Author Topic: Хозяйничает вирус или троян. Компьютерщики, COC!  (Read 27351 times)

0 Members and 1 Guest are viewing this topic.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
У меня на форуме нет мыла.
Есть-есть. И туда уже послано.

Quote from: myst
Давай скрин.
Издеваешься? :'( Придётся Проводника включать.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Вот скрин.
По этому скрину ничего не видно. Всё окно-то было жаль. :)

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Вот два скрина нитей.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
stobject.dll в каком каталоге лежит? Что-то не нравится она мне. Если она из System32 сравни с той, что в дистре.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
А что сравнение даст, если они в дистре в сжатом виде? :(
Вот полюбуйся:
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
А что сравнение даст, если они в дистре в сжатом виде? :(
Ну дык, разожми. :)

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Чем я разожму файл .dl_???
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Чем я разожму файл .dl_???
Да хоть Total Commander'ом.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Извиняюсь, как-то с CAB-архивами напрямую дела раньше не имел.
В общем дистрный слева.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline Karakurt

  • Posts: 20032
  • Gender: Male
то же самое? т.е. не вирус. STobject - System Tray
͡° ͜つ ͡°

Offline myst

  • Posts: 35589
Извиняюсь, как-то с CAB-архивами напрямую дела раньше не имел.
В общем дистрный слева.
Ты содержимое сравни, а не размер.

Ладно, скорее всего это ложный след.

Надо заняться нитью 3400. Открой её стек и сделай скрин.

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
Ты содержимое сравни, а не размер.
Уже поздно. Я тут тупо заменил распакованным файлом файл в system32 и ненароком изобрёл машину времени:
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Quote from: myst
Надо заняться нитью 3400.
:donno: Ты хоть имя её напомни, а то у меня её уже нетути.
Я все наизусть не помню. :(
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Quote from: myst
Надо заняться нитью 3400.
:donno: Ты хоть имя её напомни, а то у меня её уже нетути.
Я все наизусть не помню. :(
Имён у нитей нет, только номера. Короче, та, которая жрёт больше всех процессорное время.

Я тут тупо заменил распакованным файлом файл в system32 и ненароком изобрёл машину времени:
Как тебе это удалось? :o

Offline Bhudh

  • Blogger
  • *
  • Posts: 54567
  • Gender: Male
  • aka 蝎
    • Сайты по языкознанию
Quote from: myst
Имён у нитей нет, только номера.
Я имел в виду адрес.

Quote from: myst
Короче, та, которая жрёт больше всех процессорное время.
Всё та же stobject.
А вот в services.exe процессор жрут поочерёдно три нити с одинаковым адресом kernel32.dll!CreateThread+0x22.
Скрин одной из прилагаю.

И удаляюсь на пару часов.

Quote from: myst
Как тебе это удалось? :o
Сменил расширение на .длл и сунул копию.
Пиши, что думаешь, но думай, что пишешь.
MONEŌ ERGŌ MANEŌ.
Waheeba dokin ʔebi naha.
«каждый пост в интернете имеет коэффициент бреда» © Невский чукчо

Offline myst

  • Posts: 35589
Сменил расширение на .длл и сунул копию.
Файл загруженного программного модуля в Windows блокируется, его нельзя ни заменить, ни удалить, ни переименовать. Панимаешь? :)

А вот в services.exe процессор жрут поочерёдно три нити с одинаковым адресом kernel32.dll!CreateThread+0x22.
Этот процесс нам пока не нужен (у него работа такая — нити создавать). Мы Проводником занимаемся.

Всё та же stobject.
На предыдущих скринах больше всего жрала другая нить.

Можно провести эксперимент: удалить регистрацию stobject.dll (regsvr32 -u stobject.dll) и посмотреть, что произойдёт.

Offline arseniiv

  • Posts: 14946
    • ::
Какого именно boot sector'а?
:negozhe: до времени до поры я думал, что загрузочный сектор системного диска один-единственный? Если это не так, прошу уже сказать мне, что я не так написал..... :wall:

Offline myst

  • Posts: 35589
до времени до поры я думал, что загрузочный сектор системного диска один-единственный?
Что такое системный диск?

Если это не так, прошу уже сказать мне, что я не так написал..... :wall:
Конечно, не так. RTFM. ;)

 

With Quick-Reply you can write a post when viewing a topic without loading a new page. You can still use bulletin board code and smileys as you would in a normal post.

Note: this post will not display until it's been approved by a moderator.
Name: Email:
Verification:
Type the letters shown in the picture
Listen to the letters / Request another image
Type the letters shown in the picture:
√49 Напишите ответ строчными буквами:
«Сто одёжек, все без застёжек» — что это?: