В общем 3 дня назад назад курсор (далее именуемый "мышь") перестал двигаться на 3 минуты, потом раз 10 по паре секунд, я списал это на глюки винды, при этом колёсико и нажатия клавиш мыши работали, вчера мышь зависла на 15 минут, и целый день лагала по паре секунд зависала, сегодня она зависла и начала двигаться влево Потом ещё страница сама прокрутилась вниз, какбудто кто-то крутил колёсико, уже пришлось перезагружать ибо она висела больше 20 минут, подозреваю злобных хакеров
P.S. Во время написания данного сообщения мышь зависла 3 раза по 1 сек и 1 раз на 1 минуту
P.P.S. Пока я сканировал комп по вашей инструкции с отключеным интернетом, никаких лагов с мышью небыло
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Эмм... Файла C:\WINDOWS\system32\047.tmp не существует (его небыло до выполнения вашего скрипта, тоесть не скрипт его удалил)
И в карантине только C:\WINDOWS\system32\pgpfsshl.dll но это DDLка программы PGP, такчто карантин слать нет смысла
Логи новые вот я сделал
==========
Хмм... Мышь перестала глючить, наверное это 047.tmp был, только непонятно куда он исчез, ну всёравно, спасибо
Последний раз редактировалось userN; 21.04.2009 в 20:38.
ёпрст, я щас еле до темы дополз, мыш зависает на 2 сек с промежутком в 1 сек (но не точно, а как-то рэндомно)
Лан, тут надо винду переставлять...
Но всёже я так и непонял чё за файл 047.tmp был =\
V_Bond, так мне сказали выполнить скрипт и прислать карантин, в скрипте прописан
QuarantineFile('C:\WINDOWS\system32\047.tmp','');
Ну я попёр на него пасмареть, а его нет =\ Он исчез до выполнения скрипта
Замечательно, во время зависания мыши был открыт outpost firewall и я увидел что что-то бешано ломится на viruskill2.hispasec.com, погуглив понял, что это то, что я ищу =\ Но дело в том что NOD32 через себя траффик пускает, сейчас отключу его и буду ловить процесс
А ещё куда-то пакеты льются по POP3 протоколу, спаммер похоже Х_Х
Сейчас вобще снесу nod32 и раскажу что где и как...
Ничего я не вижу... Пошёл сделал новые логи, во время скана без интернета никаких глюков с мышью, перезагрузился, включил нэт и поехало снова
Вот логи вам принёс... (во время написания этой строки страница скользнула вверх, какбудто кто-то колесо на мышке прокрутил, однако я её не трогал и в аутпосте пусто)
P.S. Ущёл ставить AVZPM, это логи без AVZPM
Вот включил AVZPM в AVZ
Принёс логи
P.S. Опять без интернета всё было замечательно (хотя сейчас с интернетом тоже пока не глючила, но уверен - заглючит)
====
Пощёл изучать логи AVZ, увидел какой-то C:\WINDOWS\System32\Drivers\axp0rrhe.SYS хотел его на virustotal.com залить а его и не существует, мне это совсем ненравится + гугл незнает имя "axp0rrhe.SYS" наверное рэндомное
Во втором логе, этот файл назвался C:\WINDOWS\System32\Drivers\a6is4trw.SYS
Вот сейчас для себя пойду ещё лог сделаю и дам ему по голове
Нету его там =\ Он видимо при загрузке винды создаётся там, подргужается в драйвера потом удаляется... ёпрст
Моя догадка подсказывает, что нужна программа которая отслеживает эти "Модули пространства ядра", только её название можете вы подсказать
Эмм... Мне винду переустанавливать походу надо...
Кстате сканил комп через CureIT как в правилах написано, ничего не нащёл и NOD32 ничего не находил, поставил Avira она уже нашла 107 вирусов, 85% просканила, хороший антивирь...
Последний раз редактировалось Rene-gad; 23.04.2009 в 13:54.
Я отправил в карантин в теме лог
Файл сохранён как 090422_181634_scan_49ef26c2e26de.zip
Размер файла 7300
MD5 aba43af045b7c9f60f1f7bc0f3a3462b
Я поражаюсь, что NOD32 и CureIT Ничего не нашли О_о
И вот там есть папка C:\Documents and Settings\root\Application Data\msf32\ в ней какие-то сплоиты, чёрт пойми что, но я её не создавал никогда О_О
И всё что было в "Мои документы" это я всё знаю, это я качал
Самое прикольное, что проблема с мышью не решылась, и вот я лог авиры читаю кто-то его прокрутил =\ Замечательно
=====
Скачал щас Your Uninstaller он сказал, что hijackthis corrupted и предложил его восстановить, всё больше и будльше мне кажеться, что что-то контролирует антивирусы и подобный софт
Последний раз редактировалось userN; 22.04.2009 в 19:26.
Зря ты его туда засунул, ну да ладно.
Самое интересное, что все зверье в креках к игрушкам и программам.
По самой системе Авира ничего не нашла, так что переставлять систему не обязательно.
Из запущенных в процессах ей не понравился только e:\install\prkiller\prkiller.exe, если я не ошибся.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Ну это моё, Alt+Ctrl+DEL медленый, и когда комп зависает я юзаю PrKiller
Вот я сейчас ребутнул комп, и засканил AVZ, в "Модули пространства ядра" теперь файл "C:\WINDOWS\System32\Drivers\avunxp2t.SYS"
Напоминаю, до этого он был
C:\WINDOWS\System32\Drivers\axp0rrhe.SYS
и
C:\WINDOWS\System32\Drivers\a6is4trw.SYS
И опять этого avunxp2t.SYS не существует
Всётаки он создаётся при загрузке, грузится в ядро и удаляется, как его блин поймать...
Мышь так и издевается, собствено я и перезагружался щас потомучто она зависла на 5 минут, время от времени прокручивала браузер, потом нажала 2 щелчком и поползла в левый угол =\
Глюком мыши это быть неможет, т.к. когда я её двигаю диод в ней загорается, и клики работают, и сама она кликать и прокручивать да ещё и ползать неможет, надо ловить эту х*ень из Drivers, только я незнаю как...
Мдааа...
В общем ничего у нас с вами не получится
Пойду винду сносить, потомучто это уже вобще кошмар...
И скорость интернета с 6 мегабит до 3-4 упала, но фаер (Outpost) ничего невидет, хотя я когда сижу в Vmware он его траффик тоже не ловит, тоесть его всётаки можно обойти...
=====
Как броться с машью - я нащёл, надо нажать Ctrl и её отпускает Пользуйтесь у кого такиеже проблемы
Последний раз редактировалось userN; 23.04.2009 в 16:54.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: