тему, мои пардоны. мне показалось что ей здесь место..

[Korvin]

Гугл выдает тонну ссылок на запрос sample.exe. То, что я успел просмотреть или вирь W32.Nimda.E@mm (_http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.html) или троян Troj/Lootbot-B (_http://www.sophos.com/virusinfo/analyses/trojlootbotb.html). В любом случае стоит проверить машину на девственность.

[Dr.God]

Цитата:

korotetsky:
при завершении работы появляется окошко: "завершение программы sample..."

Что подозрительного в автозагрузке (посмотри спец. утилитой, например Starter)?
См. также (вариант с "Intel PRO"):
http://www.computing.net/windows2000...rum/60917.html
http://www.experts-exchange.com/Oper..._21496425.html

[Plague]

Цитата:

Dr.God:
Что подозрительного в автозагрузке

а еще лучше - загрузи халявный Process Explorer (_www.sysinternals.com ) и через команды "Find" поищи этот "sample" ей..

[Dr.God]

Цитата:

Plague:
загрузи халявный Process Explorer

Хотел (на вскидку) тоже самое предложить, но, имхо, поиском он его не засветит. Как я понял, это тред какого-то процесса, например PRONoMgr.exe, который (вероятно) появляется лишь при завершении работы. Виндовый Диспетчер его не видит однозначно, если и смотреть PE, то на вкладке "Threads" только вот какого процесса... В данном случае удобнее юзать TaskInfo.
Объективно варианта пока два: 1) вирь; 2) Intel PROset и то и другое легко диагностировать, выполнив запуск системы "на легке", с чистым автораном.

[Plague]

Цитата:

Dr.God:
Как я понял, это тред какого-то процесса, например PRONoMgr.exe, который (вероятно) появляется лишь при завершении работы.

хмм.. не исключаю. плохо, что нельзя FileMon с тех же сисинтерналс запустить так, чтоб он лог автоматом в файл писал.. ведь если тред поднимается перед отгрузкой системы, то следовательно система при отгрузке вырубит его не сохранив никаого лога.. может есть что-нить аналогичное, пишущее лог автоматом в файл?

а вообще, не утверждаю, что было именно "sample", но кажись у меня что-то подобное вычищал Norton WinDoctor из реестра. связка была совершенно не криминальная (иначе запомнил бы точно )
попробуй по реестру поискать этот самый sample.exe...

[korotetsky]

Intel PRO установлен.
в автозапуске был pronomgr.exe, оттуда же был выковырян давно уж как.

в реестре его нету.
в автозагрузке тоже ничего подобного.

как вариант советуют Intel PRO завалить. будет пробовать.

с вирусами.. ну не знаю, антивирь молчит, утилиты по ссылкам выше достать не могу - корпоративный файрвол не пускает..

[Plague]

korotetsky
могу в обменник закинуть если надо.
[offtop]кстати, мне сервак на работе тож качать оттуда не дает. чем ему они не нравятся непонятно. пойду, админов попинаю...

добавлено: гыыы выяснил! сам как-то и не заметил сразу ссылка внутри сайта на страницу Process Explorer:
_http://www.sysinternals.com/Utilities/processexplorer.html
на File Monitor _http://www.sysinternals.com/Utilities/Filemon.html пускает без проблем
[/offtop]

[korotetsky]

Plague
спасибо, я уж выдрал правдами и неправдами через мобилу. процесса не видно такого

вытянул утилитки:
[IMG](_http://www.symantec.com/avcenter/venc/data/w32.nimda.e@mm.html) или троян Troj/Lootbot-B (_http://www.sophos.com/virusinfo/analyses/trojlootbotb.html). В любом случае стоит проверить машину на девственность.[/IMG]
в процессе проверки обрываются оба не находя ничего стремного. на пробу перезагрузил машинку, вродь пронесло. посмотрим как будет дальше, щас ребутиться некогда ((

добавлено:
эта гадость таки осталась..

[Dr.God]

Цитата:

korotetsky:
Intel PRO установлен.
в автозапуске был pronomgr.exe, оттуда же был выковырян давно уж как.

Однозначно дело в Intel PRO! Сноси. То что у тебя в авторане нет pronomgr.exe до лампочки (см. посты выше).

Цитата:

Plague:
может есть что-нить аналогичное, пишущее лог автоматом в файл?

Вопрос поднят действительно интересный. Regmon начиная с версии 3.7 в принципе на это способен: http://www.sysinternals.com/Informat...yActivity.html
Но уж очень неудобный лог получается (много лишнего). Да и вычислить чей процесс через реестр, имхо, не всегда возможно.

[offtop]

Цитата:

http://www.sysinternals.com/Utilitie...sexplorer.html

Кстати, наблюдал как-то такую вот официальную ссылку на Panda Platinum: _http://www.pandasoftware/download/чё-то там/platinumitshit
А ещё серьёзная европейская контора... [/offtop]

[korotetsky]

Цитата:

Dr.God:
Однозначно дело в Intel PRO! Сноси. То что у тебя в авторане нет pronomgr.exe до лампочки (см. посты выше).

снес. гадость пропала.

кто бы теперь обьяснил что есть Intel PRO и чего она такого умеет, без чего обойтись нельзя, если конечно тут место для такого вопроса

[Dr.God]

Цитата:

korotetsky:
что есть Intel PRO и чего она такого умеет

Как я понял - это софт для сетевухи. Зависит от марки, например
http://www.intel.com/support/wireles.../cs-010623.htm
http://h18007.www1.hp.com/support/fi...oad/14653.html

[korotetsky]

Цитата:

Dr.God:
Как я понял - это софт для сетевухи

да я вот тоже так всегда думал, и, признаться, никогда не заморачивался на предмет того, чего в этом софте такого критичного без чего нельзя работать. а то 60 с лишним метров дряни не до конца понятной торпеть в принципе можно до тех пор пока она проблем создавать не начинает

[Korvin]

korotetsky, этот софт абсолютно не критичен. У меня на 2 лаптопах стоят Интеловские Вирелессы и стоят просто голые драйвера, без софта (там что-то наподобие встроенного в Win XP SP-2 менеджера беспроводных сетей).