Показано с 1 по 9 из 9.

Мусорный процесс WinMail.exe забивает Физическую память. (заявка № 24179)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    14
    Вес репутации
    36

    Thumbs up Мусорный процесс WinMail.exe забивает Физическую память.

    В Windows Vista 64 bit после выбора аккаунта и входа появляется фоновое изображение Рабочего стола, и система висит в таком виде с работающим HDD. Сначала не понял, в чём дело, потом запустил Диспетчер задач (ДЗ), в котором оказалось больше 3200 процессов WinMail.exe размерами от 152 КБ до 1500 КБ. При этом ДЗ показывает загрузку Физической памяти (ФП) на уровне 90-93%%. Соответственно, все остальные процессы тормозят, и панель управления Рабочего стола не загружается. Решил убить несколько процессов WinMail.exe – убились, к тому же остальные процессы WinMail.exe начали убиваться самостоятельно, очищая ФП. Процесс очистки ускоряется, когда вручную помогаешь удалением процессов. Затем загрузился Рабочий стол, и начали выводиться сообщения об ошибках:


    Плюс ещё была ошибка о “Неверно загруженном аккаунте пользователя”.
    Точнее, профиль пользователя временный загрузился из-за ошибки:

    При этом процессы WinMail.exe выгрузились полностью и исчезли из ДЗ.
    Перезагрузился, из другой системы удалил папку Windows Mail, загрузил Vista 64 - процессы на месте. Решил начать убивать процессы WinMail, не дожидаясь, когда процессы забьют всю ФП – убивались, но потом снова появлялись, но для других процессов хватало ресурсов работать. При убийстве процессов WinMail.exe ФП освобождалась, а Загрузка процессора возрастала, при клонировании процессов WinMail.exe - наоборот.

    Запустил AVZ, из стандартных скриптов заработал только №2, при запуске №1 и №3 AVZ вылетала.

    На большинство процессов в ДЗ (если не все) AVZ вывел следующее:

    “Опасно! Обнаружена маскировка процессов”

    Из замеченных дополнительных симптомов:
    Не загружается IE (не найден файл), пропала Языковая панель, иконки программ на Рабочем столе изменились на одну “стандартную”.
    Изображения Изображения
    Последний раз редактировалось Bash; 08.06.2008 в 08:54.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    14
    Вес репутации
    36
    Ещё пара картинок в дополнение.
    Изображения Изображения

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    1. Запускать AVZ следует правой кнопкой мыши, выбирая "Запуск от имени Администратора".

    2. Выполните скрипт в AVZ:
    Код:
    begin
     QuarantineFile('%ProgramFiles(x86)%\Windows Mail\WinMail.exe','');
     DeleteFile('%ProgramFiles(x86)%\Windows Mail\WinMail.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    3. Откройте в AVZ Менеджер Active Setup и удалите там строчку с упоминанием этого WinMail.exe.

    4. Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=24179).

    5. Сделайте новые логи, также запуская AVZ от имени Администратора.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    14
    Вес репутации
    36
    1.
    выполняется постоянно.

    Пункты 2 и 3.
    А) Запустил скрипт из-под Vista 64, после перезагрузки файл из папки не удалился, процессы на месте, как и полагается, грузят систему. Соответственно, скрипты 1 и 3 не работают, только второй снова сделал (лог прикреплён к посту).
    Из Менеджера Active Setup указанная строка не удаляется, в карантин ничего не помещается: при попытке удаления AVZ пишет следующее:
    “Ошибка карантина файла, попытка прямого чтения (%ProgramFiles(x86)%\Windows Mail\WinMail.exe)
    Карантин с использованием прямого чтения – ошибка”
    Б) Запустил скрипт из-под рабочей Vista 32, в карантин поместились два файла WinMail.exe.
    В Менеджере Active Setup строка %ProgramFiles(x86)%\Windows Mail\WinMail.exe отсутствует.
    Кроме этого в карантине оказался файл PhysX.cpl (к сожалению, не засёк, при запуске скрипта из-под какой Vista).
    После всего в Vista 64 процессы WinMail.exe так и остались на месте.
    4. Отправлен.
    Последний раз редактировалось Bash; 08.06.2008 в 08:54.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Winmail.exe на самом деле в карантин не попал.
    Выполните такой скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files (x86)\Windows Mail\WinMail.exe','');
     DeleteFile('C:\Program Files (x86)\Windows Mail\WinMail.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки снова попробуйте удалить строчку в Active Setup
    и папку C:\Program Files (x86)\Windows Mail.
    Карантин пришлите, если будет не пуст.
    I am not young enough to know everything...

  7. #6
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    14
    Вес репутации
    36
    Под зараженной Vista 64 скрипт вызывает вылет AVZ:
    http://virusinfo.info/attachment.php...1&d=1212904528
    Соответственно, до перезагрузки из AVZ дело не дошло.
    При нажатии правой кнопкой мыши на один из процессов WinMail.exe в ДЗ -> Свойства:
    http://virusinfo.info/attachment.php...1&d=1212904528
    Раньше, если мне память не изменяет, здесь была буква “D:”, потому и удалил в первую очередь эту папку (D:\Program Files\Windows Mail\WinMail.exe). Теперь, как видим, буква поменялась.
    Вообще, у меня на диске “C:” стоит Vista 32, а на “D:” – Vista 64. При загрузке и той и другой буквы не меняются.

    Под Vista 32 в карантин снова летят, как я понял, два пустых WinMail.exe

    На данный момент на диске “D:” с Vista 64 отсутствуют папки “\Program Files\Windows Mail\” и “\Program Files (x86)\Windows Mail\” – убиты из-под Vista 32 вручную. Под Vista 64 процессы WinMail.exe на месте, вешают систему.
    Изображения Изображения
    Последний раз редактировалось Bash; 08.06.2008 в 09:26.

  8. #7
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    14
    Вес репутации
    36
    Из Vista 32 переименовал папку "C:\Program Files\Windows Mail\", в Vista 64 процессы WinMail.exe перестали загружаться. Все остальные проблемы остались. AVZ также вылетает при выполнении скриптов.

    Может, это конфликт версий Vista? Например, Vista 64 пытается загрузить файлы с диска "C:", где установлена Vista 32. Могу удалить Vista 64 без проблем, если дальше смысл искать вирусы отсутствует. На всякий случай прикрепил лог второго скрипта AVZ после переименования папки с WinMail.exe.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    К сожалению, AVZ не вполне корректно работает в 64-битной ОС.

    Кроме WinMail.exe ничего подозрительного у вас не видно, так что если с ним удалось справиться,то проблему можно считать решенной.
    I am not young enough to know everything...

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Bash, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Что - то грузит физическую память
      От Fatal2103 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.12.2011, 19:19
    2. Процесс system грузит память
      От MPEI_Dimon в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 28.11.2011, 21:02
    3. Процесс lsass.exe забивает исходящий канал
      От Dioxin в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 03.12.2010, 11:26
    4. Физическая мамять
      От welcome в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 26.11.2010, 20:14
    5. Процесс svchost.exe ест память
      От Wal 2010 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 18.08.2010, 12:06

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01102 seconds with 17 queries