-
Тормозит комп, глючит по-чёрному, ушёл в ребут.
Доброго здоровья!
С последней ситуации (http://virusinfo.info/showthread.php?t=13095) мало, что изменилось. Скорее стало только хуже: окна открываются долго, некоторые файлы переносятся или стираются тоже долго. Папки с этими файлами переносятся быстро. С сайта maxwarez.ru в корень диска С: (и не только с него) пишется всякая гадось, иногда вызывая ошибки эксплорера. Сейчас, например, после загрузки этого сайта создалось 2 файла ехе. Эксплорер выдал ошибку. Перенос в другой раздел диска этих файлов тоже тормозит. Переименование расширения одного из них тоже тормозит в отличие от переименования другого. NOD32 27 со свежими базами молчит, однако некоторые антивирусы из http://www.virustotal.com вирищат о наличии вируса (кстати тот, что долго переименовывался ..ОП-ПА!! "Сканер остановлен в данный момент..." - такое впервые там! 14 из 31 !! Nod32 - прочерк). Полная проверка в режиме защиты от сбоев свежим CureIt ничего не показала. Вдруг перестаёт запоминать текущий язык в окне драйвер клавиатуры, приходится постоянно переключать заново. Такое впечатление, что оперативка глючит! Но я проверял её созданием и тестированием большого архива RAR. Всего не упомнишь! Не открываются (виснет или просто пытаются открыться как обозреватель файлов) файлы "mht" А недавно, что и вывело из себя окончательно - ушла в "холодный" ребут. (может питание, БП "дохнет"?) Присылаю ВАМ отчёты по правилам.
Если там всё чисто - жду от ВАС рекомендаций по тестированию железа (софт, методы...)
СТРАННО! А сейчас всё не тормозит и ВСЁ БЫСТРО открывается! пока... Так и в прошлый раз было: только похвалил - заглючило ((((
Но.. чудес не бывает?
Жду ответа!
Спасибо!
ПС: винт MHDD проверял. Цветных квадратиков нет ))
Последний раз редактировалось serjga; 22.06.2009 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в логах ничего плохого не видно.
http://virusinfo.info/showthread.php?t=10387 - сделай лог в Safe Mode.
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe - вот только это смущает. Есть этот файл на диске или нет.
Сейчас, например, после загрузки этого сайта создалось 2 файла ехе.
- что за файлы? Через AVZ загрузи в карантин и пришли.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
PavelA
Лог высылаю. только после первого пункта выдала ошибку:
Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
Ошибка обмена с драйвером [00000002] - [1]
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
так и надо?
Файла C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe там нет. Есть 2 лога и *.tlb. В логах ссылки на него тоже нет.
Файлы загрузил в карантин и прислал. Я выше писал, что мой и "сайтовый" NOD32 на них молчит, другие - ругаются.
Если и сейчас всё нормально - что делать дальше?
Жду ответа.
Спасибо!
Последний раз редактировалось serjga; 22.06.2009 в 15:52.
-
Сообщение от
serjga
Файла C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe там нет. В логах ссылки на него тоже нет.
Жду ответа.
Спасибо!
в Hijacke виден этот файл, как сервис.
в посл. логе тоже. Если его нет, то \Microsoft.NET\Framework надо деинсталлировать или просто удалить этот сервис. Кстати, из-за отсутствия его могу глючить супер модные программы.
на первый файлик ругнулся только Ikarus T3.1.1.12 2007.10.25 Virus.Win32.Zapchast.DA , AVG, Sophos
может это остатки от уже удаленных, или он появился после лечения.
А второго очень многие знают и подозревают что это ПИНЧ. Единственное, что радует, что этих ехешников не видно в логах. Значит, они не активны.
Последний раз редактировалось PavelA; 25.10.2007 в 12:32.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Framework недавно деинсталлировал. Каталог значит остался. Как удалить сервис? Супер модных программу меня нет пока. Ресурсов не хватает да и нет пока надобности.
"на первый файлик ругнулся только Ikarus T3.1.1.12 2007.10.25 Virus.Win32.Zapchast.DA , AVG, Sophos
может это остатки от уже удаленных, или он появился после лечения."
Это НЕ остатки после лечения! Во время лечения ВООБЩЕ не было ничего найдено! Файлы появились, повторяю, после загрузки страницы! И ругнулся на ошибку эксплорер на ЭТОТ файл! Дальше я всё описал.
Если их нет в логах, что тогда делать с тачкой?
Что дальше?
Жду ответа!
Спасибо!
-
удаление сервиса:
Код:
begin
BC_DeleteSvc('aspnet_state');
BC_DeleteFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe');
BC_Activate;
RebootWindows(true);
end.
С какой страницы поймал? Адрес напиши.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
выполнил скрипт - перезагрузка без спросу... 2 часа закачки файла.. непосланное письмо Вам... блинннн...
Ладно! Теперь папку Windows\Microsoft.NET можно стереть? Ничего там не надо?
Файлы те поймал с ццц.maxwarez.ru вроде бы. Я в первом сообщении писал. Сча проверяю ещё один сайт, может там... может я ашЫпся..
Так что дальше с тачкой делать?
Я уже и в прошлой теме спрашивал!
Жду ответа!
Спасибо!
Добавлено через 1 час 1 минуту
ТОЧНО! maxwarez.ru !! Я его сча ещё раз загрузил, сначала вылезло окно .. не знаю, как это называется, когда двигаешь страницу, а оно ползёт всё время в центре и на нажатие "Закрыть" открывается какая-то хрень в другом окне. Сча я на нём нажал правую кнопку->свойства - там страница html и адрес сайта maxwarez.ru - ВСЁ! В корне диска С тот маленький uuse.exe, перенёс его на D: А окно тем временем повисло (так пока и висит)
Отвечаю на сообщение в QIPе, окошко: "wgte.exe - обнаружена ошибка. приложение будет закрыто.." и тд..
В корне С: wgte.exe 56кб - другой файл, который НЕ ПЕРЕНОСИТСЯ, а только копируется на D:
Закрыл окно об ошибке - файл wgte.exe смог удалиться с диска С.
Вот так!
Так же было ДО моего письма к Вам. Файлы те же, только с другими именами. Накажем пацана?
Другие такие же приёмы ЧЕСТНО только порнуху открывают! Никаких заражений!
Кстати, вот опять: большой перенёсся быстро, а маленький - машина тормознула секунды на 2-3. Значит занят? Как проверить? Маленький из этой пары тормозит при переносе с каталога в каталог.
Добавлено через 7 часов 53 минуты
А это нормально, что во время закачки файла эксплорером, когда переменная окружения TMP и временные файлы интерента расположены на другом разделе, не по умолчанию, создаётся копия закачиваемого файла в каталоге %TMP%, таким образом дублируя закачиваемый файл во временной папке интернета?
Последний раз редактировалось serjga; 25.10.2007 в 23:04.
Причина: исправлена грамматическая ашыпка
-
У вас талант , совсем свежих прислали. Где они лежали в компе ?
eqvo.e_e - Trojan-Downloader.Win32.Agent.eob,
zyid.e_e - Trojan-PSW.Win32.LdPinch.dym
Удалить их собственно и менять пароли , пинчи воруют пароли.
-
-
Сообщение от
drongo
У вас талант , совсем свежих прислали. Где они лежали в компе ?
eqvo.e_e - Trojan-Downloader.Win32.Agent.eob,
zyid.e_e - Trojan-PSW.Win32.LdPinch.dym
Удалить их собственно и менять пароли , пинчи воруют пароли.
Чтобы заново тему не переписывать, предлагаю самому прочитать ибо было написано уже аж ДВА раза::
http://virusinfo.info/showpost.php?p=144812&postcount=1
http://virusinfo.info/showpost.php?p=144878&postcount=4
http://virusinfo.info/showpost.php?p=144878&postcount=6
Добавлено через 2 минуты
http://virusinfo.info/showpost.php?p=144930&postcount=7
Добавлено через 6 минут
Я как раз спрашивал по этому поводу: ЧТО ДЕЛАТЬ ДАЛЬШЕ? И опять новому вошедшему модератору надо объяснять всё заново! Сколько можно по кругу, господа великие мудрецы? Там же всё разжёвано! ДО мелочей!
Добавлено через 39 минут
Ну, вот: старался, писал, описывал подробно всё, а ответа опять нет. Только постоянно одинаковые вопросы. Или я что-то не так понял? Ответ будет? Пока ничего не делал с системой, не перегружал, не чистил заново (ибо не находит ничего). Как описал выше, так и есть. Только хожу по НЕТу, читаю, ищу, аськаюсь.... и ЖДУ ОТВЕТА!
Спасибо!
Последний раз редактировалось serjga; 26.10.2007 в 10:48.
Причина: Добавлено
-
Про сайт ответ экспертов:
Там набор сплоитов айспак. В случае пробива - загружается и запускается троянский загрузчик - Trojan-Downloader.Win32.Agent.eob по классификации ЛК.
Ссылка на загрузку самого трояна:
_http://host*.php
Последний раз редактировалось Alex_Goodwin; 28.10.2007 в 02:46.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
А как узнать: пробило меня или нет? NOD32 не реагирует на эти пришедшие в корень диска файлы! И в логах, вы говорите, чисто!
Жду ответа!
Спасибо!
Добавлено через 8 минут
Классификации ЛК? Лаборатории Касперского?
У меня ничего не стоит, кроме NOD32, который не видит в этих файлах вирусов. Почему меня тогда не "пробили", если в логах чисто?
Добавлено через 5 минут
И, если меня НЕ "пробили", то почему операции с одним из файлов тормозят?
А вот недавно перестал проигрываться файл WMA, LightAllow сказал, что не найден кодек звуковой. Перегрузил тачку - стал проигрываться, только.. встаёт изображение. Двинешь ползунок положения просмотра - пойдёт изображение, потом опять встанет.
Последний раз редактировалось serjga; 27.10.2007 в 12:05.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- d:\\temp\\virus!!!\\test\\eqvo.e_e - Trojan-Downloader.Win32.Agent.eob (DrWEB: Trojan.Packed.194)
- d:\\temp\\virus!!!\\test\\zyid.e_e - Trojan-PSW.Win32.LdPinch.dym (DrWEB: Trojan.PWS.LDPinch.430
-