Главное меню
Мы солидарны с Украиной. Узнайте здесь, как можно поддержать Украину.

Хозяйничает вирус или троян. Компьютерщики, COC!

Автор Bhudh, ноября 25, 2009, 22:11

0 Пользователи и 1 гость просматривают эту тему.

Bhudh

Cure Our Computer!!!
Симптомы:

  • Торможение компьютера раз в 10 (общее место, понятно).
    Причём диспетчер показывает, что основную долю процессорных ресурсов жрёт не какой-нибудь там svchost, а виндовский проводник.
  • Вот такое соотношение входящего и исходящего локального трафика:
    Обычно через какое-то время после включения компа: от 10 до 40 минут. Глобальный трафик забивается напрочь, инет отключается, и, похоже, что-то деется с драйвером сетевухи, ибо после этого соотношение на картинке меняется на 0/0.
    Драйвер переустанавливал уже раз пять.
  • После выдёргивания сетевого кабеля вот такая картинка у трея
    появляется сразу же, как её выключаешь, до бесконечности.
    Иногда падает вся система.
Кто знает, что это за гадость и чем с ней бороться, помогите, пожалуйста!
Простите, если приведённых данных недостаточно.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Lugat

Так это при включении Лингвофорума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...  :donno:

myst

:??? Инъекция нити в процесс проводника, динамически подгружаемый модуль? Ну что тут скажешь: «DON'T WORK AS ADMINISTRATOR!!11»

myst

Давай мне список процессов. Для начала. :)
Ты как подключен к Инету?

myst

Надо поглядеть исходящие соединения (например, с помощью Tcpview), чтобы выяснить источник трафика.

myst

А как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?

Лукас

Цитата: Lugat от ноября 25, 2009, 22:20
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...
А то и вовсе пляшет.
«Победоносил, победоносю и победоносить буду». Георгий Победоносец
«Я мстю, и мстя моя будет ужасной» - объявил бобёр лесу.
«Бог чува Србе», али је рок трајања истиче!

myst

Список загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).

Ноэль

Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.


Лукас

Цитата: Noëlle Daath от ноября 25, 2009, 22:36
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.
У меня такое же было. И антивирус стоит и молчит, и не шелохнется.
«Победоносил, победоносю и победоносить буду». Георгий Победоносец
«Я мстю, и мстя моя будет ужасной» - объявил бобёр лесу.
«Бог чува Србе», али је рок трајања истиче!


myst


Bhudh

Цитата: Lugat
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...  :donno:
Да не, ЛФ как раз ни при чём. он у меня кое-как открывается. Из локалки, скорее всего, жывотное пролезло.


Цитата: myst«DON'T WORK AS ADMINISTRATOR!!11»


Цитата: mystТы как подключен к Инету?
Оптика.

Цитата: mystДавай мне список процессов. Для начала. :)

Вот. Извиняюсь за время - фотограф дохнет.
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...

Цитата: mystА как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?

Цитата: mystСписок загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).
Постараюсь, если не вылетит.

Цитата: myst
Bhudh, антивирь-то не стоит?
:( Вот, запущу DWCureIt на ночь...

Цитата: myst
Да, автозапуск проверь (Autoruns Руссиновича).
А msconfig уже не катит?
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

myst

Цитата: Bhudh от ноября 25, 2009, 23:04
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?
Я ж говорю: «Захардкодено!» Конечно, с полными правами можно и дрова сетевого стека пропатчить...

myst

Цитата: Bhudh от ноября 25, 2009, 23:04
А msconfig уже не катит?
Нет. Программа Руссиновича тебе покажет, какие модули автоматом подгружаются в процесс Проводника. Я предполагаю, что этот вариант более вероятен.

myst

Цитата: Bhudh от ноября 25, 2009, 23:04
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...
alg.exe? Это штатный процесс.

myst

А вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.

Bhudh

Цитата: myst
Цитата: Bhudh
Кстати, объясни, пожалуйста, последнюю строчку.
alg.exe? Это штатный процесс.
Тьфу, загнался! Последний столбец! Точнее, его значение у Проводника.

Цитата: mystА вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.
Это не то. CurrPorts и Ad-Aware.

Держи файло.
Проводник и винлогон на всякий пожарный.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо


Bhudh

Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо



myst

Попробуй выключить автозагрузку этой штуки с помощью autoruns. Если нет дополнительной поддержки, этого должно быть достаточно. Первые две тоже, на всякий. :)

Bhudh

:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
Хорошо, что я им так и не воспользовался.

aimp_shell.dll вроде плеерная dll'ка, крючки не знаю, посмотрю.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Быстрый ответ

Обратите внимание: данное сообщение не будет отображаться, пока модератор не одобрит его.

Имя:
Имейл:
Проверка:
Оставьте это поле пустым:
Наберите символы, которые изображены на картинке
Прослушать / Запросить другое изображение

Наберите символы, которые изображены на картинке:

√36:
ALT+S — отправить
ALT+P — предварительный просмотр