Author Topic: Хозяйничает вирус или троян. Компьютерщики, COC!  (Read 25203 times)

0 Members and 1 Guest are viewing this topic.

Offline Bhudh

  • Blogger
  • *
  • Posts: 49849
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Cure Our Computer!!!
Симптомы:
  • Торможение компьютера раз в 10 (общее место, понятно).
    Причём диспетчер показывает, что основную долю процессорных ресурсов жрёт не какой-нибудь там svchost, а виндовский проводник.
  • Вот такое соотношение входящего и исходящего локального трафика:
    Обычно через какое-то время после включения компа: от 10 до 40 минут. Глобальный трафик забивается напрочь, инет отключается, и, похоже, что-то деется с драйвером сетевухи, ибо после этого соотношение на картинке меняется на 0/0.
    Драйвер переустанавливал уже раз пять.
  • После выдёргивания сетевого кабеля вот такая картинка у трея
    появляется сразу же, как её выключаешь, до бесконечности.
    Иногда падает вся система.
Кто знает, что это за гадость и чем с ней бороться, помогите, пожалуйста!
Простите, если приведённых данных недостаточно.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline Lugat

  • Posts: 14294
  • Gender: Male
Так это при включении Лингвофорума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...  :donno:

Offline myst

  • Posts: 35858
:??? Инъекция нити в процесс проводника, динамически подгружаемый модуль? Ну что тут скажешь: «DON'T WORK AS ADMINISTRATOR!!11»

Давай мне список процессов. Для начала. :)
Ты как подключен к Инету?

Надо поглядеть исходящие соединения (например, с помощью Tcpview), чтобы выяснить источник трафика.

А как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?

Offline Лукас

  • Global Moderator
  • *
  • Posts: 18519
  • Gender: Male
    • Славо-Россика
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...
А то и вовсе пляшет.
«Победоносил, победоносю и победоносить буду». Георгий Победоносец
«Я мстю, и мстя моя будет ужасной» - объявил бобёр лесу.
«Бог чува Србе», али је рок трајања истиче!

Offline myst

  • Posts: 35858
Список загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).

Offline Ноэль

  • Posts: 8481
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.

Offline myst

  • Posts: 35858
Bhudh, антивирь-то не стоит?

Offline Лукас

  • Global Moderator
  • *
  • Posts: 18519
  • Gender: Male
    • Славо-Россика
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.
У меня такое же было. И антивирус стоит и молчит, и не шелохнется.
«Победоносил, победоносю и победоносить буду». Георгий Победоносец
«Я мстю, и мстя моя будет ужасной» - объявил бобёр лесу.
«Бог чува Србе», али је рок трајања истиче!

Offline myst

  • Posts: 35858
Это сервер барахлит.

Да, автозапуск проверь (Autoruns Руссиновича).

Offline Bhudh

  • Blogger
  • *
  • Posts: 49849
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: Lugat
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...  :donno:
Да не, ЛФ как раз ни при чём. он у меня кое-как открывается. Из локалки, скорее всего, жывотное пролезло.

Quote from: myst
«DON'T WORK AS ADMINISTRATOR!!11»


Quote from: myst
Ты как подключен к Инету?
Оптика.

Quote from: myst
Давай мне список процессов. Для начала. :)

Вот. Извиняюсь за время - фотограф дохнет.
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...

Quote from: myst
А как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?

Quote from: myst
Список загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).
Постараюсь, если не вылетит.

Quote from: myst
Bhudh, антивирь-то не стоит?
:( Вот, запущу DWCureIt на ночь...

Quote from: myst
Да, автозапуск проверь (Autoruns Руссиновича).
А msconfig уже не катит?
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35858
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?
Я ж говорю: «Захардкодено!» Конечно, с полными правами можно и дрова сетевого стека пропатчить...

А msconfig уже не катит?
Нет. Программа Руссиновича тебе покажет, какие модули автоматом подгружаются в процесс Проводника. Я предполагаю, что этот вариант более вероятен.

Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...
alg.exe? Это штатный процесс.

А вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.

Offline Bhudh

  • Blogger
  • *
  • Posts: 49849
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
Quote from: Bhudh
Кстати, объясни, пожалуйста, последнюю строчку.
alg.exe? Это штатный процесс.
Тьфу, загнался! Последний столбец! Точнее, его значение у Проводника.

Quote from: myst
А вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.
Это не то. CurrPorts и Ad-Aware.

Держи файло.
Проводник и винлогон на всякий пожарный.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35858
В explorer.exe.txt тоже winlogon. :)

Offline Bhudh

  • Blogger
  • *
  • Posts: 49849
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35858
aimp_shell.dll ?
hooks.dll ?!


Попробуй выключить автозагрузку этой штуки с помощью autoruns. Если нет дополнительной поддержки, этого должно быть достаточно. Первые две тоже, на всякий. :)

Offline Bhudh

  • Blogger
  • *
  • Posts: 49849
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
Хорошо, что я им так и не воспользовался.

aimp_shell.dll вроде плеерная dll'ка, крючки не знаю, посмотрю.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

 

With Quick-Reply you can write a post when viewing a topic without loading a new page. You can still use bulletin board code and smileys as you would in a normal post.

Note: this post will not display until it's been approved by a moderator.
Name: Email:
Verification:
Type the letters shown in the picture
Listen to the letters / Request another image
Type the letters shown in the picture:
√49 Напишите ответ строчными буквами:
«Сто одёжек, все без застёжек» — что это?: