Cure Our Computer!!!
Симптомы:
- Торможение компьютера раз в 10 (общее место, понятно).
Причём диспетчер показывает, что основную долю процессорных ресурсов жрёт не какой-нибудь там svchost, а виндовский проводник. - Вот такое соотношение входящего и исходящего локального трафика:
(http://i050.radikal.ru/0911/ec/f9cd6f650a57.png)
Обычно через какое-то время после включения компа: от 10 до 40 минут. Глобальный трафик забивается напрочь, инет отключается, и, похоже, что-то деется с драйвером сетевухи, ибо после этого соотношение на картинке меняется на 0/0.
Драйвер переустанавливал уже раз пять. - После выдёргивания сетевого кабеля вот такая картинка у трея
(http://i022.radikal.ru/0911/af/c9ea56a21fd1.png)
появляется сразу же, как её выключаешь, до бесконечности.
Иногда падает вся система.
Кто знает, что это за гадость и чем с ней бороться, помогите, пожалуйста!
Простите, если приведённых данных недостаточно.
Так это при включении Лингвофорума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает... :donno:
:??? Инъекция нити в процесс проводника, динамически подгружаемый модуль? Ну что тут скажешь: «DON'T WORK AS ADMINISTRATOR!!11»
Давай мне список процессов. Для начала. :)
Ты как подключен к Инету?
Надо поглядеть исходящие соединения (например, с помощью Tcpview), чтобы выяснить источник трафика.
А как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?
Цитата: Lugat от ноября 25, 2009, 22:20
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает...
А то и вовсе пляшет.
Список загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.
Bhudh, антивирь-то не стоит?
Цитата: Noëlle Daath от ноября 25, 2009, 22:36
Сегодня глючит - ужос. По пять раз цыкаю, чтобы отослать сообщение. Без конца недогружается страница, показывает чистый лист. Но антивирус молчит.
У меня такое же было. И антивирус стоит и молчит, и не шелохнется.
Это сервер барахлит.
Да, автозапуск проверь (Autoruns Руссиновича).
Цитата: Lugat
Так это при включении Лингвофпрума, чи так, вообще? А то гляжу порой как Лингвофорум последнее время как-то зависает... :donno:
Да не, ЛФ как раз ни при чём. он у меня кое-как открывается. Из локалки, скорее всего, жывотное пролезло.
Цитата: myst«DON'T WORK AS ADMINISTRATOR!!11»
Цитата: mystТы как подключен к Инету?
Оптика.
Цитата: mystДавай мне список процессов. Для начала. :)
Вот. Извиняюсь за время - фотограф дохнет.
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...
Цитата: mystА как у тебя столько пакетов отправилось, если, начиная с XP SP2, захардкодено ограничение на число исходящих подключений в единицу времени?
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?
Цитата: mystСписок загруженных dll'ок в процессе Проводника тоже не помешает (это можно сделать с помощью Process Explorer'а Руссиновича).
Постараюсь, если не вылетит.
Цитата: myst
Bhudh, антивирь-то не стоит?
:( Вот, запущу DWCureIt на ночь...
Цитата: myst
Да, автозапуск проверь (Autoruns Руссиновича).
А msconfig уже не катит?
Цитата: Bhudh от ноября 25, 2009, 23:04
Сам удивляюсь!! Мож. вирь просто строку с максимумом вставляет?
Я ж говорю: «Захардкодено!» Конечно, с полными правами можно и дрова сетевого стека пропатчить...
Цитата: Bhudh от ноября 25, 2009, 23:04
А msconfig уже не катит?
Нет. Программа Руссиновича тебе покажет, какие модули автоматом подгружаются в процесс Проводника. Я предполагаю, что этот вариант более вероятен.
Цитата: Bhudh от ноября 25, 2009, 23:04
Кстати, объясни, пожалуйста, последнюю строчку. Она мне что-то не нравится...
alg.exe? Это штатный процесс.
А вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.
Цитата: myst
Цитата: Bhudh
Кстати, объясни, пожалуйста, последнюю строчку.
alg.exe? Это штатный процесс.
Тьфу, загнался! Последний столбец! Точнее, его значение у Проводника.
Цитата: mystА вот cports.exe и aawservice.exe я не знаю, что такое...
Проверь ещё, какие службы крутятся в процессах svchost.exe.
Это не то. CurrPorts и Ad-Aware.
Держи файло.
Проводник и винлогон на всякий пожарный.
В explorer.exe.txt тоже winlogon. :)
:o Я ж проверял!
aimp_shell.dll ?
hooks.dll ?!
roboform.dll:
http://www.prevx.com/filenames/1170645651706111671-X1/ROBOFORM.DLL.html
Похоже, оно.
Попробуй выключить автозагрузку этой штуки с помощью autoruns. Если нет дополнительной поддержки, этого должно быть достаточно. Первые две тоже, на всякий. :)
:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
Хорошо, что я им так и не воспользовался.
aimp_shell.dll вроде плеерная dll'ка, крючки не знаю, посмотрю.
Цитата: Bhudh от ноября 26, 2009, 00:17
:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
:uzhos: Плагин для I-I-E?! Ты им пользуешься? :o Закопай его немедленно.
Цитата: mystТы им пользуешься? :o
Не боись, это было о-очень давно. :)
Сейчас только для тестинга включаю.
Выяснил, что крючки в автозагрузку не входят, находятся в папке ОрфоСвитчера (который в автозагрузке), однако подцеплены много к кому: точнее, ко всем прогам, у которых есть иконка в трее плюс [System Process].
Так что их тильки удалять, только вот как это безопасно сделать? Корзину вирусы ой не любят!
Цитата: Bhudh от ноября 26, 2009, 00:55
Выяснил, что крючки в автозагрузку не входят, находятся в папке ОрфоСвитчера (который в автозагрузке), однако подцеплены много к кому: точнее, ко всем прогам, у которых есть иконка в трее плюс [System Process].
Так что их тильки удалять, только вот как это безопасно сделать?
Не надо её удалять, это, видать, библиотека глобальных хуков OrfoSwitcher'а.
Это да, он без неё запускаться отказывается, просто я не вполне представляю, что есть хук.
Цитата: Bhudh от ноября 26, 2009, 15:14
Это да, он без неё запускаться отказывается, просто я не вполне представляю, что есть хук.
Это механизм перехвата оконных сообщений, нажатий на клавиатуру, действий мышью. Часто используется для реализации глобальных хоткеев или реагирования на ввод текста в любом окне.
Блин, а написать «менеджер прерываний» слишком длинно?!
Цитата: Bhudh от ноября 26, 2009, 15:23
Блин, а написать «менеджер прерываний» слишком длинно?!
Прерывания здесь ни при чём.
«Прерываний клавиатуры», понятно, что речь не о процессорных.
Цитата: Bhudh от ноября 26, 2009, 15:53
«Прерываний клавиатуры», понятно, что речь не о процессорных.
Что за прерывания клавиатуры? :o Ты меня начинаешь пугать. :)
Когда-то, давным-давно... так называли сигналы нажатий клавиш на клаве. Как сейчас называют, не в курсах. Неужели я что-то путаю?
Цитата: Bhudh от ноября 26, 2009, 15:58
Когда-то, давным-давно... так называли сигналы нажатий клавиш на клаве.
Сигналы-то кому? ;)
:-\ Туплю. Да ещё мимо темы. :(
А у меня тут каждое прерывание по пять десять секунд обрабатывается :( :(.
Цитата: Bhudh от ноября 26, 2009, 16:32
А у меня тут каждое прерывание по пять десять секунд обрабатывается :( :(.
:what: Так не вылечилось, что ли?
Драйвер перестало выбивать (хотя я на локальное подключение поглядываю), а тормоза прежние.
Попытался было Avast! поставить, да не по Сеньке шапка. :(
CureIt ничого не нашёл.
Цитата: Bhudh от ноября 26, 2009, 16:58
Драйвер перестало выбивать (хотя я на локальное подключение поглядываю), а тормоза прежние.
Тогда продолжаем. :)
1. Расскажи мне, что ты сделал.
2. Тормозит из-за выедания процессорного времени? Какой процесс?
1. Проверил комп, как вышесказано. Не нашёл, сегодня проверю версией поновее.
Дезактивировал хуки, что выяснилось, зря.
Отыскал наш майский разговор, вырубил из автозагрузки всё что не вызывало опасений обрушения системы. Ещё бы в отрубленных службах искомая была...
2. Ну дык, всё тот же. Проводник. Но вообще, у меня такое ощущение, что всем процессам для работы требуется больше ресурсов, чем раньше. У меня вообще сначала были подозрения на поломку харда или контроллера — до того, как локалка не закупорилась.
Кстати, а если RPCRT4.dll дезактивировать (переименованием или удалением), он на лету Виндовсом восстанавливается?
Цитата: Bhudh от ноября 26, 2009, 18:05
Кстати, а если RPCRT4.dll дезактивировать (переименованием или удалением), он на лету Виндовсом восстанавливается?
Это очень важный модуль, его нельзя удалять.
Цитата: Bhudh от ноября 26, 2009, 18:05
2. Ну дык, всё тот же. Проводник. Но вообще, у меня такое ощущение, что всем процессам для работы требуется больше ресурсов, чем раньше. У меня вообще сначала были подозрения на поломку харда или контроллера — до того, как локалка не закупорилась.
Выключи autoruns'ом все автоматом загружаемые в Проводник модули. Перезагрузи систему. И покажи мне его список нитей и список загруженных в него модулей.
И полный список автозагрузки тоже покажи.
Ты программу удаления по ссылке не пробовал?
Цитата: mystТы программу удаления по ссылке не пробовал?
По майской ссылке, что ли?
Что же я самое главное-то забываю сказать :wall:.
Тормоза начинаются ещё во время загрузки. Что-то в буте сидит, не иначе.
Я конечно ничего не понимаю в бут-вирусах, но если поставить пароль на вход в BIOS уже после заражения, это чем-то поможет?
Цитата: mystВыключи autoruns'ом все автоматом загружаемые в Проводник модули.
Подожди-подожди,
все чекбоксы, что ль, снять?!
Или в каком-то одном разделе? Я с этой прогой ещё не разобрался.
Цитата: Bhudh от ноября 26, 2009, 19:04
По майской ссылке, что ли?
По вчерашней на диагноз roboform.dll.
Цитата: arseniiv от ноября 26, 2009, 19:15
Я конечно ничего не понимаю в бут-вирусах, но если поставить пароль на вход в BIOS уже после заражения, это чем-то поможет?
Наводящий вопрос: пароль на вход кого в BIOS?
Цитата: Bhudh от ноября 26, 2009, 19:20
Подожди-подожди, все чекбоксы, что ль, снять?!
Или в каком-то одном разделе? Я с этой прогой ещё не разобрался.
Открой вкладку Explorer и выключи все переключатели на ней.
Одна-ако! Хорошо, сейчас и прогу по ссылке запущу, и перезагружусь, а пока возьми сразу список автозагрузки, а то вдруг что-нибудь нехорошее произойдёт :3tfu:.
Цитата: myst от ноября 26, 2009, 19:49
Наводящий вопрос: пароль на вход кого в BIOS?
Ну как кого, всех, кто хочет сменить настройки... Ну да, что-то явно не то пишу. Вообще, там есть опция
Boot sector protection. Она должна после очередной переустановки системы быть включена руками (потому что перед этой переустановкой её приходилось выключать руками же). Тогда ничто не будет записано туда, даже если сильно захотеть.
Цитата: arseniiv от ноября 26, 2009, 20:14
Тогда ничто не будет записано туда, даже если сильно захотеть.
Куда туда?
Куда точнее? :o При включенной этой опции содержимое бут-сектора изменить нельзя, ни для переустановки/изменения настроек загрузки ОС, ни вирусам.
Цитата: arseniiv от ноября 26, 2009, 20:57
Куда точнее? :o При включенной этой опции содержимое бут-сектора изменить нельзя, ни для переустановки/изменения настроек загрузки ОС, ни вирусам.
Какого именно boot sector'а?
Честное слово, myst, ты мог просто сказать «Отстань от меня с глупыми вопросами», но зачем так-то?!
Снял я все галочки, как было рекомендовано, а в самом низу была галочка «Учётные записи пользователей»...
В общем, пятнадцать перезагрузок подряд я выдержал, хотя до сих пор трясёт.
Вот результаты от прог:
Цитата: Bhudh от ноября 26, 2009, 23:56
Честное слово, myst, ты мог просто сказать «Отстань от меня с глупыми вопросами», но зачем так-то?!
Ты галочки-то на какой вкладке снимал?
Ты лекарство по этой ссылке (http://www.prevx.com/filenames/1170645651706111671-X1/ROBOFORM.DLL.html) пробовал?
Ты самое главное не сказал: Проводник процессор пилит?
В общем, извиняюсь, ошибочка вышла. В худшую сторону.
Цитата: mystТы галочки-то на какой вкладке снимал?
Explorer, как ты и сказал.
