Показано с 1 по 16 из 16.

Последствия зловредов или кривые руки? (заявка № 47997)

  1. #1
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28

    Thumbs up Последствия зловредов или кривые руки?

    Вечер добрый
    Цель моего запроса - выяснить: являются ли нижеописанные неудобства следствием бурного троянского прошлого или просто надо сменить прокладку между компом и креслом.

    Появившиеся глюки:

    1. Всегда. Как-то вдруг стал заметно тормозиться вызов окна с выбором принтеров (лабуда, которая вызывается нажатием Ctrl+P, в любом приложении) - приходится ждать значительно дольше прежнего.

    2. Время от времени. При отправке документа на печать иногда на принтер отправляется непонятно большой объем трафика (например, 200+ МБ при печати документа объемом в 1МБ)

    3. Всегда. В браузере (использую исключительно Firefox) тормозит окно с выбором файлов для аттачмента.

    4. Время от времени. При обращении к страницам, использующим php, вместо загрузки страницы выскакивает предложение сохранить php-файл. Вообще, не уверен, стоит ли этот момент рассматривать, т.к. у нас плохая связь, с большой патерей пакетов.

    Система, условия работы:

    XP Home, SP3. Обновления могу приносить только из дома (трафик дорогой). Браузер - Firefox 3.0.11. Постоянно загружены: браузер, ОпенОфис, 1С:Предприятие.
    Антивирь: Комодо.

    Принтеры, установленные в системе: Samsung 2540, Brother MFC 7420

    Троянское прошлое:

    Живность принесли на флешке мобилки еще в начале года. Определилось Др.Вебом Trojan.MulDrop.6474 (файлы autorun.inf и m1t8ta.com в корневых каталогах всех дисков, локальных и сменных, и файлы amvo.exe в системных папках, включая Restore)
    Trojan.Downloader, не помню, увы, какой. Прописался в системных папках, включая Restore.
    Последствия: блокировка regedit, блокировка изменений свойств папки, запрет показа скрытых файлов. Почему-то зараженные флэшки открываются автозапуском, несмотря на запрет последнего для сменных носителей.
    Итог: заразу срезали в безопасном режиме с помощью CureIt! и AVZ. С помощью AVZ восстановили настройки системы.

    В настоящее время систему иногда посещают бедствия в лице приходящего бухгалтера или начальника, сующих свои флэшки. Так что вышеописанные трояны периодически всплывают снова и, в случае везения, срезаются Комодо.

    Собственно вот.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\F8CC042A.exe','');
     DeleteService('F8CC042A');
     DeleteService('A9AC55D5');
     QuarantineFile('C:\WINDOWS\system32\A9AC55D5.exe','');
     DeleteService('D767B450');
     QuarantineFile('D767B450.sys','');
     QuarantineFile('6791D326.sys','');
     DeleteService('6791D326');
     DeleteFile('6791D326.sys');
     DeleteFile('D767B450.sys');
     DeleteFile('C:\WINDOWS\system32\A9AC55D5.exe');
     DeleteFile('C:\WINDOWS\system32\F8CC042A.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    Карантин пустой, в списке файлов ничего нет. Скорее всего, Комодо на эти файлы когда-то среагировал, а я без задней мысли их удалил, и остались только прописанные сервисы -__-.

    Следует заметить, что после первой установки и обновления базы, Комодо не обнаружил ничего подозрительного (а неполадки в системе начались до установки антивируса). Реакции были позже (на флэшку начальника с очередным выводком ранее описанного Trojan.Muldrop).

    Логи. Скрипт №3 AVZ завершать отказался, вылетев с ошибкой. Переустановка, с обновлением базы, не помогла. Так что прилагаю, что получилось.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Отключите автозапуск, как написано в разделе "Чаво".

