PDA

Просмотр полной версии : Система тормозит



ivan
08.02.2006, 12:01
Столкнулся с такой проблемой. Неделю, две назад проверялся на вирусы с помощью касперского - нашел кое-какое добро и плюс вирус Trojan.Downloader.6177 в winlogon.exe. Файл этот я заменил на чистый.
Со вчерашнего дня система начала тормозить, особенно при работе в с папками и файлами. Проверка на вирусы NOD32 ничего не дала, однако virustotal.com засек в винлогоне опять туже заразу. Кроме того, вчера диспетчер процессов в AVZ засек замаскированный процесс. Сегодня утром в безопасном режиме с откл. сетью проверил ПК AVZ и NODом - ничего. В общем высылаю логи.

Geser
08.02.2006, 12:47
Логи сделаны в обычном режиме или в безопасном?

ivan
08.02.2006, 12:53
Режим обычный, при чем винлогон не вылечен.

Geser
08.02.2006, 13:07
C:\WINDOWS\system32\RAinit.dll
C:\WINDOWS\System32\rtcres.dll
C:\WINDOWS\System32\spool\PRTPROCS\W32X86\RAproc.d ll
System32\drivers\A4SII300.SYS
System32\Drivers\kpem.SYS
System32\DRIVERS\ramirr.sys
C:\WINDOWS\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C 281A4A264.exe

Перечисленные файлы нужно прислать на проверку. А система может тормозить потому что остались хвосты от Нортона

ivan
08.02.2006, 13:22
Файлы пришлю. а что касается нортона, то ПК стоит на работе, в сети, ну соответственно всем поставили симантек. А ввиду его очевидной бесполезности, я просто его отрубил до лучших времен и поставил нод. Торможение началось еще при нортоне.

Geser
08.02.2006, 13:32
Жаль что не сохранились логи когда АВЗ обнаружил замаскированный процесс.

AndreyKa
08.02.2006, 14:07
Желательно выложить протокол сканирования AVZ.
---
5. Выполните сканирование системы при помощи AVZ, для этого нажмите на кнопку Пуск сразу после запуска программы.
---
Подозрение вызывает строка в логе Hijackthis
O20 - Winlogon Notify: crypt32chain- - C:\WINDOWS\

http://www.processlibrary.com/directory/files/crypt32chain/

Сможете содержимое ключа HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
экспортировать в файл и выложить?

ivan
08.02.2006, 14:31
ОК. Протокол будет как только АВЗ завершит сканирование. Что касается вчерашнего лога с замаскированным процессом - сам сейчас кусаю локти, просто не было времени вчера вплотную этим заниматься. crypt32chain - его прибивать или пока подождать результаты обследования файлов??

ivan
08.02.2006, 14:37
Забыл вставить ветвь реестра.

MOCT
08.02.2006, 15:19
Remotely Anywhere сами ставили?

ivan
08.02.2006, 15:23
Вот результат сканирования. Нет, но пк достался в наследство, поэтому может предыдущий хозяин, либо админы.

MOCT
08.02.2006, 15:26
Вот результат сканирования. Нет, но пк достался в наследство, поэтому может предыдущий хозяин, либо админы.
ну так выясните! RA позволяет удаленно управлять компьютером.

ivan
08.02.2006, 15:28
Уже выяснил - админы тут непричем...

MOCT
08.02.2006, 15:37
Уже выяснил - админы тут непричем...
ну так сносите его, раз сами не пользуетесь.

пофиксите в HijackThis строки:
O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)
O23 - Service: Service - Unknown owner - C:\WINDOWS\System32\Service.exe (file missing)

да еще у Вас Симантек и Нод на одной машине живут. Симантек лучше выкинуть.

после перезагружайтесь и проверяйте свои ощущения :-)

лог AVZ можно повторить, только выгрузите из памяти всякие там ворды, эксели, куипы (собственно как и сказано в ПРАВИЛАХ), а то в глазах рябит

AndreyKa
08.02.2006, 16:17
Строку
O20 - Winlogon Notify: crypt32chain- - C:\WINDOWS\
в Hijackthis можно пофиксить - это мусор оставшийся после зачистки.

ivan
08.02.2006, 16:45
RA - там где он должен быть согласно отключенному процессу в msconfig не обнаружен, видать снесли его и осталась от него одна дллка. С симантеком сложнее - стоит пароль на удаление, узнать его не получится. Я все его процессы отключил, но почему то висит в списке авз длл нортоновская, ее можно как нибудь отключить? После перезагрузки - та же песня, тормоза жуткие, минут на 2-3 - все просто замирает. При запуске проводника или панели управления, все также замирает на какое то время. При чем это началось до установки НОДа. Так что 2 антивируса вместе не при чем. Вот лог без мусора, и после фикса хайджеком.

ivan
08.02.2006, 16:47
Вот лог, забыл прилепить

MOCT
08.02.2006, 18:44
RA - там где он должен быть согласно отключенному процессу в msconfig не обнаружен, видать снесли его и осталась от него одна дллка.
там была не одна DLL от RA, а три файла (среди присланных):
C:\WINDOWS\system32\RAinit.dll
C:\WINDOWS\System32\spool\PRTPROCS\W32X86\RAproc.d ll
C:\WINDOWS\System32\DRIVERS\ramirr.sys

еще у Вас есть руткитоподобное C:\WINDOWS\System32\Drivers\kpem.SYS
возможно его выгрузка поможет.