Цитата: mystТы лекарство по этой ссылке пробовал?
Prevx 3.0? Кому лекарство, а у меня это как раз и стало причиной исчезновения экрана входа в систему, с учётными записями. Прямо перед ним комп тупо уходит на reload. Только что опять нарвался. Хотел «доустановить».
Помогает только возврат к предыдущему нормальному состоянию. Как по-твоему, это означает, что вирь перебарывает или просто вызывается безумная ошибка?
Цитата: mystТы самое главное не сказал: Проводник процессор пилит?
Как болгарка. В данный момент более-менее нормально пишу только потому, что его в диспетчере угробил.
Кстати сказать, процесс запуска винды происходит сейчас следующим образом: открывается рабочий стол, прорисовываются иконки, я быстро вызываю диспетчера и гроблю Проводник, иначе система вновь уходит на reload. Подозреваю, из-за ресурсного конфликта с Аваст!ом, но, может быть, и не из-за этого. Пережидаю, пока проц утихомирится, и включаю Проводник. Если нужен. Сейчас не включил.
Цитата: Bhudh от ноября 27, 2009, 00:34
Explorer, как ты и сказал.
:o Где ты там про учётные записи нашёл?
Проводник можно не грузить. :) Убери галочку Explorer.exe на вкладке Logon (в autoruns).
Ты мне список нитей Проводника не дал.
zmmspro.exe: а это что за хрень? Её раньше не было.
Сравни модули Проводника в системе и дистре.
Пришли мне ту roboform.dll, я погляжу, что у неё внутри. Вдруг, это безобидная библиотечка? :)
Цитата: mystГде ты там про учётные записи нашёл?
Третья снизу. Только это, видимо, не те, я уже понял.
ЦитироватьУчётные записи пользователей
netplwiz.dll
Мастер подключения сетевых дисков и окружения
Цитата: mystПроводник можно не грузить.
Да это понятно, просто я к своему десктопу уже привык, не хотелось бы на Total переходить. Ломает.
Цитата: mystТы мне список нитей Проводника не дал.
Э. А в explorer.exe.txt что-то не то опять?
Цитата: mystzmmspro.exe: а это что за хрень? Её раньше не было.
Судя по буквам, Zortam Music, старенький плеер. Не знаю, чего он вдруг проявился.
Цитата: mystСравни модули Проводника в системе и дистре.
:???
Цитата: mystПришли мне ту roboform.dll, я погляжу, что у неё внутри. Вдруг, это безобидная библиотечка? :)
На мыло@ЛФ? Сейчас попробую. Кстати, это плагин ещё и для Лиса.
Цитата: Bhudh от ноября 27, 2009, 01:13
Э. А в explorer.exe.txt что-то не то опять?
Там список загруженных модулей, а не нити.
Цитата: Bhudh от ноября 27, 2009, 01:13
Третья снизу. Только это, видимо, не те, я уже понял.
Давай скрин. :)
И exe'шник Проводника тоже. :)
Цитата: Bhudh от ноября 27, 2009, 00:34
Как по-твоему, это означает, что вирь перебарывает или просто вызывается безумная ошибка?
Если у тебя и правда вирус, надо загрузиться с компакт диска, флэшки etc. и проверить системный диск свежим антивирем.
Цитата: mystУ меня на форуме нет мыла.
Есть-есть. И туда уже послано.
Цитата: mystДавай скрин.
Издеваешься? :'( Придётся Проводника включать.
Вот скрин.
Цитата: Bhudh от ноября 27, 2009, 02:09
Вот скрин.
По этому скрину ничего не видно. Всё окно-то было жаль. :)
Вот два скрина нитей.
stobject.dll в каком каталоге лежит? Что-то не нравится она мне. Если она из System32 сравни с той, что в дистре.
А что сравнение даст, если они в дистре в сжатом виде? :(
Вот полюбуйся:
Цитата: Bhudh от ноября 27, 2009, 19:02
А что сравнение даст, если они в дистре в сжатом виде? :(
Ну дык, разожми. :)
Чем я разожму файл .dl_???
Цитата: Bhudh от ноября 27, 2009, 19:24
Чем я разожму файл .dl_???
Да хоть Total Commander'ом.
Извиняюсь, как-то с CAB-архивами напрямую дела раньше не имел.
В общем дистрный слева.
то же самое? т.е. не вирус. STobject - System Tray
Цитата: Bhudh от ноября 27, 2009, 19:59
Извиняюсь, как-то с CAB-архивами напрямую дела раньше не имел.
