Лингвофорум

Лингвоблоги => Личные блоги => Блоги => Bhudh => Тема начата: Bhudh от ноября 25, 2009, 22:11

Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 25, 2009, 22:11
Cure Our Computer!!!
Симптомы:
Кто знает, что это за гадость и чем с ней бороться, помогите, пожалуйста!
Простите, если приведённых данных недостаточно.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Lugat от ноября 25, 2009, 22:20
Так это при включении Лингвофорума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...  :donno:
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:26
:??? Инъекция нити в процесс проводника, динамически подгружаемый модуль? Ну что тут скажешь: «DON'T WORK AS ADMINISTRATOR!!11»
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:27
Давай мне список процессов. Для начала. :)
Ты как подключен к Инету?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:29
Надо поглядеть исходящие соединения (например, с помощью Tcpview), чтобы выяснить источник трафика.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:30
А как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Лукас от ноября 25, 2009, 22:32
Цитата: Lugat от ноября 25, 2009, 22:20
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...
А то и вовсе пляшет.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:36
Список загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Ноэль от ноября 25, 2009, 22:36
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:36
Bhudh, антивирь-то не стоит?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Лукас от ноября 25, 2009, 22:43
Цитата: Noëlle Daath от ноября 25, 2009, 22:36
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.
У меня такое же было. И антивирус стоит и молчит, и не шелохнется.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:57
Это сервер барахлит.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 22:59
Да, автозапуск проверь (Autoruns Руссиновича).
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 25, 2009, 23:04
Цитата: Lugat
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...  :donno:
Да не, ЛФ как раз ни при чём. он у меня кое-как открывается. Из локалки, скорее всего, жывотное пролезло.


Цитата: myst«DON'T WORK AS ADMINISTRATOR!!11»


Цитата: mystТы как подключен к Инету?
Оптика.

Цитата: mystДавай мне список процессов. Для начала. :)

Вот. Извиняюсь за время - фотограф дохнет.
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...

Цитата: mystА как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?

Цитата: mystСписок загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).
Постараюсь, если не вылетит.

Цитата: myst
Bhudh, антивирь-то не стоит?
:( Вот, запущу DWCureIt на ночь...

Цитата: myst
Да, автозапуск проверь (Autoruns Руссиновича).
А msconfig уже не катит?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 23:06
Цитата: Bhudh от ноября 25, 2009, 23:04
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?
Я ж говорю: «Захардкодено!» Конечно, с полными правами можно и дрова сетевого стека пропатчить...
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 23:16
Цитата: Bhudh от ноября 25, 2009, 23:04
А msconfig уже не катит?
Нет. Программа Руссиновича тебе покажет, какие модули автоматом подгружаются в процесс Проводника. Я предполагаю, что этот вариант более вероятен.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 23:20
Цитата: Bhudh от ноября 25, 2009, 23:04
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...
alg.exe? Это штатный процесс.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 23:22
А вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 25, 2009, 23:29
Цитата: myst
Цитата: Bhudh
Кстати, объясни, пожалуйста, последнюю строчку.
alg.exe? Это штатный процесс.
Тьфу, загнался! Последний столбец! Точнее, его значение у Проводника.

Цитата: mystА вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.
Это не то. CurrPorts и Ad-Aware.

Держи файло.
Проводник и винлогон на всякий пожарный.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 23:37
В explorer.exe.txt тоже winlogon. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 25, 2009, 23:45
:o Я ж проверял!
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 25, 2009, 23:56
aimp_shell.dll ?
hooks.dll ?!
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 00:00
roboform.dll:
http://www.prevx.com/filenames/1170645651706111671-X1/ROBOFORM.DLL.html
Похоже, оно.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 00:03
Попробуй выключить автозагрузку этой штуки с помощью autoruns. Если нет дополнительной поддержки, этого должно быть достаточно. Первые две тоже, на всякий. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 00:17
:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
Хорошо, что я им так и не воспользовался.

aimp_shell.dll вроде плеерная dll'ка, крючки не знаю, посмотрю.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 00:23
Цитата: Bhudh от ноября 26, 2009, 00:17
:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
:uzhos: Плагин для I-I-E?! Ты им пользуешься? :o Закопай его немедленно.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 00:55
Цитата: mystТы им пользуешься? :o
Не боись, это было о-очень давно. :)
Сейчас только для тестинга включаю.

Выяснил, что крючки в автозагрузку не входят, находятся в папке ОрфоСвитчера (который в автозагрузке), однако подцеплены много к кому: точнее, ко всем прогам, у которых есть иконка в трее плюс [System Process].
Так что их тильки удалять, только вот как это безопасно сделать? Корзину вирусы ой не любят!
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 14:59
Цитата: Bhudh от ноября 26, 2009, 00:55
Выяснил, что крючки в автозагрузку не входят, находятся в папке ОрфоСвитчера (который в автозагрузке), однако подцеплены много к кому: точнее, ко всем прогам, у которых есть иконка в трее плюс [System Process].
Так что их тильки удалять, только вот как это безопасно сделать?
Не надо её удалять, это, видать, библиотека глобальных хуков OrfoSwitcher'а.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 15:14
Это да, он без неё запускаться отказывается, просто я не вполне представляю, что есть хук.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 15:21
Цитата: Bhudh от ноября 26, 2009, 15:14
Это да, он без неё запускаться отказывается, просто я не вполне представляю, что есть хук.
Это механизм перехвата оконных сообщений, нажатий на клавиатуру, действий мышью. Часто используется для реализации глобальных хоткеев или реагирования на ввод текста в любом окне.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 15:23
Блин, а написать «менеджер прерываний» слишком длинно?!
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 15:30
Цитата: Bhudh от ноября 26, 2009, 15:23
Блин, а написать «менеджер прерываний» слишком длинно?!
Прерывания здесь ни при чём.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 15:53
«Прерываний клавиатуры», понятно, что речь не о процессорных.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 15:54
Цитата: Bhudh от ноября 26, 2009, 15:53
«Прерываний клавиатуры», понятно, что речь не о процессорных.
Что за прерывания клавиатуры? :o Ты меня начинаешь пугать. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 15:58
Когда-то, давным-давно... так называли сигналы нажатий клавиш на клаве. Как сейчас называют, не в курсах. Неужели я что-то путаю?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 16:18
Цитата: Bhudh от ноября 26, 2009, 15:58
Когда-то, давным-давно... так называли сигналы нажатий клавиш на клаве.
Сигналы-то кому? ;)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 16:32
 :-\ Туплю. Да ещё мимо темы. :(
А у меня тут каждое прерывание по пять десять секунд обрабатывается :( :(.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 16:48
Цитата: Bhudh от ноября 26, 2009, 16:32
А у меня тут каждое прерывание по пять десять секунд обрабатывается :( :(.
:what: Так не вылечилось, что ли?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 16:58
Драйвер перестало выбивать (хотя я на локальное подключение поглядываю), а тормоза прежние.
Попытался было Avast! поставить, да не по Сеньке шапка. :(
CureIt ничого не нашёл.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 17:05
Цитата: Bhudh от ноября 26, 2009, 16:58
Драйвер перестало выбивать (хотя я на локальное подключение поглядываю), а тормоза прежние.
Тогда продолжаем. :)
1. Расскажи мне, что ты сделал.
2. Тормозит из-за выедания процессорного времени? Какой процесс?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 18:05
1. Проверил комп, как вышесказано. Не нашёл, сегодня проверю версией поновее.
Дезактивировал хуки, что выяснилось, зря.
Отыскал наш майский разговор, вырубил из автозагрузки всё что не вызывало опасений обрушения системы. Ещё бы в отрубленных службах искомая была...
2. Ну дык, всё тот же. Проводник. Но вообще, у меня такое ощущение, что всем процессам для работы требуется больше ресурсов, чем раньше. У меня вообще сначала были подозрения на поломку харда или контроллера — до того, как локалка не закупорилась.

Кстати, а если RPCRT4.dll дезактивировать (переименованием или удалением), он на лету Виндовсом восстанавливается?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 18:26
Цитата: Bhudh от ноября 26, 2009, 18:05
Кстати, а если RPCRT4.dll дезактивировать (переименованием или удалением), он на лету Виндовсом восстанавливается?
Это очень важный модуль, его нельзя удалять.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 18:28
Цитата: Bhudh от ноября 26, 2009, 18:05
2. Ну дык, всё тот же. Проводник. Но вообще, у меня такое ощущение, что всем процессам для работы требуется больше ресурсов, чем раньше. У меня вообще сначала были подозрения на поломку харда или контроллера — до того, как локалка не закупорилась.
Выключи autoruns'ом все автоматом загружаемые в Проводник модули. Перезагрузи систему. И покажи мне его список нитей и список загруженных в него модулей.
И полный список автозагрузки тоже покажи.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 18:39
Ты программу удаления по ссылке не пробовал?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 19:04
Цитата: mystТы программу удаления по ссылке не пробовал?
По майской ссылке, что ли?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 19:08
Что же я самое главное-то забываю сказать :wall:.
Тормоза начинаются ещё во время загрузки. Что-то в буте сидит, не иначе.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: arseniiv от ноября 26, 2009, 19:15
Я конечно ничего не понимаю в бут-вирусах, но если поставить пароль на вход в BIOS уже после заражения, это чем-то поможет?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 19:20
Цитата: mystВыключи autoruns'ом все автоматом загружаемые в Проводник модули.
Подожди-подожди, все чекбоксы, что ль, снять?!
Или в каком-то одном разделе? Я с этой прогой ещё не разобрался.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 19:47
Цитата: Bhudh от ноября 26, 2009, 19:04
По майской ссылке, что ли?
По вчерашней на диагноз roboform.dll.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 19:49
Цитата: arseniiv от ноября 26, 2009, 19:15
Я конечно ничего не понимаю в бут-вирусах, но если поставить пароль на вход в BIOS уже после заражения, это чем-то поможет?
Наводящий вопрос: пароль на вход кого в BIOS?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 19:50
Цитата: Bhudh от ноября 26, 2009, 19:20
Подожди-подожди, все чекбоксы, что ль, снять?!
Или в каком-то одном разделе? Я с этой прогой ещё не разобрался.
Открой вкладку Explorer и выключи все переключатели на ней.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 20:11
Одна-ако! Хорошо, сейчас и прогу по ссылке запущу, и перезагружусь, а пока возьми сразу список автозагрузки, а то вдруг что-нибудь нехорошее произойдёт :3tfu:.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: arseniiv от ноября 26, 2009, 20:14
Цитата: myst от ноября 26, 2009, 19:49
Наводящий вопрос: пароль на вход кого в BIOS?
Ну как кого, всех, кто хочет сменить настройки... Ну да, что-то явно не то пишу. Вообще, там есть опция Boot sector protection. Она должна после очередной переустановки системы быть включена руками (потому что перед этой переустановкой её приходилось выключать руками же). Тогда ничто не будет записано туда, даже если сильно захотеть.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 20:19
Цитата: arseniiv от ноября 26, 2009, 20:14
Тогда ничто не будет записано туда, даже если сильно захотеть.
Куда туда?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: arseniiv от ноября 26, 2009, 20:36


Гхмм...   
Цитата: arseniiv от ноября 26, 2009, 20:14Boot sector
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 20:51
Цитата: arseniiv от ноября 26, 2009, 20:36


Гхмм...   
Цитата: arseniiv от ноября 26, 2009, 20:14Boot sector
Точнее.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: arseniiv от ноября 26, 2009, 20:57
Куда точнее? :o При включенной этой опции содержимое бут-сектора изменить нельзя, ни для переустановки/изменения настроек загрузки ОС, ни вирусам.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 26, 2009, 21:17
Цитата: arseniiv от ноября 26, 2009, 20:57
Куда точнее? :o При включенной этой опции содержимое бут-сектора изменить нельзя, ни для переустановки/изменения настроек загрузки ОС, ни вирусам.
Какого именно boot sector'а?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 26, 2009, 23:56
Честное слово, myst, ты мог просто сказать «Отстань от меня с глупыми вопросами», но зачем так-то?!
Снял я все галочки, как было рекомендовано, а в самом низу была галочка «Учётные записи пользователей»...

В общем, пятнадцать перезагрузок подряд я выдержал, хотя до сих пор трясёт.
Вот результаты от прог:
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:07
Цитата: Bhudh от ноября 26, 2009, 23:56
Честное слово, myst, ты мог просто сказать «Отстань от меня с глупыми вопросами», но зачем так-то?!
Ты галочки-то на какой вкладке снимал?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:08
Ты лекарство по этой ссылке (http://www.prevx.com/filenames/1170645651706111671-X1/ROBOFORM.DLL.html) пробовал?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:21
Ты самое главное не сказал: Проводник процессор пилит?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 00:34
В общем, извиняюсь, ошибочка вышла. В худшую сторону.

Цитата: mystТы галочки-то на какой вкладке снимал?
Explorer, как ты и сказал.

Цитата: mystТы лекарство по этой ссылке пробовал?
Prevx 3.0? Кому лекарство, а у меня это как раз и стало причиной исчезновения экрана входа в систему, с учётными записями. Прямо перед ним комп тупо уходит на reload. Только что опять нарвался. Хотел «доустановить».
Помогает только возврат к предыдущему нормальному состоянию. Как по-твоему, это означает, что вирь перебарывает или просто вызывается безумная ошибка?

Цитата: mystТы самое главное не сказал: Проводник процессор пилит?
Как болгарка. В данный момент более-менее нормально пишу только потому, что его в диспетчере угробил.

