Author Topic: Хозяйничает вирус или троян. Компьютерщики, COC!  (Read 27354 times)

0 Members and 1 Guest are viewing this topic.

Offline myst

  • Posts: 35589
:o Вот от чего не ожидал. А ведь это система автоматического ввода паролей, плагин для осла.
:uzhos: Плагин для I-I-E?! Ты им пользуешься? :o Закопай его немедленно.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
Ты им пользуешься? :o
Не боись, это было о-очень давно. :)
Сейчас только для тестинга включаю.

Выяснил, что крючки в автозагрузку не входят, находятся в папке ОрфоСвитчера (который в автозагрузке), однако подцеплены много к кому: точнее, ко всем прогам, у которых есть иконка в трее плюс [System Process].
Так что их тильки удалять, только вот как это безопасно сделать? Корзину вирусы ой не любят!
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Выяснил, что крючки в автозагрузку не входят, находятся в папке ОрфоСвитчера (который в автозагрузке), однако подцеплены много к кому: точнее, ко всем прогам, у которых есть иконка в трее плюс [System Process].
Так что их тильки удалять, только вот как это безопасно сделать?
Не надо её удалять, это, видать, библиотека глобальных хуков OrfoSwitcher'а.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Это да, он без неё запускаться отказывается, просто я не вполне представляю, что есть хук.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Это да, он без неё запускаться отказывается, просто я не вполне представляю, что есть хук.
Это механизм перехвата оконных сообщений, нажатий на клавиатуру, действий мышью. Часто используется для реализации глобальных хоткеев или реагирования на ввод текста в любом окне.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Блин, а написать «менеджер прерываний» слишком длинно?!
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Блин, а написать «менеджер прерываний» слишком длинно?!
Прерывания здесь ни при чём.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
«Прерываний клавиатуры», понятно, что речь не о процессорных.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
«Прерываний клавиатуры», понятно, что речь не о процессорных.
Что за прерывания клавиатуры? :o Ты меня начинаешь пугать. :)

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Когда-то, давным-давно... так называли сигналы нажатий клавиш на клаве. Как сейчас называют, не в курсах. Неужели я что-то путаю?
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Когда-то, давным-давно... так называли сигналы нажатий клавиш на клаве.
Сигналы-то кому? ;)

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
 :-\ Туплю. Да ещё мимо темы. :(
А у меня тут каждое прерывание по пять десять секунд обрабатывается :( :(.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
А у меня тут каждое прерывание по пять десять секунд обрабатывается :( :(.
:what: Так не вылечилось, что ли?

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Драйвер перестало выбивать (хотя я на локальное подключение поглядываю), а тормоза прежние.
Попытался было Avast! поставить, да не по Сеньке шапка. :(
CureIt ничого не нашёл.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Драйвер перестало выбивать (хотя я на локальное подключение поглядываю), а тормоза прежние.
Тогда продолжаем. :)
1. Расскажи мне, что ты сделал.
2. Тормозит из-за выедания процессорного времени? Какой процесс?

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
1. Проверил комп, как вышесказано. Не нашёл, сегодня проверю версией поновее.
Дезактивировал хуки, что выяснилось, зря.
Отыскал наш майский разговор, вырубил из автозагрузки всё что не вызывало опасений обрушения системы. Ещё бы в отрубленных службах искомая была...
2. Ну дык, всё тот же. Проводник. Но вообще, у меня такое ощущение, что всем процессам для работы требуется больше ресурсов, чем раньше. У меня вообще сначала были подозрения на поломку харда или контроллера — до того, как локалка не закупорилась.

Кстати, а если RPCRT4.dll дезактивировать (переименованием или удалением), он на лету Виндовсом восстанавливается?
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Кстати, а если RPCRT4.dll дезактивировать (переименованием или удалением), он на лету Виндовсом восстанавливается?
Это очень важный модуль, его нельзя удалять.

2. Ну дык, всё тот же. Проводник. Но вообще, у меня такое ощущение, что всем процессам для работы требуется больше ресурсов, чем раньше. У меня вообще сначала были подозрения на поломку харда или контроллера — до того, как локалка не закупорилась.
Выключи autoruns'ом все автоматом загружаемые в Проводник модули. Перезагрузи систему. И покажи мне его список нитей и список загруженных в него модулей.
И полный список автозагрузки тоже покажи.

Ты программу удаления по ссылке не пробовал?

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
Ты программу удаления по ссылке не пробовал?
По майской ссылке, что ли?
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Что же я самое главное-то забываю сказать :wall:.
Тормоза начинаются ещё во время загрузки. Что-то в буте сидит, не иначе.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline arseniiv

  • Posts: 14946
    • ::
Я конечно ничего не понимаю в бут-вирусах, но если поставить пароль на вход в BIOS уже после заражения, это чем-то поможет?

Offline Bhudh

  • Blogger
  • *
  • Posts: 54580
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
Выключи autoruns'ом все автоматом загружаемые в Проводник модули.
Подожди-подожди, все чекбоксы, что ль, снять?!
Или в каком-то одном разделе? Я с этой прогой ещё не разобрался.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
По майской ссылке, что ли?
По вчерашней на диагноз roboform.dll.

Я конечно ничего не понимаю в бут-вирусах, но если поставить пароль на вход в BIOS уже после заражения, это чем-то поможет?
Наводящий вопрос: пароль на вход кого в BIOS?

 

With Quick-Reply you can write a post when viewing a topic without loading a new page. You can still use bulletin board code and smileys as you would in a normal post.

Note: this post will not display until it's been approved by a moderator.
Name: Email:
Verification:
Type the letters shown in the picture
Listen to the letters / Request another image
Type the letters shown in the picture:
√49 Напишите ответ строчными буквами:
«Сто одёжек, все без застёжек» — что это?: