Показано с 1 по 13 из 13.

Аномалии в отображении элементов "Моего компьютера" (заявка № 49510)

  1. #1
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54

    Thumbs up Аномалии в отображении элементов "Моего компьютера"

    1. Проблема поиска элементов в диалоговом окне "Мой компьютер". При активизации значка на Рабочем
    столе появляется диалоговое окно, в статусе - строка "Поиск элементов...", привычные значки (в т.ч.
    приводов, жестких дисков, прочих накопителей) не отображаются несколько минут. При этом "поиск элементов" может сопровождаться одним из следующих или всеми явлениями сразу:
    а) если запустить "Диспетчер задач", отобразить вкладку с графиком загрузки центрального процессора, загрузка колеблется на уровне 70-100%, при этом во вкладке "Процессы" того же Диспетчера задач ни один процесс не занимает столько ресурсов;
    б) если вставить usb-флэш накопитель, то некоторое время окно диалога "Мой компьютер" отображает только соответствующий значок с возможностью его активации двойным щелчком;
    в) ОС может перестать реагировать отвечать на манипуляции мышью (перетаскивание, свертка и т.д.).
    2. Загрузка Windows (далее - ОС) временами осуществляется не корректно: отображаются фон Рабочего
    стола (Desktop) без каких либо дополнительных элементов, а также курсор мыши, который никак не
    отражает поведение жесткого диска. Проблема решается перезагрузкой ОС, иногда со второй или третьей
    перезагрузки.
    3. Проблема запуска некоторых приложений. Запуск WinRar 3.0, Adobe Photoshop CS2 (в т.ч. работа с
    драйвером Twain), Paint и др. может зависнуть на несколько минут, при этом соответствующие программам
    процессы уже запущены, что легко проверить опять же в Диспетчере задач. При этом такие приложения,
    как MS Word, ACDSee запускаются без каких-либо аномалий.
    4. Периодически после подключения к интернет, но при отсутствии какой-либо явной сетевой актвиности,
    инициированной пользователем, видно, что осуществляет интенсивная пересылка пакетов данных (не только
    входящих, но и исходящих).
    5. Попытка вложения какого-либо файла через вызов контекстного меню (опция "Отправить...")
    оборачивается зависанием ОС.
    6. ОС больше не позволяет создавать контрольные точки восстановления системы, требуя при этом
    перезагрузить компьютер и попробывать еще раз. Попытки отката к существующим точкам восстановления и
    перезагрузка ОС проблему не решают.
    7. Компьютер может зависнуть в момент выбора одного из специальных режимов загрузки ОС: "безопасный...", "безопасный... с поддержкой коммандной строки" и т.д.
    8. Дефрагментация и проверка разделов жесткого диска теперь не доступна. Комментарий системы - "Не удалось....".
    9. Пункты 1, 3, 5, 6, 8 возникли одновременно, им не предшествовала ни установка ПО, ни обновление драйверов, ни изменения в аппаратной части ПК.
    Вложения Вложения
    Последний раз редактировалось raphi; 12.07.2009 в 10:34. Причина: добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\usr\sbin\mspool.exe','');
     QuarantineFile('c:\usr\sbin\inetd.exe','');
     QuarantineFile('c:\windows\system32\rserver30\newtstop.dll','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\analog.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\lvds.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\sdvo.sys','');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tv.sys','');
     QuarantineFile('C:\WINDOWS\system32\cftu.exe','');
     QuarantineFile('C:\WINDOWS\system\svhost.exe','');
     QuarantineFile('C:\WINDOWS\system\msile.exe','');
     QuarantineFile('C:\WINDOWS\system32\dllcache\wintcps.exe','');
     DeleteFile('C:\WINDOWS\system32\dllcache\wintcps.exe');
     DeleteFile('C:\WINDOWS\system\msile.exe');
     DeleteFile('C:\WINDOWS\system\svhost.exe');
     DeleteFile('C:\WINDOWS\system32\cftu.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=49510).
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54
    Спешу оговориться, ниже приведенные файлы:

    c:\usr\sbin\mspool.exe
    c:\usr\sbin\inetd.exe

    могут оказаться модулями СУБД, установленной на компьютере. СУБД - Borlas TradeX. Как, я понял, программный комплекс реализован на платформе MS Access и MS SQL Server. К серверу обращается клиентский компьютер, на котором в качестве ОС установлена урезанная Linux Red Hat. Таким образом, имеются опасения, как бы не удалились нужные для работы программы.
    Опытным путем уже было установлено, что при отсутствии файла inetd.exe (в каталоге c:\\Windows\System32) не происходит обновление данных ПК-сервера на ПК-клиенте.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Карантин не изымает файлы из системы, так что не беспокойтесь, это не нарушит работу. Касаемо этих двух файлов - если точно знаете, можно убрать из скрипта строки с их упоминанием.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54
    Цитата Сообщение от Bratez Посмотреть сообщение
    Карантин не изымает файлы из системы, так что не беспокойтесь, это не нарушит работу. Касаемо этих двух файлов - если точно знаете, можно убрать из скрипта строки с их упоминанием.
    Еxe-файлы:
    c:\usr\sbin\mspool.exe
    c:\usr\sbin\inetd.exe
    хотя и известны, но кто знает, что они не инфицированы. отсылаю "образцы" их же разработчикам - посмотрим, что скажут в Москве.