В общем дистрный слева.
Ты содержимое сравни, а не размер.
Ладно, скорее всего это ложный след.
Надо заняться нитью 3400. Открой её стек и сделай скрин.
Цитата: mystТы содержимое сравни, а не размер.
Уже поздно. Я тут тупо заменил распакованным файлом файл в system32 и ненароком изобрёл машину времени:
Цитата: mystНадо заняться нитью 3400.
:donno: Ты хоть имя её напомни, а то у меня её уже нетути.
Я все наизусть не помню. :(
Цитата: Bhudh от ноября 27, 2009, 20:18
Цитата: mystНадо заняться нитью 3400.
:donno: Ты хоть имя её напомни, а то у меня её уже нетути.
Я все наизусть не помню. :(
Имён у нитей нет, только номера. Короче, та, которая жрёт больше всех процессорное время.
Цитата: Bhudh от ноября 27, 2009, 20:16
Я тут тупо заменил распакованным файлом файл в system32 и ненароком изобрёл машину времени:
Как тебе это удалось? :o
Цитата: mystИмён у нитей нет, только номера.
Я имел в виду адрес.
Цитата: mystКороче, та, которая жрёт больше всех процессорное время.
Всё та же stobject.
А вот в services.exe процессор жрут поочерёдно три нити с одинаковым адресом kernel32.dll!CreateThread+0x22.
Скрин одной из прилагаю.
И удаляюсь на пару часов.
Цитата: mystКак тебе это удалось? :o
Сменил расширение на .длл и сунул копию.
Цитата: Bhudh от ноября 27, 2009, 20:48
Сменил расширение на .длл и сунул копию.
Файл загруженного программного модуля в Windows блокируется, его нельзя ни заменить, ни удалить, ни переименовать. Панимаешь? :)
Цитата: Bhudh от ноября 27, 2009, 20:48
А вот в services.exe процессор жрут поочерёдно три нити с одинаковым адресом kernel32.dll!CreateThread+0x22.
Этот процесс нам пока не нужен (у него работа такая — нити создавать). Мы Проводником занимаемся.
Цитата: Bhudh от ноября 27, 2009, 20:48
Всё та же stobject.
На предыдущих скринах больше всего жрала другая нить.
Можно провести эксперимент: удалить регистрацию stobject.dll (regsvr32 -u stobject.dll) и посмотреть, что произойдёт.
Цитата: myst от ноября 26, 2009, 21:17
Какого именно boot sector'а?
:negozhe: до времени до поры я думал, что загрузочный сектор системного диска один-единственный? Если это не так, прошу уже сказать мне, что я не так написал..... :wall:
Цитата: arseniiv от ноября 27, 2009, 21:49
до времени до поры я думал, что загрузочный сектор системного диска один-единственный?
Что такое системный диск?
Цитата: arseniiv от ноября 27, 2009, 21:49
Если это не так, прошу уже сказать мне, что я не так написал..... :wall:
Конечно, не так. RTFM. ;)
Oooooooooo. Where I can find it? Ну да, систем может быть несколько, но откуда-то же надо начинать загрузку?
MBR?
Цитата: arseniiv от ноября 27, 2009, 22:38
Oooooooooo. Where I can find it?
Можно начать отсюда (http://en.wikipedia.org/wiki/System_boot).
Цитата: Karakurt от ноября 27, 2009, 22:44
MBR?
Вот только она и защищается тем параметром, да и то не факт, что надёжно.
Цитата: mystФайл загруженного программного модуля в Windows блокируется, его нельзя ни заменить, ни удалить, ни переименовать.
Я тоже так думал. Собственно, винда сначала и ругнулась, что заменять нельзя, а вот переименовала спокойно. Другое дело, что когда я после распакованную копию сунул, он тоже ругнулась, что такой файл уже есть (sic!), и о запрете сказала, но сама ему не последовала и заменила :donno:.
Цитата: mystНа предыдущих скринах больше всего жрала другая нить.
А, ntdll? Это, видимо, тогда так просто совпало, сейчас она ниже травы.
Цитата: mystМожно провести эксперимент
Он требует перезагрузки? А то я лучше погожу...
Цитата: Bhudh от ноября 27, 2009, 22:59
Он требует перезагрузки? А то я лучше погожу...
Угу.
Сейчас главная задача — выявить нить, которая пилит процессор, и выяснить, какому модулю она принадлежит.