Показано с 1 по 12 из 12.

Тормозит комп, глючит по-чёрному, ушёл в ребут. (заявка № 13519)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    53

    Question Тормозит комп, глючит по-чёрному, ушёл в ребут.

    Доброго здоровья!

    С последней ситуации (http://virusinfo.info/showthread.php?t=13095) мало, что изменилось. Скорее стало только хуже: окна открываются долго, некоторые файлы переносятся или стираются тоже долго. Папки с этими файлами переносятся быстро. С сайта maxwarez.ru в корень диска С: (и не только с него) пишется всякая гадось, иногда вызывая ошибки эксплорера. Сейчас, например, после загрузки этого сайта создалось 2 файла ехе. Эксплорер выдал ошибку. Перенос в другой раздел диска этих файлов тоже тормозит. Переименование расширения одного из них тоже тормозит в отличие от переименования другого. NOD32 27 со свежими базами молчит, однако некоторые антивирусы из http://www.virustotal.com вирищат о наличии вируса (кстати тот, что долго переименовывался ..ОП-ПА!! "Сканер остановлен в данный момент..." - такое впервые там! 14 из 31 !! Nod32 - прочерк). Полная проверка в режиме защиты от сбоев свежим CureIt ничего не показала. Вдруг перестаёт запоминать текущий язык в окне драйвер клавиатуры, приходится постоянно переключать заново. Такое впечатление, что оперативка глючит! Но я проверял её созданием и тестированием большого архива RAR. Всего не упомнишь! Не открываются (виснет или просто пытаются открыться как обозреватель файлов) файлы "mht" А недавно, что и вывело из себя окончательно - ушла в "холодный" ребут. (может питание, БП "дохнет"?) Присылаю ВАМ отчёты по правилам.
    Если там всё чисто - жду от ВАС рекомендаций по тестированию железа (софт, методы...)
    СТРАННО! А сейчас всё не тормозит и ВСЁ БЫСТРО открывается! пока... Так и в прошлый раз было: только похвалил - заглючило ((((
    Но.. чудес не бывает?
    Жду ответа!
    Спасибо!

    ПС: винт MHDD проверял. Цветных квадратиков нет ))
    Последний раз редактировалось serjga; 22.06.2009 в 14:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    в логах ничего плохого не видно.
    http://virusinfo.info/showthread.php?t=10387 - сделай лог в Safe Mode.

    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe - вот только это смущает. Есть этот файл на диске или нет.

    Сейчас, например, после загрузки этого сайта создалось 2 файла ехе.
    - что за файлы? Через AVZ загрузи в карантин и пришли.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    53
    Цитата Сообщение от PavelA Посмотреть сообщение
    в логах ничего плохого не видно.
    http://virusinfo.info/showthread.php?t=10387 - сделай лог в Safe Mode.

    - вот только это смущает. Есть этот файл на диске или нет.

    - что за файлы? Через AVZ загрузи в карантин и пришли.
    Лог высылаю. только после первого пункта выдала ошибку:
    Выполняется стандартный скрипт: 1. Поиск и нейтрализации RootKit UserMode и KernelMode
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    Ошибка обмена с драйвером [00000002] - [1]
    1.4 Поиск маскировки процессов и драйверов
    Поиск маскировки процессов и драйверов завершен

    так и надо?
    Файла C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe там нет. Есть 2 лога и *.tlb. В логах ссылки на него тоже нет.
    Файлы загрузил в карантин и прислал. Я выше писал, что мой и "сайтовый" NOD32 на них молчит, другие - ругаются.
    Если и сейчас всё нормально - что делать дальше?
    Жду ответа.
    Спасибо!
    Последний раз редактировалось serjga; 22.06.2009 в 14:52.

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от serjga Посмотреть сообщение
    Файла C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe там нет. В логах ссылки на него тоже нет.
    Жду ответа.
    Спасибо!
    в Hijacke виден этот файл, как сервис.

    в посл. логе тоже. Если его нет, то \Microsoft.NET\Framework надо деинсталлировать или просто удалить этот сервис. Кстати, из-за отсутствия его могу глючить супер модные программы.