    Далее - о повторной диагностике:
    1. Cканировался DrWeb CureIt. Безопасный режим. В действиях утилиты указал на всякий случай исключительно "информировать". Все, что выглядело подозрительным или враждебным перенес в карантин утилиты. Вот, как выглядит его отчет:
    Код:
    mirc.exe;C:\_raphique\mirc631rus;Program.mIRC.623;;
    mirc32.exe;C:\_raphique\mirc631rus\mirc old;Program.mIRC.58;;
    mirc.exe\mirc32.exe;C:\Distr\!Messenger\mirc\mirc.exe;Program.mIRC.58;;
    mirc.exe;C:\Distr\!Messenger\mirc;Архив содержит инфицированные объекты;;
    mirc32.exe\mirc32.exe;C:\Distr\!Messenger\mirc\mirc32.exe;Program.mIRC.58;;
    mirc32.exe;C:\Distr\!Messenger\mirc;Архив содержит инфицированные объекты;;
    trademail_1.28.msi/stream001\File318;C:\Distr\Borlas\TradeMail\1.28\trademail_1.28.msi/stream001;Program.SrvAny;;
    stream001;C:\Distr\Borlas\TradeMail\1.28;Архив содержит инфицированные объекты;;
    trademail_1.28.msi;C:\Distr\Borlas\TradeMail\1.28;Архив содержит инфицированные объекты;;
    trademail_1.30.msi/stream001\File318;C:\Distr\Borlas\TradeMail\1.30\trademail_1.30.msi/stream001;Program.SrvAny;;
    stream001;C:\Distr\Borlas\TradeMail\1.30;Архив содержит инфицированные объекты;;
    trademail_1.30.msi;C:\Distr\Borlas\TradeMail\1.30;Архив содержит инфицированные объекты;;
    trademail_1.32.msi/stream001\File335;C:\Distr\Borlas\TradeMail\distr\TradeMail\1.32\trademail_1.32.msi/stream001;Program.SrvAny;;
    stream001;C:\Distr\Borlas\TradeMail\distr\TradeMail\1.32;Архив содержит инфицированные объекты;;
    trademail_1.32.msi;C:\Distr\Borlas\TradeMail\distr\TradeMail\1.32;Архив содержит инфицированные объекты;;
    posxlic.exe;C:\USR;Модификация BackDoor.Generic.1382;;
    aliserv3.sys;C:\WINDOWS\system32\drivers;Trojan.Packed.2479;;
    Создал архив с набором вышеуказанных файлов. Если требуется, вышлю.
    2. Карантинный файл AVZ, который Вы запрашивали, отправляю повторно, но уже без спорных mspool.exe, inetd.exe. Жду Ваших комментариев.

    p.s.
    Цитата Сообщение от Bratez Посмотреть сообщение
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Просьба - уточнить, какие именно логи. С логом CureIt все понятно - это вроде пункт 2ой, а вот в 3ем пунке про логи AVZ речи не ведется. Возможно, я не так понял рекоммендации.

    Добавлено через 38 минут

    Цитата Сообщение от raphi Посмотреть сообщение
    1. Проблема поиска элементов в диалоговом окне "Мой компьютер".
    ...
    3. Проблема запуска некоторых приложений. Запуск WinRar 3.0, Adobe Photoshop CS2
    ...
    5. Попытка вложения какого-либо файла через вызов контекстного меню (опция "Отправить...")
    оборачивается зависанием ОС.
    6. ОС больше не позволяет создавать контрольные точки восстановления системы
    8. Дефрагментация и проверка... диска теперь не доступны...
    ...
    Кстати, все эти симптомы перестали проявляться после повторной диагностики.

    Однако остается сам факт странной сетевой активности (пункт №4 поста). Вот пример такой активности (пресечена и выявлена OutpostFirewall 9 Trial):
    Код:
    приложение: c:\program files\microsoft sql server\mssql\binn\sqlservr.exe
    порт: 1433
    удаленный адрес: h-22-21.A161.priv.bahnhof.se
    Уж очень подозрительный адрес удаленного сервера. Это значит, что MS SQL мог модифицироваться под нужды злоумышленников?

