При заходе на один из сайтов были попытки заражения:
W32.Grum.A
Trojan.Pandex
Bloodhound.Exploit.109
Infostealer
Установленный SAV CE 10 вроде все эти попытки приостановил. Вручную были удалены файлы Windows\Temp\WinLogon.exe - который тормозил систему при логине; system32\drivers\runtime.sys и system32\drivers\runtime2.sys - нулевой длины правда; на рабочем столе пару .exe файлов.
Были проведены несколько циклов: полное сканирование - перезагрузка. Полное сканирование в safe mode. Проводилось полное сканирование утилитой cureit.exe несколько раз. Ничего не обнаружилось.
Пару дней работало всё нормально. А со вчерашнего дня начались непонятные торможения. Пытаюсь открыть файл - открывается через минуту, нажимаю на файле правой кнопкой - меню появляется через минуту. Запускаю из control panel -> Computer Management запускается через минуту. А если тот же Computer Management открыть через My computer->Properties->Manage открывается моментально.
Причём это торможение не постоянно, то оно есть - то его нет, где-то 95% к 5%.
Запустить к примеру Far - всегда без проблем. Все программы при логоне стартуются быстро.
Пытался отслеживать с помощью FileMon.exe, RegMon.exe, ProcExp.exe - ничего подозрительного для себя не обнаружил.
Проверял под отдельным аккаунтом админа, и в режиме Safe Mode - всё то же самое.
Если ничего не найдётся - придётся переустанавливать Windows, т.к. ждать по минуте действия - нереально
Последний раз редактировалось Макcим; 18.06.2007 в 13:09.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
2. Установите AVZPM, сделайте новые логи авз.
3. AVZ/Файл/Стандартные скрипты - отметить #1 - Выполнить
Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" -Пуск/Сохранить протокол
Упакуйте протокол в архив zip или rar и прикрепите к теме
1. Выполнил скрипт. Из 3-х запрошенных файлов попал только 1 (выслал). Вот что выдал AVZ:
Код:
1.4 Searching for masking processes and drivers
The extended monitoring driver (AVZPM) is not installed, examination is not performed
Quarantine file error "C:\WINDOWS\system32\DLGPC.DLL", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "C:\WINDOWS\system32\DLGPC.DLL", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "C:\WINDOWS\system32\DLGPC.DLL", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
File quarantined C:\WINDOWS\system32\DLGPC.DLL
Quarantine file error "\SystemRoot\System32\Drivers\dump_iaStor.sys", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
Quarantine file error "C:\WINDOWS\System32\Drivers\dump_iaStor.sys", attempt to perform direct disk reading
Quarantine file error (direct disk reading) "%S"
File "C:\WINDOWS\system32\APCSnmp.dll" quarantined succesfully
File quarantined C:\WINDOWS\system32\APCSnmp.dll
2. Установил AVZPM - сделал логи (приложил avz_syscheck, avz_syscure).
3. Выполнил "Исследование системы" с "Все службы и драйвера" (приложил avz_sysinfo)
Сейчас я "наловчился" работать следующим образом: придя с утра на работу, сканирую AVZ - перезагружаюсь, и вроде несколько часов работает. Данную последовательность повторяю по мере необходимости.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: