Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Не могу избавиться от последствий захвата машины (заявка № 52747)

  1. #1
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54

    Cool Не могу избавиться от последствий захвата машины

    В системе начали происходить посторонние процессы (винчестер , процессор перегружен, инет тормозит). При выходе из "Свойства системы" после нажатия "Применить"(убрал всякие анимации) сбились настройки рабочего стола (рабочий стол и панель задач - синие). Свойства рабочего стола оказались сильно усечены. В папке "Сетевые подлючения" обнаружил постороннее соединение. Открыл msinfo32 - обнаружил, что у меня установлена Windows NT (до этого стояла поставляемая с компом HomeEdition). Узнал, что меня ограничили в правах. Начинаешь восстанавливать права - ограничения усиливаются) Кнопка Пуск заражена (вместо выключения просто гасят экран а процессы продолжаются). После включения обязятельно всплывает какое нибудь предложение. Нажмёшь да или нет - запускаюся посторонние процессы (винт и вентилятор процессора работают на повышенных тонах).
    Все программы в меню пуск не работают или работают с нулевым результатом. Программы из папок на рабочем столе после первого включения меняют дату создания и после этого работают неправильно или вместо них включается что то другое. Панель управления - заражена.
    Изменять настройки, файлы - нельзя. Все "нельзя" сопровождаются оглушительным треском динамика и всплывающим крестиком в красном кружке на грязно белой панели аля виндоус95. Постоянно чувстуешь слежку. Актвно поработал с Поиском - его убрали. Побывал в папке - в следующий раз там появится Desktop.ini. Реестр - после перезагрузки все изменения пропадают. Попытался посмотреть, что они делают. Поиск - все файлы за сегодня. Множество файлов Config* с длинными расширениями, MPEG*, Jawa* и мегабайты CLSIDов в папках интернета.
    Переустанавливал систему три раза родным диском восстановления. Последний раз с помощью WindowsXP Live снёс папку Windows, Documents and Settings и почти всё в ProgramFiles. Запустил WindowsUpdate. Она мне поставила все заплаты после SP2 и потом SP3. Через некоторое время начались опять клавиатурные цеплялки и нестабильости. DrWeb курет завис надолго а потом сказал что ничего нет. Точки восстановления пропали. Опять ночью запустился процесс и не смог выключить комп. В системных папках произошла замена на системные файлы 2004 года и у них путаница в датах создания и изменения. Файлы те же, что в папках Uninstal. Попробовал SFC, но она запросила диск, а там тоже 2004 год - поэтому не стал. С горя установил через WindowsUpdate IE8, полагая что они заметят подмену. Сейчас убрал всё лишнее, и отключил WindowsInstaller. Главное достижение -"Система электропитания". Снял галку с скринсавер и поменял схему управления на "портативная". Машина стала работать на порядок быстрей а процессор всё время незагружен и визги вентилятора больше не возникают. Сейчас за меня ставят в автозагрузку msconfig, stfmon и удалённого помошника. В интернете не переключается клавиатура. Перед выключением комп виснет на 50 секунд. На утро обнаруживаю, что скрыты все диски в проводнике и тд.
    У соседа пенсионера дела ещё хуже. Загрузка больше 5 минут. И все кнопки тяжеленные. Оказалось тоже установлена WindowsNT.
    У него безлиминтный интернет на 20Гбайт в месяц. Для работы в интернет-трейдинг хватает 5-7Гбайт. Остальное забирают эти товарищи. Помочь ему не решаюсь, зная что у себя до конца вопрос не решил.
    Какие возможны дальнейшие шаги?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Признаков заражения в логах не видно.

    Выполните скрипт в AVZ:
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    Сообщите, что изменилось в поведении системы.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Посмотрел. Такое значение ключа (1) уже стоит в этой ветке.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Скрипт выполнили?

  6. #5
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от pig Посмотреть сообщение
    Скрипт выполнили?
    нет

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    227
    В таком случае выполните.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  8. #7
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Скрипт выполнил. Изменения незаметны. Спасибо за микропрограммы. Не знал, что за пунктом "Восстановление" скрыто столько полезных вещей. Отправил на проверку файл Notepad.exe (дата создания 9.08.2009; их почемуто два - в папке Windows и \System32; и с него у меня тогда начались заморочки (стали появляться в моих папках файлы *.exe.txt). Результат проверки - 1/41. Таких системных файлов с испорченными датами много (в том числе и ntoskrln.exe). В папке Windows\DriverCache\i386 - эти же файлы. Не знаю как выполнить SFC, чтобы встали файлы из папки Windows\ServicPackFiles. Виндоус считает, что пакет обновления SP3 установлен.
    "Перед выключением комп виснет на 50 секунд" - стояла опция "Очистка файла подкачки перед выкл". Спасибо.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Не знаю как выполнить SFC, чтобы встали файлы из папки Windows\ServicPackFiles.
    Никак. Команда предполагает наличие компактдиска с дитрибутивом.