    Добавлено через 2 минуты
    Последний раз редактировалось raphi; 12.07.2009 в 10:36. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от raphi Посмотреть сообщение
    Просьба - уточнить, какие именно логи. С логом CureIt все понятно - это вроде пункт 2ой, а вот в 3ем пунке про логи AVZ речи не ведется. Возможно, я не так понял рекоммендации.
    Все очень просто.
    Открываем правила и читаем:
    Диагностика
    ...
    2. Подключитесь к сети Интернет, запустите AVZ*. Вновь откройте меню "Файл"=>"Стандартные скрипты" и отметьте теперь пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

    3. Запустите HijackThis*....
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54
    Цитата Сообщение от Bratez Посмотреть сообщение
    Все очень просто.
    Открываем правила и читаем:
    Прошу прощения, руководствовался распечаткой офф-лайн версии правил (http://virusinfo.info/attachment.php?attachmentid=13693). Оказывается, что она не совпадает с он-лайном - непорядок.

    Добавлено через 1 час 35 минут
    From: Коваленко Алексей [mailto:[email protected]]
    Sent: Thursday, July 09, 2009 3:57 PM
    Subject: RE: TradeX:hotline: безопасность программных модулей TradeX

    Добрый день!
    Рекомендуется проверить данные файлы другим антивирусом.В файлах присланных Вами нашими специалистами проблем не обнаружено.

    C уважением,
    Алексей Коваленко.
    Ведущий эксперт-технолог
    Borlas Retail (Борлас Информационные Торговые Системы)
    e-mail: [email protected]
    Вот, что мне ответили по файлам:
    posxlic.exe
    aliserv3.sys
    trademail_1.28.msi
    trademail_1.30.msi
    trademail_1.32.msi
    mspool.exe
    inetd.exe


    Цитата Сообщение от Bratez Посмотреть сообщение
    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    Прилагаю логи от 12.07.2009. С момента предыдущих логов:
    - cнес Eset NOD32 (оказался малоэффективным);
    - установил Avira Antivir Personal, Outpost Firewall Pro.
    Вложения Вложения
    Последний раз редактировалось raphi; 12.07.2009 в 10:28. Причина: Добавлено
    life's a skirt.
    extremally short.
    have fun.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах ничего плохого не видно.
    Восстановление системы отключите. Потом можно включить обратно.
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54
    Отключил восстановление системы. Применил настройки.
    Через минуту, снова включил и применил настройки.
    Я все правильно понял?
    life's a skirt.
    extremally short.
    have fun.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, надо было сделать именно так.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54
    Я в растерянности. Первую половину дня пытался загрузить компьютер так, чтобы без тормозов. Выглядело все так: старти Windows, попытка открыть Мой компьютер, и, о! чудо! - снова ненавистный фонарик "ищущий элементы", дальше система просто зависла. Зависания имели место при каждой перезагрузке в нормальном режиме. При этом проблем с созданием контрольных точек не возникало, как и с отключением-включением восстановления системы.

    Решил, что дело в конфликте отконфигурированного Avira Antivir и Outpost Firewall. В безопастном режиме снес Avira Antivir, файрвол оставил. Перезагрузка в нормальном режиме увенчалась успехом. Элементы Моего компьютера на своих местах.
    Возникает вопрос: как может антивирус нормально работать с файрволом два дня, а на третий - "пустить поезд под откос"?!
    Еще раз провериться на ВИЧ?

    И немного офтопа, если позволите. Вчера был в налоговой - сотрудники на ушах: говорят, что тормозят ПК, "Мой компьютер" открывается по полчаса. То же самое у кредитных инспекторов (не буду показывать пальцем на банк). Эпидемия?!
    Последний раз редактировалось raphi; 14.07.2009 в 12:53. Причина: добавлено
    life's a skirt.
    extremally short.
    have fun.

  13. #12
    Junior Member Репутация
    Регистрация
    06.07.2009
    Сообщений
    7
    Вес репутации
    54
    Раскошелил начальство на лицензионное антивирус-фаервольное ПО. Проблем больше не наблюдаю. Тема закрыта.
    Последний раз редактировалось raphi; 30.07.2009 в 11:13. Причина: удален офтоп
    life's a skirt.
    extremally short.
    have fun.

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 52
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) raphi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 1
      Последнее сообщение: 11.12.2010, 18:10
    3. Ответов: 20
      Последнее сообщение: 12.04.2010, 19:57
    4. Новогодние "сюрпризы" моего верного друга
      От Лерка в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:43
    5. Глюки в "Моего Компьютера"
      От Dominic в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 03:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00981 seconds with 20 queries