Показано с 1 по 12 из 12.

Подозрительное поведение (заявка № 72311)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28

    Arrow Подозрительное поведение

    Здравствуйте, ув. дамы и господа. С некоторых пор на машине возникли непонятные проблемы: то вдруг шрифт печатается только заглавный, то вдруг система просто наглухо зависает после 2-3 часов работы и помогает лишь Reset. Причем после Reset работает без проблем хоть 2-е суток, проверял. То перестают открываться программы (процесс в Диспетчере появляется, но весит копейки, и система задумывается). Все это сопровождается резким снижением скорости Интернет. Грешил на explorer.exe и даже восстановил его с дистрибутива (сейчас использую восстановленный как explorer2.exe). Не помогло. Проверял в безопасном режиме CureIt! и Касперским, вроде ничего не находит. Чувствую по поведению компа, что что-то не так. Но заразу нигде не видно. Помогите, пожалуйста, выкорчевать зловреда, если он есть, конечно. Заранее благодарю.
    С уважением, Вячеслав.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    - пофиксить в HijackThis
    Код:
    O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
    - выполните в AVZ скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    TerminateProcessByName('c:\windows\explorer2.exe');
    QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
    QuarantineFile('c:\windows\explorer2.exe','');
    QuarantineFile('c:\windows\explorer.exe','');
    DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
    DelCLSID('6B830884-20E3-4AB6-B672-2629F0F72071');
    QuarantineFile('spmz.sys','');
    QuarantineFile('C:\Documents and Settings\Admin\Local Settings\TEMP\ASFWHide','');
    BC_DeleteFile('spmz.sys');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    ExecuteWizard('PRT', 2, 2, true);
    ExecuteWizard('TSW', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    ...после перезагрузки пришлите карантин, воспользовавшись ссылкой вверху темы - Прислать запрошенный карантин
    Последний раз редактировалось Alex Plutoff; 26.02.2010 в 02:56.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28
    Уважаемый Alex Plutoff. Указанные Вами коды пофиксил. Скрипт выполнил, выложил как положено с паролем "virus". Хочу просто уточнить, правильно ли сделал действия: выложил архив, созданный из папки с сегодняшней датой, находящейся в AVZ в папке Quarantine. Просто размер архива получился 5,37 Мб.
    Благодарю Вас за помощь.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    Цитата Сообщение от SlavikS70 Посмотреть сообщение
    ...правильно ли сделал действия: выложил архив, созданный из папки с сегодняшней датой, находящейся в AVZ в папке Quarantine...
    - есть сомнения?..
    - см. Приложение 3. правил
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28
    Я немножко по другому делал, на всякий случай продублирую, сделав так, как сказано в Приложении 3.

    Добавлено через 2 минуты

    Кстати, ко всему прочему сейчас при просмотре видеоклипа проигрывателем jetAudio при попытке перемотки вперед или назад система выпадает в BSOD. Неоднократно.
    Последний раз редактировалось SlavikS70; 26.02.2010 в 11:53. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    Цитата Сообщение от SlavikS70 Посмотреть сообщение
    Я немножко по другому делал, на всякий случай продублирую, сделав так, как сказано в Приложении 3.

    Добавлено через 2 минуты

    Кстати, ко всему прочему сейчас при просмотре видеоклипа проигрывателем jetAudio при попытке перемотки вперед или назад система выпадает в BSOD. Неоднократно.
    - ничего дублировать нет необходимости, карантин дошёл нормально...
    - после очередного BSOD, минидамп в студию...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  8. #7
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28
    Вас понял, жду синий экран ))

  9. #8
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28
    Только что при попытке перемотать вперед опять BSOD с ошибкой 0х....8Е. Почитал, что возможны проблемы с оперативкой. Комп не пыльный, недавно чистил. Может, потестить память?
    Залил минидамп.
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    - в этот раз на лицо конфликт JetAudio.exe и ntoskrnl.exe(файл ядра ОС)
    ...возможно, проблема уйдёт после переустановки плеера.

    - а как дело обстоит с теми проблемами, из-за которых Вы к нам обратились?
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    ...возможно, проблема уйдёт после переустановки плеера.
    попробую переустановить, спасибо.


    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    а как дело обстоит с теми проблемами, из-за которых Вы к нам обратились?
    пока вроде нормально, может, нужно пару дней потестировать машину?
    Кстати, я так понял, что был какой-то зловред, да? И Вы вернули на место explorer.exe. Дело, выходит, было все-таки не в нем?

    Добавлено через 4 часа 43 минуты

    Пять мин. назад система опять наглухо зависла. Опять Reset. На момент зависания открыт только Опера, просмотр этого форума. Что с ней делать...
    Последний раз редактировалось SlavikS70; 26.02.2010 в 20:22. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    17.06.2009
    Сообщений
    32
    Вес репутации
    28
    Ошибок, по которым я обращался, более не возникает. Alex Plutoff, благодарю премного за оказанную помощь. А вот зависание продолжается. Почитал на форумах о возможных причинах. Потестил память, еще раз вычистил системник, протер контакты. Ничего. 2-3 часа работы, потом зависание, Reset и далее хоть сутки работы безе перебоев. Поэтому на электролиты не грешу. Хотя смотрел и их.

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\system volume information\_restore{98f028ef-b7c9-4da9-82a4-e6dfba35ec6b}\rp33\a0013548.exe - Trojan-Spy.Win32.Agent.bdqd ( DrWEB: Adware.Winclick.9 )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) SlavikS70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Подозрительное поведение ОС
      От BooZ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2011, 23:56
    2. KIS, Explorer подозрительное поведение
      От lumos в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 20.07.2010, 22:43
    3. Подозрительное поведение ПК
      От Genie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.06.2010, 09:45
    4. Подозрительное поведение
      От refs в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2009, 13:24
    5. Ответов: 10
      Последнее сообщение: 22.02.2009, 09:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00664 seconds with 21 queries