Аномалии в отображении элементов "Моего компьютера"
1. Проблема поиска элементов в диалоговом окне "Мой компьютер". При активизации значка на Рабочем
столе появляется диалоговое окно, в статусе - строка "Поиск элементов...", привычные значки (в т.ч.
приводов, жестких дисков, прочих накопителей) не отображаются несколько минут. При этом "поиск элементов" может сопровождаться одним из следующих или всеми явлениями сразу:
а) если запустить "Диспетчер задач", отобразить вкладку с графиком загрузки центрального процессора, загрузка колеблется на уровне 70-100%, при этом во вкладке "Процессы" того же Диспетчера задач ни один процесс не занимает столько ресурсов;
б) если вставить usb-флэш накопитель, то некоторое время окно диалога "Мой компьютер" отображает только соответствующий значок с возможностью его активации двойным щелчком;
в) ОС может перестать реагировать отвечать на манипуляции мышью (перетаскивание, свертка и т.д.).
2. Загрузка Windows (далее - ОС) временами осуществляется не корректно: отображаются фон Рабочего
стола (Desktop) без каких либо дополнительных элементов, а также курсор мыши, который никак не
отражает поведение жесткого диска. Проблема решается перезагрузкой ОС, иногда со второй или третьей
перезагрузки. 3. Проблема запуска некоторых приложений. Запуск WinRar 3.0, Adobe Photoshop CS2 (в т.ч. работа с
драйвером Twain), Paint и др. может зависнуть на несколько минут, при этом соответствующие программам
процессы уже запущены, что легко проверить опять же в Диспетчере задач. При этом такие приложения,
как MS Word, ACDSee запускаются без каких-либо аномалий. 4. Периодически после подключения к интернет, но при отсутствии какой-либо явной сетевой актвиности,
инициированной пользователем, видно, что осуществляет интенсивная пересылка пакетов данных (не только
входящих, но и исходящих). 5. Попытка вложения какого-либо файла через вызов контекстного меню (опция "Отправить...")
оборачивается зависанием ОС. 6. ОС больше не позволяет создавать контрольные точки восстановления системы, требуя при этом
перезагрузить компьютер и попробывать еще раз. Попытки отката к существующим точкам восстановления и
перезагрузка ОС проблему не решают. 7. Компьютер может зависнуть в момент выбора одного из специальных режимов загрузки ОС: "безопасный...", "безопасный... с поддержкой коммандной строки" и т.д. 8. Дефрагментация и проверка разделов жесткого диска теперь не доступна. Комментарий системы - "Не удалось....". 9. Пункты 1, 3, 5, 6, 8 возникли одновременно, им не предшествовала ни установка ПО, ни обновление драйверов, ни изменения в аппаратной части ПК.
Last edited by raphi; 07-12-2009 at 10:34 AM.
Reason: добавлено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49510).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
могут оказаться модулями СУБД, установленной на компьютере. СУБД - Borlas TradeX. Как, я понял, программный комплекс реализован на платформе MS Access и MS SQL Server. К серверу обращается клиентский компьютер, на котором в качестве ОС установлена урезанная Linux Red Hat. Таким образом, имеются опасения, как бы не удалились нужные для работы программы.
Опытным путем уже было установлено, что при отсутствии файла inetd.exe (в каталоге c:\\Windows\System32) не происходит обновление данных ПК-сервера на ПК-клиенте.
Карантин не изымает файлы из системы, так что не беспокойтесь, это не нарушит работу. Касаемо этих двух файлов - если точно знаете, можно убрать из скрипта строки с их упоминанием.
Карантин не изымает файлы из системы, так что не беспокойтесь, это не нарушит работу. Касаемо этих двух файлов - если точно знаете, можно убрать из скрипта строки с их упоминанием.
Еxe-файлы: c:\usr\sbin\mspool.exe c:\usr\sbin\inetd.exe
хотя и известны, но кто знает, что они не инфицированы. отсылаю "образцы" их же разработчикам - посмотрим, что скажут в Москве.
Далее - о повторной диагностике:
1. Cканировался DrWeb CureIt. Безопасный режим. В действиях утилиты указал на всякий случай исключительно "информировать". Все, что выглядело подозрительным или враждебным перенес в карантин утилиты. Вот, как выглядит его отчет:
Code:
mirc.exe;C:\_raphique\mirc631rus;Program.mIRC.623;;
mirc32.exe;C:\_raphique\mirc631rus\mirc old;Program.mIRC.58;;
mirc.exe\mirc32.exe;C:\Distr\!Messenger\mirc\mirc.exe;Program.mIRC.58;;
mirc.exe;C:\Distr\!Messenger\mirc;Архив содержит инфицированные объекты;;
mirc32.exe\mirc32.exe;C:\Distr\!Messenger\mirc\mirc32.exe;Program.mIRC.58;;
mirc32.exe;C:\Distr\!Messenger\mirc;Архив содержит инфицированные объекты;;
trademail_1.28.msi/stream001\File318;C:\Distr\Borlas\TradeMail\1.28\trademail_1.28.msi/stream001;Program.SrvAny;;
stream001;C:\Distr\Borlas\TradeMail\1.28;Архив содержит инфицированные объекты;;
trademail_1.28.msi;C:\Distr\Borlas\TradeMail\1.28;Архив содержит инфицированные объекты;;
trademail_1.30.msi/stream001\File318;C:\Distr\Borlas\TradeMail\1.30\trademail_1.30.msi/stream001;Program.SrvAny;;
stream001;C:\Distr\Borlas\TradeMail\1.30;Архив содержит инфицированные объекты;;
trademail_1.30.msi;C:\Distr\Borlas\TradeMail\1.30;Архив содержит инфицированные объекты;;
trademail_1.32.msi/stream001\File335;C:\Distr\Borlas\TradeMail\distr\TradeMail\1.32\trademail_1.32.msi/stream001;Program.SrvAny;;
stream001;C:\Distr\Borlas\TradeMail\distr\TradeMail\1.32;Архив содержит инфицированные объекты;;
trademail_1.32.msi;C:\Distr\Borlas\TradeMail\distr\TradeMail\1.32;Архив содержит инфицированные объекты;;
posxlic.exe;C:\USR;Модификация BackDoor.Generic.1382;;
aliserv3.sys;C:\WINDOWS\system32\drivers;Trojan.Packed.2479;;
Создал архив с набором вышеуказанных файлов. Если требуется, вышлю.
2. Карантинный файл AVZ, который Вы запрашивали, отправляю повторно, но уже без спорных mspool.exe, inetd.exe. Жду Ваших комментариев.
p.s.
Originally Posted by Bratez
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Просьба - уточнить, какие именно логи. С логом CureIt все понятно - это вроде пункт 2ой, а вот в 3ем пунке про логи AVZ речи не ведется. Возможно, я не так понял рекоммендации.
Добавлено через 38 минут
Originally Posted by raphi
1. Проблема поиска элементов в диалоговом окне "Мой компьютер".
... 3. Проблема запуска некоторых приложений. Запуск WinRar 3.0, Adobe Photoshop CS2
... 5. Попытка вложения какого-либо файла через вызов контекстного меню (опция "Отправить...")
оборачивается зависанием ОС. 6. ОС больше не позволяет создавать контрольные точки восстановления системы 8. Дефрагментация и проверка... диска теперь не доступны...
...
Кстати, все эти симптомы перестали проявляться после повторной диагностики.
Однако остается сам факт странной сетевой активности (пункт №4 поста). Вот пример такой активности (пресечена и выявлена OutpostFirewall 9 Trial):
Просьба - уточнить, какие именно логи. С логом CureIt все понятно - это вроде пункт 2ой, а вот в 3ем пунке про логи AVZ речи не ведется. Возможно, я не так понял рекоммендации.
Все очень просто.
Открываем правила и читаем:
Диагностика
... 2. Подключитесь к сети Интернет, запустите AVZ*. Вновь откройте меню "Файл"=>"Стандартные скрипты" и отметьте теперь пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
Добавлено через 1 час 35 минут
From: Коваленко Алексей [mailto:[email protected]]
Sent: Thursday, July 09, 2009 3:57 PM
Subject: RE: TradeX:hotline: безопасность программных модулей TradeX
Добрый день!
Рекомендуется проверить данные файлы другим антивирусом.В файлах присланных Вами нашими специалистами проблем не обнаружено.
C уважением,
Алексей Коваленко.
Ведущий эксперт-технолог
Borlas Retail (Борлас Информационные Торговые Системы)
e-mail: [email protected]
Вот, что мне ответили по файлам:
posxlic.exe
aliserv3.sys
trademail_1.28.msi
trademail_1.30.msi
trademail_1.32.msi
mspool.exe
inetd.exe
Originally Posted by Bratez
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Прилагаю логи от 12.07.2009. С момента предыдущих логов:
- cнес Eset NOD32 (оказался малоэффективным);
- установил Avira Antivir Personal, Outpost Firewall Pro.
Last edited by raphi; 07-12-2009 at 10:28 AM.
Reason: Добавлено
Я в растерянности. Первую половину дня пытался загрузить компьютер так, чтобы без тормозов. Выглядело все так: старти Windows, попытка открыть Мой компьютер, и, о! чудо! - снова ненавистный фонарик "ищущий элементы", дальше система просто зависла. Зависания имели место при каждой перезагрузке в нормальном режиме. При этом проблем с созданием контрольных точек не возникало, как и с отключением-включением восстановления системы.
Решил, что дело в конфликте отконфигурированного Avira Antivir и Outpost Firewall. В безопастном режиме снес Avira Antivir, файрвол оставил. Перезагрузка в нормальном режиме увенчалась успехом. Элементы Моего компьютера на своих местах.
Возникает вопрос: как может антивирус нормально работать с файрволом два дня, а на третий - "пустить поезд под откос"?!
Еще раз провериться на ВИЧ?
И немного офтопа, если позволите. Вчера был в налоговой - сотрудники на ушах: говорят, что тормозят ПК, "Мой компьютер" открывается по полчаса. То же самое у кредитных инспекторов (не буду показывать пальцем на банк). Эпидемия?!
Last edited by raphi; 07-14-2009 at 12:53 PM.
Reason: добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Аномалии в отображении элементов "Моего компьютера"
Originally Posted by Bratez