    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Виндоус считает, что пакет обновления SP3 установлен.
    А он установлен:
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    Для выполнения команды sfc /scannow Вам нужно изготовить дистрибутив с интегрированным СП3: http://www.oszone.net/display.php?id=3759
    Последний раз редактировалось Rene-gad; 26.08.2009 в 11:05. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Для выполнения команды sfc /scannow Вам нужно изготовить дистрибутив с интегрированным СП3: http://www.oszone.net/display.php?id=3759
    Для меня это слишком сложно. И всё равно источник происхождения этих корявостей не пойман и не устранён. Буду опять сносить Windows. Вспомнил, что перед установкой не удалял файлы C:\pagefile.sys и C:\ntldr.
    А может это меня Майкрософт экзекутит? или вносит свою лепту в эти процессы. Почему то при установке у меня ни разу не спросили ключ, который приклеен на компьютер. И потом ни слова про активацию. А я как только сделал интернет - сразу включил WindowsUpdate. Можно ли найти запись в реестре про то, что я им ничего не должен?
    Больше никаких мыслей нет.
    Вот ещё обнаружил странный никому не нужный процесс. Сразу, после включения удалённого соединения, большой файл svchost.exe (в котором все службы) начинает методично лопатить файлы со скоростью 20 чтений+20 записей = 20 000 записано байт в секунду. 70Мб в час, 1Гб в день. Причём независимо от того есть работа в сети или нет. В сеть и из сети эти файлы не идут. На винчестер не пишутся. Смотрел вновь созданные и изменённые - всё чисто. Получается всё это работает в беспроводную сеть. Но так как беспроводные соединения у меня откючены и (Wireless Lan Driver - выключен), то этот ощутимый процесс работает в холостую. Удалял с помощью ProcExplorer из этого svchost.exe поочерёдно все службы. Остались неудаляемые Телефония (tapisrv.dll) и дипетчер подключений удалённого доступа (rasmans.dll), а он всё лопатит. Останавливается этот процес выключением Explorer.exe из диспетчера задач или выключением удалённого соединения. Кто знает, как остановить эту холостую никомуненужную работу компьютера?
    Спасибо.

    Добавлено через 9 минут

    Цитата Сообщение от Yury Yr Посмотреть сообщение
    20 000 записано байт в секунду. 70Мб в час, 1Гб в день
    Очепятался. Конечно же 700Мб в час! 10Гб в день.
    Последний раз редактировалось Yury Yr; 29.08.2009 в 00:09. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Вспомнил, что перед установкой не удалял файлы C:\pagefile.sys и C:\ntldr.
    А перед установкой ничего удалять не надо. Нужно создать новый раздел на диске, инсталлер Винды его сам отформатирует и систему поставит.

  12. #11
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Нужно создать новый раздел на диске, инсталлер Винды его сам отформатирует и систему поставит.
    Это приведёт к потере всех данных на диске. Разве это наш метод?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Это приведёт к потере всех данных на диске. Разве это наш метод?
    Если Вы вынуждены переустанавливать систему из-за вирусов, то установка поверх ничего не даст, можно с ней и не начинаться.
    Данные можно сохранить на другом носителе.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Прошу посмотреть логи
    А кто запрашивал лог gmer или какой-либо другой лог?

  15. #14
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если Вы вынуждены переустанавливать систему из-за вирусов, то установка поверх ничего не даст, можно с ней и не начинаться.
    Данные можно сохранить на другом носителе.
    Ну а форматировать диск, когда ни один антивир и ни один модератор не находит врагов, и, тем более, переносить зараженные данные на другие носители - вреднейшая и бесполезнейшая затея и, по-прежнему, не наш метод.

    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Кто знает, как остановить эту холостую никомуненужную работу компьютера?
    На самом деле эта "никомуненужная работа" происходит практически у каждого. Достаточно запустить Диспетчер задач (Ctrl-Alt-Del) и далее "Вид" -> "Выбрать столбцы..." и поставить галки "Число чтений", "Число записей", "Записано байт".
    C помощью программки Procmon.exe, ну и потом Гугли, удалось разобрать этот вопрос! - Оказалось, что эти 720Мб в час записей -это плата за то, чтобы мы видели в трее значёк интернета и знали, есть подключение или нет. Explorer.exe 20 раз в секунду обращается в реестр к записям
    HKLM\System\CurrentControlSet\Services\Tcpip\Param eters\Interfaces\{здесь у каждого свой провайдер} и выводит значёк интернета в область уведомлений панели задач. Если в свойствах соединения снять галочку напротив "При подключении вывести значёк в область уведомлений", этот великий процесс останавливается.
    Спасибо помощникам и модераторам. Отдельное спасибо создателям чудо-программы AVZ.
    Последний раз редактировалось Yury Yr; 30.08.2009 в 22:13.

