Показано с 1 по 3 из 3.

Бешенный Проводник (заявка № 114386)

  1. #1
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    3
    Вес репутации
    29

    Бешенный Проводник

    Помогите разобраться в такой беде. Извините за долгую историю, но придётся откатиться назад. <br>Стал замечать, что в браузере иногда начинал помигивать курсор, затем на ссылках появляются частично выделенные элементы (одна-две буквы) без срабатывания ссылки. Далее перестаёт двигаться линейка протяжки в окне и далее - полная потеря управления. Невозможно ничего закрыть, работает только кнопка свёртывания окна браузера (Опера 11.60). Зато начинают самопроизвольно открываться все ссылки, содержащиеся в экспресс-панели и закладках. Попытка заблокировать трафик или прочие операции с Каспером приводят к открыванию Менеджера лицензий и попытке снести ключ, KIS11 при этом серел и впадал в кому. При этом не работают Диспетчер задач и контекстные меню по ПКМ. Зато всё, что рядом с курсором - открывается в десятках экземпляров. Причём расширение файла не имеет значения. Всё это приводит к загрузке процессора и зависанию системы. Бипер сигналы в системнике подаёт. Адекватная реакция наступает только в случае выдёргивания модема при первых признаках "приступа". Вот тут начиналось самое интересное. На глазах поочерёдно закрывались десятки экземпляров открытых окон (самостоятельно), зато окна открытых страниц авторизации на форумах и Сервис-Гид от Мегафон - открывались снова многократно. Тут же вылазит сообщение об ошибке (нет сети) - и ярлычок открытой вкладки менял цвет на Оперскую страницу Ошибки. Вот по цвету и ориентируешься. После успокоения все открытые в одном экземпляре вкладки легко закрывались. Восстанавливалась управляемость и в Проводнике. Чистки и сканирования, обновления ничего не дали. CureIt! нарыл несколько заражённых файлов Troian Exploit, Troian Backdoor в старых точках восстановления, всё почистил. Эффект остался, причём работа браузера и наличие инета совершенно не влияло на бешенство Проводника. Привязать к чему-то конкретно эффект не удалось. Если порыться, я могу даже логи тех времён нарыть. Потом стали появляться признаки бут-вируса, что ли - частые ошибки с ростом бэдов при chckdsc. Самое интересное - стали появляться предупреждения от Каспера, что некоторые файлы ИЗМЕНЕНЫ и предлагать их блокировку, на что я ответил ограничением прав этих программ. Изменены: Opera.exe,AVZ.exe,gmer.exe, RSIT.exe и ещё пара неважных вещей, которые пылились без дела. Смущало то, что эти заявления я не смог найти в журнале. Естественно, снёс указанное и скачал с офсайтов снова. Затем стал хиреть Каспер, как-то нелепо быстро обновляясь. АВЗ вообще считал, что обновлений нет. Стали появляться BSOD'ы. Причём перемещёнными куда-то оказывались файлы обновления Каспера. В результате он умер, восстановление и переустановка не помогли. После падения системного диска в RAW и попыток спасти данные система была установлена заново с полным форматированием. Соответственно - программы тоже поставлены заново, даже закладки и прочее погибло - так что всё должно быть чистым. Певым делом был поставлен КИС12, обновлён. Затем - АВЗ с обновлением и полным сканированием. Хиджаком и Каспером так же прошёл полностью. Ничего не нашлось. А эффект появился снова. Система поставлена с другого совершенно дистрибутива, так что всё стало непонятным. LiveCD Dr.Web нарыл только безобидные кряки. Когда появились некоторые изменения в бешенстве Проводника (возможность открытия Диспетчера задач по Ctrl+Alt+Del с вводом задачи на запуск Хиджака или АВЗ) В логе Хиджака обнаружилась новая незнакомая запись типа "O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall ,0 (User 'LOCAL SERVICE') ". Дрянь эта фиксилась только после второго фикса. Похоже, что сам CTFMON.EXE в этой же ветке ключа S-1-5-19 подвергся модификации - потому как эффект появлялся после перезагрузки. Файл custom.inf не трогал, хотя там про этот ZZZZ упоминается. Думал, что достаточно выковырять весь изюм из rundll32.exe advpack.dll, но оказалось, что Проводник бесится даже при "чистом" логе!!! Куда рыть, люди?!
    PS: не знаю, как систематизировать вложения. Логи Хиджака идут так - первый просто лог, далее - после первого фикса и после повторного. По данным лога АВЗ был запущен скрипт по мелким недостаткам-уязвимостям.
    Вложения Вложения
    Последний раз редактировалось cadrovic; 29.12.2011 в 20:11.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) cadrovic, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    11.01.2010
    Сообщений
    3
    Вес репутации
    29
    Упоминания о ZZZZ встречаются даже в архивах форума за 2008-9 годы, но без особого развития в вопросах. Если это старая зараза - почему свежий КИС её не ловит? Есть ещё одно наблюдение - бесится всё при запуске системы или смене пользователя, выходе из ждущего режима. Длится около 5 минут. Время до появления повторных корчей во время работы не засекал, не могу сказать. Но напрягает очень Особенно при работе в браузере с открытыми авторизованными страницами. Потому как трафик бешенный и неудержимый, кроме зверского выдирания модема - больше ничем...
    Ещё подробности - появился автовход в учётную запись пользователя, выключавшего комп. Через 5-7 минут работы - перезагрузка. Свежий лог:
    Вложения Вложения
    Последний раз редактировалось cadrovic; 30.12.2011 в 06:26.

  • Уважаемый(ая) cadrovic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не работает проводник
      От Елена Мит. в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 13.01.2012, 15:29
    2. Проводник
      От Vit234 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 24.06.2010, 08:27
    3. Проводник вылетает
      От Raider в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:42
    4. Ответов: 9
      Последнее сообщение: 12.05.2008, 13:23
    5. Проводник
      От joniscoolkz в разделе Microsoft Windows
      Ответов: 2
      Последнее сообщение: 19.07.2007, 14:22

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01413 seconds with 17 queries