    Повторите для порядка логи, сделав их при помощи AVZ из моей подписи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    Сделано. Если, конечно, я правильно все понял


    P.S. Причина предложений сохранить php, видимо, все же в плохой связи: когда антенну ветром не шатает, и больших потерь пакетов нет, страницы открываются вполне "штатно"
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для порядка подчистим:
    Код:
    begin
     DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
     DelCLSID('201f27d4-3704-41d6-89c1-aa35e39143ed');
     DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
    ExecuteSysClean;
    end.
    Повторите 2-ой станд. скрипт.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    AVZ из Вашей подписи показывает наличие в карантине файла system32\guard32.dll "Подозрение на keylogger или троянскую DLL"
    Прислать карантин или не обращать внимания?

    (добавлено)

    Это относилось к прошлому моему сообщению

  9. #8
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    Сделано

    P.S. Окно аттачмента перестало тормозить, сохраняется пока что заторможенность с вызовом окна печати
    Вложения Вложения
    Последний раз редактировалось Wiesel; 16.06.2009 в 14:16.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от Wiesel Посмотреть сообщение
    AVZ из Вашей подписи показывает наличие в карантине файла system32\guard32.dll "Подозрение на keylogger или троянскую DLL"
    Прислать карантин или не обращать внимания?
    Нет, не надо. Это от Comodo.

    Добавлено через 1 минуту

    Я более ничего плохого не вижу.
    Последний раз редактировалось PavelA; 16.06.2009 в 14:24. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    То есть причина тормозов с печатью кроется уже или в настройках или драйвера не хотят ставиться по Фэн Шую. Жаль-жаль, специалист из меня тут, мягко говоря... >.<

    Но по крайней мере сама система стала немного пошустрее. Аттачменты в браузере, опять-таки, не тормозят, что уже радует. Так что спасибо, что уделили мне время

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    c:\program files\brother\controlcenter2\brctrcen.exe - через AVZ Менеджер автозапуска отключить и попробовать печатать.
    Бывает, что всякие примочки от принтеров тормозят.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    Увы, не особо помогло. В Офисе и блокноте тормозит только первый вызов печати, в 1С и браузере - каждый раз
    В общем, даже без понятия, где я не так (или не там) молотком стукнул...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Один из принтеров - сетевой скорее всего. Он какой - автоопределенный или установленный?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    Кстати, возможно. Проверю завтра. Про это я как-то и забыл. Подобие сети у нас есть. Интернет встал сразу, файлообмен скрутил фигу. А вот печать, кажется, избирательно работала. Возможно, я просто один из принтеров, отключив от своей машины, подключил к другой, а драйвера естественно установлены на все, что шевелится.

    Что в этом случае? Удалить из системы все принтеры, которые не подключены непосредственно к моей машине (тем более, что с моего места необходимости в сетевой печати больше нет)?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Попробуйте. Раз сетевая печать не нужна, то хуже не будет. И вообще лишние сущности мешают.

  17. #16
    Junior Member Репутация
    Регистрация
    05.06.2009
    Адрес
    Krasnodar, Russia
    Сообщений
    105
    Вес репутации
    28
    Собственно, так и есть. Убрал лишнее - и печать стала включаться моментально. В общем, вам, господа, большое спасибо. В настоящее время проблем по сабжу не наблюдается. Надеюсь, конечно, что не скоро придется тратить ваше время снова Хотя с приходящим бухгалтером и директором, который до сих пор свой домашний компутер не почистил, это все надежды
    Так или иначе, тему с рекомендациями я прочитал, постараюсь их выполнить.

  • Уважаемый(ая) Wiesel, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. updatessys и мои кривые руки [Trojan-Ransom.Win32.Cidox.sfx ]
      От Pantagruel в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 27.07.2012, 13:53
    2. Ответов: 8
      Последнее сообщение: 31.01.2011, 13:38
    3. Банер + Кривые руки = Прошай интернет
      От FryReadfield в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 04.05.2010, 00:12
    4. Самодеятельность или кривые руки))
      От hammmer1982 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 06.02.2010, 23:05
    5. Вирь или кривые руки?
      От Elite в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.02.2010, 01:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01283 seconds with 22 queries