  16. #15
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Постоянно прописывается вот эта строка в загрузку
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD46187-3806-4A73-BD39-1F4A2933F280}: NameServer =
    91.144.150.3 91.144.148.3
    Я её удалю, а она после работы в инете опять прописываетя. В реестре нашёл очень много
    упоминаний об этом устройстве ( в разделах той же ветки Lanmanserver и нетбиос, хотя всё это у меня отключено). Мне бы это не мешало. Но в работе интернета стала проявляется нестабильность. То нельзя, это нельзя, не могу соединить и тп. Была проблема с установкой принтера. На сайте майкрософт автопомошник установил мне английский диспетреч очереди и вроде печатать могу.
    Является ли данная нестабильность усердием майкрософт помочь мне (на это усердие у меня накопился том претензий) или это кто-то косит по хозяев Windows. Можно ли удалить в реестре все упоминания об этом устройстве и ссылки на него.
    Кто что знает об этом, помогите.
    Спасибо.

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это ваш провайдер:
    inetnum: 91.144.148.0 - 91.144.151.255
    netname: ERTH-KIROV-NET
    descr: ZAO "Company "ER-Telecom" Kirov address space
    country: RU

    У Вас настройка сети через DHCP?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Спасибо величайшее. Получается я в борьбе с ветрянными мельницами мочил своих.
    Машину после описанных выше событий настроил - зверь. Кнопки - легчайшие, папки, менюшки, окошки открываются моментально. Интернет - быстрее всех (ну сколько провайдер позволяет).
    Могу поделиться профилем, кому интересно. Как будто у меня не ноут в 1.7Gb, а двухядерный по три.
    Но вот эти нестабильности мают. Удаляю все папки темп, темпорари интернет файлз и проч с помощью ATF-cleaner.exe, перезагружаю комп и всё опять работает. А хотелось бы об этом вообще не думать. Хватило испытаний на пять лет вперёд. Вот и сейчас пока писал, меня два раза терял ваш сайт. Опять имя-пароль и пишу заново.
    "...настройка сети через DHCP?" - Сетевая карта Broadcom 440x 10/100 Integrated Controller. Все другие модемы поубивал в диспетчере устройств. Эртелеком, dom.ru - кабельный, до 1 Мбит/c, после 2-х ночи - до 2Mбит. Служба DHCP нужна, без неё нет соединения. Всё, что знал, сказал.
    Спасибо.
    Последний раз редактировалось Yury Yr; 26.09.2009 в 19:38.

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Вот и сейчас пока писал, меня два раза терял ваш сайт. Опять имя-пароль и пишу заново.
    Настройку куков проверь.
    Насчет очистки не знаю как в ATF, в CCleaner можно задать очистку по расписанию
    и не мучаться.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Junior Member Репутация
    Регистрация
    14.08.2009
    Сообщений
    11
    Вес репутации
    54
    Да. Ccleaner.exe - на рабочем столе. Его первым делом всегда включаю. Но он не чистит папки темп. А последние версии перестали показывать, что чистят. Поэтому пользуюсь v2.05.555

    Добавлено через 5 минут

    Цитата Сообщение от PavelA Посмотреть сообщение
    Настройку куков проверь.
    Если можно, подробней, как или где её проверить.
    Спасибо.
    Последний раз редактировалось Yury Yr; 26.09.2009 в 19:53. Причина: Добавлено

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Чем пользуешься: IE, Opera,Mozilla?

    Добавлено через 1 минуту

    Цитата Сообщение от Yury Yr Посмотреть сообщение
    Если в свойствах соединения снять галочку напротив "При подключении вывести значёк в область уведомлений", этот великий процесс останавливается.
    Я сомневаюсь. Думается, что в недрах винды все равно этот подсчет идет.
    Последний раз редактировалось PavelA; 26.09.2009 в 19:57. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Yury Yr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 19.02.2010, 16:05
    2. как избавиться от порноокна и последствий?
      От zoloto895 в разделе Помогите!
      Ответов: 32
      Последнее сообщение: 14.01.2010, 21:23
    3. как избавиться от трояна и последствий?
      От alek68 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.11.2009, 12:21
    4. Ответов: 4
      Последнее сообщение: 26.08.2009, 18:27
    5. Не могу избавиться от вирусов и их последствий
      От Alex_Pentagon в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 21.01.2008, 15:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00773 seconds with 20 queries