    на первый файлик ругнулся только Ikarus T3.1.1.12 2007.10.25 Virus.Win32.Zapchast.DA , AVG, Sophos
    может это остатки от уже удаленных, или он появился после лечения.

    А второго очень многие знают и подозревают что это ПИНЧ. Единственное, что радует, что этих ехешников не видно в логах. Значит, они не активны.
    Последний раз редактировалось PavelA; 25.10.2007 в 11:32.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    53
    Framework недавно деинсталлировал. Каталог значит остался. Как удалить сервис? Супер модных программу меня нет пока. Ресурсов не хватает да и нет пока надобности.
    "на первый файлик ругнулся только Ikarus T3.1.1.12 2007.10.25 Virus.Win32.Zapchast.DA , AVG, Sophos
    может это остатки от уже удаленных, или он появился после лечения."
    Это НЕ остатки после лечения! Во время лечения ВООБЩЕ не было ничего найдено! Файлы появились, повторяю, после загрузки страницы! И ругнулся на ошибку эксплорер на ЭТОТ файл! Дальше я всё описал.
    Если их нет в логах, что тогда делать с тачкой?
    Что дальше?
    Жду ответа!
    Спасибо!

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    удаление сервиса:
    Код:
    begin
    BC_DeleteSvc('aspnet_state');
     BC_DeleteFile('C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe');
    BC_Activate;
    RebootWindows(true);
    end.
    С какой страницы поймал? Адрес напиши.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    53
    выполнил скрипт - перезагрузка без спросу... 2 часа закачки файла.. непосланное письмо Вам... блинннн...

    Ладно! Теперь папку Windows\Microsoft.NET можно стереть? Ничего там не надо?

    Файлы те поймал с ццц.maxwarez.ru вроде бы. Я в первом сообщении писал. Сча проверяю ещё один сайт, может там... может я ашЫпся..

    Так что дальше с тачкой делать?
    Я уже и в прошлой теме спрашивал!
    Жду ответа!
    Спасибо!

    Добавлено через 1 час 1 минуту

    ТОЧНО! maxwarez.ru !! Я его сча ещё раз загрузил, сначала вылезло окно .. не знаю, как это называется, когда двигаешь страницу, а оно ползёт всё время в центре и на нажатие "Закрыть" открывается какая-то хрень в другом окне. Сча я на нём нажал правую кнопку->свойства - там страница html и адрес сайта maxwarez.ru - ВСЁ! В корне диска С тот маленький uuse.exe, перенёс его на D: А окно тем временем повисло (так пока и висит)
    Отвечаю на сообщение в QIPе, окошко: "wgte.exe - обнаружена ошибка. приложение будет закрыто.." и тд..
    В корне С: wgte.exe 56кб - другой файл, который НЕ ПЕРЕНОСИТСЯ, а только копируется на D:
    Закрыл окно об ошибке - файл wgte.exe смог удалиться с диска С.
    Вот так!
    Так же было ДО моего письма к Вам. Файлы те же, только с другими именами. Накажем пацана?
    Другие такие же приёмы ЧЕСТНО только порнуху открывают! Никаких заражений!

    Кстати, вот опять: большой перенёсся быстро, а маленький - машина тормознула секунды на 2-3. Значит занят? Как проверить? Маленький из этой пары тормозит при переносе с каталога в каталог.

    Добавлено через 7 часов 53 минуты

    А это нормально, что во время закачки файла эксплорером, когда переменная окружения TMP и временные файлы интерента расположены на другом разделе, не по умолчанию, создаётся копия закачиваемого файла в каталоге %TMP%, таким образом дублируя закачиваемый файл во временной папке интернета?
    Последний раз редактировалось serjga; 25.10.2007 в 22:04. Причина: исправлена грамматическая ашыпка

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    У вас талант , совсем свежих прислали. Где они лежали в компе ?
    eqvo.e_e - Trojan-Downloader.Win32.Agent.eob,
    zyid.e_e - Trojan-PSW.Win32.LdPinch.dym

    Удалить их собственно и менять пароли , пинчи воруют пароли.

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    53
    Цитата Сообщение от drongo Посмотреть сообщение
    У вас талант , совсем свежих прислали. Где они лежали в компе ?
    eqvo.e_e - Trojan-Downloader.Win32.Agent.eob,
    zyid.e_e - Trojan-PSW.Win32.LdPinch.dym

    Удалить их собственно и менять пароли , пинчи воруют пароли.
    Чтобы заново тему не переписывать, предлагаю самому прочитать ибо было написано уже аж ДВА раза::
    http://virusinfo.info/showpost.php?p=144812&postcount=1
    http://virusinfo.info/showpost.php?p=144878&postcount=4
    http://virusinfo.info/showpost.php?p=144878&postcount=6
    Добавлено через 2 минуты

    http://virusinfo.info/showpost.php?p=144930&postcount=7

    Добавлено через 6 минут

    Я как раз спрашивал по этому поводу: ЧТО ДЕЛАТЬ ДАЛЬШЕ? И опять новому вошедшему модератору надо объяснять всё заново! Сколько можно по кругу, господа великие мудрецы? Там же всё разжёвано! ДО мелочей!

    Добавлено через 39 минут

    Ну, вот: старался, писал, описывал подробно всё, а ответа опять нет. Только постоянно одинаковые вопросы. Или я что-то не так понял? Ответ будет? Пока ничего не делал с системой, не перегружал, не чистил заново (ибо не находит ничего). Как описал выше, так и есть. Только хожу по НЕТу, читаю, ищу, аськаюсь.... и ЖДУ ОТВЕТА!
    Спасибо!
    Последний раз редактировалось serjga; 26.10.2007 в 09:48. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Про сайт ответ экспертов:
    Там набор сплоитов айспак. В случае пробива - загружается и запускается троянский загрузчик - Trojan-Downloader.Win32.Agent.eob по классификации ЛК.
    Ссылка на загрузку самого трояна:
    _http://host*.php
    Последний раз редактировалось Alex_Goodwin; 28.10.2007 в 01:46.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2007
    Адрес
    Щербинка
    Сообщений
    520
    Вес репутации
    53
    А как узнать: пробило меня или нет? NOD32 не реагирует на эти пришедшие в корень диска файлы! И в логах, вы говорите, чисто!
    Жду ответа!
    Спасибо!

    Добавлено через 8 минут

    Классификации ЛК? Лаборатории Касперского?
    У меня ничего не стоит, кроме NOD32, который не видит в этих файлах вирусов. Почему меня тогда не "пробили", если в логах чисто?

    Добавлено через 5 минут

    И, если меня НЕ "пробили", то почему операции с одним из файлов тормозят?

    А вот недавно перестал проигрываться файл WMA, LightAllow сказал, что не найден кодек звуковой. Перегрузил тачку - стал проигрываться, только.. встаёт изображение. Двинешь ползунок положения просмотра - пойдёт изображение, потом опять встанет.
    Последний раз редактировалось serjga; 27.10.2007 в 11:05. Причина: Добавлено

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\temp\\virus!!!\\test\\eqvo.e_e - Trojan-Downloader.Win32.Agent.eob (DrWEB: Trojan.Packed.194)
      2. d:\\temp\\virus!!!\\test\\zyid.e_e - Trojan-PSW.Win32.LdPinch.dym (DrWEB: Trojan.PWS.LDPinch.430


  • Уважаемый(ая) serjga, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ребут
      От RandolEth в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 28.10.2010, 14:06
    2. ребут
      От Elpachunibrey в разделе Microsoft Windows
      Ответов: 23
      Последнее сообщение: 08.01.2010, 20:03
    3. ребут
      От Elpachunibrey в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 04.01.2010, 11:55
    4. Тормозит комп ООООчень тормозит
      От SergT в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 04.01.2010, 10:40
    5. Комп уходит в ребут...
      От vurdalaG в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.03.2009, 20:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01546 seconds with 16 queries