и еще пришлите файл mksicon.dll (искать нужно из AVZ)

ivan
09.02.2006, 12:27
mksicon.dll находится в списке авз среди расширений проводника, однако при добавлении его в карантин он там не появляется. Поиск этого файла через авз или через штатный поиск ничего не дает. kpem.sys я проверял на вирустотале - результат опять нулевой ничего в нем не обнаружено. Сейчас попробую его переименовать и проверить что будет.

Geser
09.02.2006, 12:28
mksicon.dll находится в списке авз среди расширений проводника, однако при добавлении его в карантин он там не появляется.
А если поискать в защищённом режиме?

MOCT
09.02.2006, 12:38
mksicon.dll находится в списке авз среди расширений проводника, однако при добавлении его в карантин он там не появляется. Поиск этого файла через авз или через штатный поиск ничего не дает.
надеюсь противодействие руткитам было включено?

в любом случае, выкинуть этот файл из расширений проводника не помешает, ибо проблемы у Вас при работе с проводником, а этот файл однозначно получается странный

ivan
09.02.2006, 13:29
В защищенном - то бишь в безопасном? Если да, то тоже ничего не находится, хотя авз его нисмотря ни на что отмечает его.

agnec
09.02.2006, 22:10
если с livecd загрузиться, то должен найтись ;)

MOCT
09.02.2006, 22:13
если с livecd загрузиться, то должен найтись ;)
ну откуда нормальному юзеру взять livecd???

agnec
09.02.2006, 22:35
1. купить готовый (типа "загрузочный с антивирусами")
2. качнуть с инета (образ найти не проблема)

MOCT
09.02.2006, 22:40
1. купить готовый (типа "загрузочный с антивирусами")

не все диски одинаково полезны.
тем более с древними антивирусами.



2. качнуть с инета (образ найти не проблема)
100-600mb? и кто будет столько качать?
нет, это все фантастика.

agnec
09.02.2006, 23:55
каюсь, халявный инет по выделенке меня испортил ;)
значит остается купить :)

MOCT
10.02.2006, 00:36
каюсь, халявный инет по выделенке меня испортил ;)
значит остается купить :)
а я веду к тому, что надо как-то решать проблемы подручными средствами

ivan
10.02.2006, 09:06
Есть BartPe - подойдет? или лучше че нибудь из линукса? Кстати, сейчас проверяюсь rootkitrevealer, при проверке найден запрятанный ключ реестра. По названию его я вышел на один файлик sys в системной директории. Может быть имеет смысл его тоже отправить для проверки?

MOCT
10.02.2006, 09:21
Есть BartPe - подойдет?

да



Кстати, сейчас проверяюсь rootkitrevealer, при проверке найден запрятанный ключ реестра. По названию его я вышел на один файлик sys в системной директории. Может быть имеет смысл его тоже отправить для проверки?
конечно присылайте

ivan
10.02.2006, 11:49
mksicon.dll в барте тоже не нашелся. А не может быть такого что он был удален и о нем осталасть только запись где-нибудь в реестре? Что касается RootkitRevealer, то он нашел 2 ключа в реестре, которые не видны в редакторе реестра, как их можно удалить? Кроме того, он нашел в папках с кэшем экплореровским скрытые файлы, я их в барте удалил и плюс - заменил винлогон зараженный на чистый, посмотрим что с ним дальше будет.

ivan
10.02.2006, 13:03
Интересное дело - не прошло и пару часов, а чистый винлогон опять заражен этой дрянью - называется у касперского Trojan.Win32.Agent.gq. Причем в инете я не лазил, видать что-то с пк его подгружает. То что NOD промолчал значит ли что его отрубили?

MOCT
10.02.2006, 13:13
Интересное дело - не прошло и пару часов, а чистый винлогон опять заражен этой дрянью - называется у касперского Trojan.Win32.Agent.gq. Причем в инете я не лазил, видать что-то с пк его подгружает. То что NOD промолчал значит ли что его отрубили?
пришлите его на просмотр

ALEX(XX)
10.02.2006, 13:48
То что NOD промолчал значит ли что его отрубили?

То, что пришло - по НОД Win32/Agent.NAI. Возможно настройки НОД не соответствуют необходимым, выставьте уровень защиты на максимум. Возможно НОД не фунциклирует.

ivan
10.02.2006, 13:59
При установке я изменял умолчальные установки на самые максимальные.

ALEX(XX)
10.02.2006, 14:03
Хм. Дело в том, что у меня при максимальных настройках НОД грохает эту заразу.

ivan
10.02.2006, 18:38
Видимо дело в том, что я вынужден был поставить NOD на зараженную систему.