Кстати сказать, процесс запуска винды происходит сейчас следующим образом: открывается рабочий стол, прорисовываются иконки, я быстро вызываю диспетчера и гроблю Проводник, иначе система вновь уходит на reload. Подозреваю, из-за ресурсного конфликта с Аваст!ом, но, может быть, и не из-за этого. Пережидаю, пока проц утихомирится, и включаю Проводник. Если нужен. Сейчас не включил.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:41
Цитата: Bhudh от ноября 27, 2009, 00:34
Explorer, как ты и сказал.
:o Где ты там про учётные записи нашёл?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:42
Проводник можно не грузить. :) Убери галочку Explorer.exe на вкладке Logon (в autoruns).
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:44
Ты мне список нитей Проводника не дал.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:46
zmmspro.exe: а это что за хрень? Её раньше не было.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:48
Сравни модули Проводника в системе и дистре.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 00:54
Пришли мне ту roboform.dll, я погляжу, что у неё внутри. Вдруг, это безобидная библиотечка? :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 01:13
Цитата: mystГде ты там про учётные записи нашёл?
Третья снизу. Только это, видимо, не те, я уже понял.
ЦитироватьУчётные записи пользователей
netplwiz.dll
Мастер подключения сетевых дисков и окружения


Цитата: mystПроводник можно не грузить.
Да это понятно, просто я к своему десктопу уже привык, не хотелось бы на Total переходить. Ломает.


Цитата: mystТы мне список нитей Проводника не дал.
Э. А в explorer.exe.txt что-то не то опять?


Цитата: mystzmmspro.exe: а это что за хрень? Её раньше не было.
Судя по буквам, Zortam Music, старенький плеер. Не знаю, чего он вдруг проявился.


Цитата: mystСравни модули Проводника в системе и дистре.
:???


Цитата: mystПришли мне ту roboform.dll, я погляжу, что у неё внутри. Вдруг, это безобидная библиотечка? :)
На мыло@ЛФ? Сейчас попробую. Кстати, это плагин ещё и для Лиса.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 01:17
Цитата: Bhudh от ноября 27, 2009, 01:13
Э. А в explorer.exe.txt что-то не то опять?
Там список загруженных модулей, а не нити.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 01:18
Цитата: Bhudh от ноября 27, 2009, 01:13
На мыло@ЛФ?
У меня на форуме нет мыла.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 01:18
Цитата: Bhudh от ноября 27, 2009, 01:13
Третья снизу. Только это, видимо, не те, я уже понял.
Давай скрин. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 01:19
И exe'шник Проводника тоже. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 01:21
Цитата: Bhudh от ноября 27, 2009, 00:34
Как по-твоему, это означает, что вирь перебарывает или просто вызывается безумная ошибка?
Если у тебя и правда вирус, надо загрузиться с компакт диска, флэшки etc. и проверить системный диск свежим антивирем.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 01:33
Цитата: mystУ меня на форуме нет мыла.
Есть-есть. И туда уже послано.

Цитата: mystДавай скрин.
Издеваешься? :'( Придётся Проводника включать.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 02:09
Вот скрин.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 02:17
Цитата: Bhudh от ноября 27, 2009, 02:09
Вот скрин.
По этому скрину ничего не видно. Всё окно-то было жаль. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 16:20
Вот два скрина нитей.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 16:33
stobject.dll в каком каталоге лежит? Что-то не нравится она мне. Если она из System32 сравни с той, что в дистре.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 19:02
А что сравнение даст, если они в дистре в сжатом виде? :(
Вот полюбуйся:
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 19:12
Цитата: Bhudh от ноября 27, 2009, 19:02
А что сравнение даст, если они в дистре в сжатом виде? :(
Ну дык, разожми. :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 19:24
Чем я разожму файл .dl_???
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 19:39
Цитата: Bhudh от ноября 27, 2009, 19:24
Чем я разожму файл .dl_???
Да хоть Total Commander'ом.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 19:59
Извиняюсь, как-то с CAB-архивами напрямую дела раньше не имел.
В общем дистрный слева.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Karakurt от ноября 27, 2009, 20:03
то же самое? т.е. не вирус. STobject - System Tray
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 20:05
Цитата: Bhudh от ноября 27, 2009, 19:59
Извиняюсь, как-то с CAB-архивами напрямую дела раньше не имел.
В общем дистрный слева.
Ты содержимое сравни, а не размер.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 20:09
Ладно, скорее всего это ложный след.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 20:10
Надо заняться нитью 3400. Открой её стек и сделай скрин.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 20:16
Цитата: mystТы содержимое сравни, а не размер.
Уже поздно. Я тут тупо заменил распакованным файлом файл в system32 и ненароком изобрёл машину времени:
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 20:18
Цитата: mystНадо заняться нитью 3400.
:donno: Ты хоть имя её напомни, а то у меня её уже нетути.
Я все наизусть не помню. :(
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 20:30
Цитата: Bhudh от ноября 27, 2009, 20:18
Цитата: mystНадо заняться нитью 3400.
:donno: Ты хоть имя её напомни, а то у меня её уже нетути.
Я все наизусть не помню. :(
Имён у нитей нет, только номера. Короче, та, которая жрёт больше всех процессорное время.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 20:31
Цитата: Bhudh от ноября 27, 2009, 20:16
Я тут тупо заменил распакованным файлом файл в system32 и ненароком изобрёл машину времени:
Как тебе это удалось? :o
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 20:48
Цитата: mystИмён у нитей нет, только номера.
Я имел в виду адрес.

Цитата: mystКороче, та, которая жрёт больше всех процессорное время.
Всё та же stobject.
А вот в services.exe процессор жрут поочерёдно три нити с одинаковым адресом kernel32.dll!CreateThread+0x22.
Скрин одной из прилагаю.

И удаляюсь на пару часов.


Цитата: mystКак тебе это удалось? :o
Сменил расширение на .длл и сунул копию.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 21:10
Цитата: Bhudh от ноября 27, 2009, 20:48
Сменил расширение на .длл и сунул копию.
Файл загруженного программного модуля в Windows блокируется, его нельзя ни заменить, ни удалить, ни переименовать. Панимаешь? :)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 21:14
Цитата: Bhudh от ноября 27, 2009, 20:48
А вот в services.exe процессор жрут поочерёдно три нити с одинаковым адресом kernel32.dll!CreateThread+0x22.
Этот процесс нам пока не нужен (у него работа такая — нити создавать). Мы Проводником занимаемся.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 21:15
Цитата: Bhudh от ноября 27, 2009, 20:48
Всё та же stobject.
На предыдущих скринах больше всего жрала другая нить.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 21:18
Можно провести эксперимент: удалить регистрацию stobject.dll (regsvr32 -u stobject.dll) и посмотреть, что произойдёт.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: arseniiv от ноября 27, 2009, 21:49
Цитата: myst от ноября 26, 2009, 21:17
Какого именно boot sector'а?
:negozhe: до времени до поры я думал, что загрузочный сектор системного диска один-единственный? Если это не так, прошу уже сказать мне, что я не так написал..... :wall:
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 22:30
Цитата: arseniiv от ноября 27, 2009, 21:49
до времени до поры я думал, что загрузочный сектор системного диска один-единственный?
Что такое системный диск?

Цитата: arseniiv от ноября 27, 2009, 21:49
Если это не так, прошу уже сказать мне, что я не так написал..... :wall:
Конечно, не так. RTFM. ;)
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: arseniiv от ноября 27, 2009, 22:38
Oooooooooo. Where I can find it? Ну да, систем может быть несколько, но откуда-то же надо начинать загрузку?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Karakurt от ноября 27, 2009, 22:44
MBR?
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 22:45
Цитата: arseniiv от ноября 27, 2009, 22:38
Oooooooooo. Where I can find it?
Можно начать отсюда (http://en.wikipedia.org/wiki/System_boot).
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 22:46
Цитата: Karakurt от ноября 27, 2009, 22:44
MBR?
Вот только она и защищается тем параметром, да и то не факт, что надёжно.
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: Bhudh от ноября 27, 2009, 22:59
Цитата: mystФайл загруженного программного модуля в Windows блокируется, его нельзя ни заменить, ни удалить, ни переименовать.
Я тоже так думал. Собственно, винда сначала и ругнулась, что заменять нельзя, а вот переименовала спокойно. Другое дело, что когда я после распакованную копию  сунул, он тоже ругнулась, что такой файл уже есть (sic!), и о запрете сказала, но сама ему не последовала и заменила :donno:.


Цитата: mystНа предыдущих скринах больше всего жрала другая нить.
А, ntdll? Это, видимо, тогда так просто совпало, сейчас она ниже травы.


Цитата: mystМожно провести эксперимент
Он требует перезагрузки? А то я лучше погожу...
Название: Хозяйничает вирус или троян. Компьютерщики, COC!
Отправлено: myst от ноября 27, 2009, 23:02
Цитата: Bhudh от ноября 27, 2009, 22:59
Он требует перезагрузки? А то я лучше погожу...
Угу.


Сейчас главная задача — выявить нить, которая пилит процессор, и выяснить, какому модулю она принадлежит.