Показано с 1 по 18 из 18.

заблокированные файлы + тормоза (заявка № 7596)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40

    заблокированные файлы + тормоза

    Началось все довольно давно. Я стал замечать, что некоторые файлы и папки вдруг стали заблокированными -
    не посчитал это уж больно серьезным, т к общая работа компа не нарушилась, а файлы можно достать
    с помощью R-Studio. Замечу, что ни Nod, ни Dr web, ни McAfee ничего не выявили. Один только Stinger от
    McAfee "вылечил" кучу файлов. На деле все осталось как прежде.
    Но вот недавно после копания в нете почуял, что кого-то подхватил. Симптомы:
    - тормоза при запуске программ. Как потом показал KAV, к примеру, в Winamp внедряется приложение
    drwtsn32.exe - заблоблоквал.
    - svchost.exe (системный) почти всегда отъедает 2% загрузки ЦП, и всего их три (а еще один Local И два Network).
    Может так и должно быть, но что-то раньше не замечал.
    - Повреждены сигнатуры угроз Каспера, попытка внедрения в процесс Каспера - заблокирована самозащитой.
    Файловый, постовый и Веб антивирус в нем не работают - сбой.
    Список того, что за это время выявлено:
    w32/Nsane!p2p-virus
    startPage-ip-trojan
    Trojan_psw.win32.Delf.kn(или m - не пойму что написал)
    worm.win32.Deborm.c
    trojan.app.actxcomp
    Ничего ничем не лечилось и не удалялось (кроме последнего - был на диске, помещен в карантин).
    Вот такие вот дела. Так хочется здоровую систему!
    Вложение 6084

    Вложение 6085

    Вложение 6086
    Последний раз редактировалось shaman21; 25.01.2007 в 16:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Выполните скрипт, пришлите файлы из карантина
    подозреваю какой-то файловый вирус

    begin
    QuarantineFile('c:\program files\tweak-xp pro 4\adblocker.exe','');
    QuarantineFile('c:\program files\total commander\plugins\exe\akelpad.exe','');
    QuarantineFile('c:\program files\bluesoleil\btntservice.exe','');
    QuarantineFile('c:\program files\cpucool\coolsrv.exe','');
    QuarantineFile('c:\program files\lclock\lclock.exe','');
    QuarantineFile('c:\windows\system32\spoolsv.exe',' ');
    end.

  4. #3
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Все выполнил по правилам. Тормоза пропали, Winamp работает замечательно! Осталось вычистить эту гадость. Есть все-таки добрые люди на Свете!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А ведь ещё ничего не делалось. Только файлы в карантин пособирали.

  6. #5
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Кажись я поторопился. Сначала минут десять все было нормально, потом при переключении трека опять полез drwtsn32.exe что-то там отлаживать. Выгрузил и снова загрузил KAV, начались страшные тормоза - reboot и все нормально. Интересно, что Касперский, немсмотря на сбой, продолжает как-то функционировать. По крайней мере предупреждает о Dr.Ватсоне.
    Сейчас печатаю без тормозов.
    Насчет вирей, у меня сильное предположение, что их два. Приколы с залочиванием начались месяца два назад, а тормоза две недели. Вот так. Жду инструкций.

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Код:
    autocheck autochk /r \??\H:autocheck autochk *
    - строчка говорит, что нужно диск проверить. Обратите внимание.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Да, чекдиск как-то вылезал, но я сделал отмену. К тому времени еще не все файлы были восстановлены. Мало ли че он там учудит. А щас и нет его.

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    А карантин то прислал? Так без "таблеток" ты вряд ли вылечишься.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Так уж высылал! Шлю повторно, результат загрузки:
    Файл сохранён как070123_232137_for_7596_45b66e519f2fa.zipРазмер файла155451MD5e5baf48ae2b5fb3345b53ef3a92b9f05Файл закачан, спасибо!

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Предыдущий карантин чистый.
    1.Попробуем еще вот это:
    Код:
    begin
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll','');
    QuarantineFile('C:\WINDOWS\system32\Mira6\5160C\Scnwia13.dll','');
    RebootWindows(true);
    end.
    2. McAfee работает или нет? В сервисах довольно много его остатков.
    3. Поискать comctl32.dll. Возможно, проблемы из-за несоответствия версии библиотеки.

    Еще попробуй найти в AVZ drwtsn32.exe и добавить в карантин ручками.
    Возможно их будет несколько.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1362
    Диск на который винда ругалась лучше проверить.

  13. #12
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Диски проверил, скрипт выполнил. Зашел в Менеджер файла hosts, а там куча сайтов, которых я с роду не видал (его содержание приложил к карантину).
    drwtsn32.exe не хочет лезть в карантин. Вместо него приложил его лог (также в карантине). И уж если не видно ничего, заново сделал 1-ый, 3-ий логи. Первый делал весь день, возможно перехватывались обращения к диску, отчего и были тормоза с выполнением. Второй не сделал, уж помилуйте. Но если скажете надо - сделаю.
    Насчет comctl32.dll. Нашел его в четырех местах. Что с ней делать, просто заменить тот что в папке Windows?
    Карантин:
    Файл сохранён как070125_165623_for_7596_1_45b8b707e3b95.zipРазмер файла2096795MD58414b5a85581efd26fd3552b6b5f86e2Файл закачан, спасибо!


    еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые

    А эта строка сама пропечаталась за секунду, пока писал сообщение.
    Ну и логи:
    Последний раз редактировалось shaman21; 25.01.2007 в 17:26.

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Проверил то, что прислали на virustotal.com. Зверья не обнаружил.

    В файле Hosts - следы Adblocker. Это не от вируса.

    Видны следы от НОДа , Доктора Веба и Макаффи. Лучше их через HijackThis профиксить.

    Нужно чтобы кто-нибудь еще посмотрел.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Второй лог тоже сделал, выкладываю все три в одном архиве без пароля.
    Проверил на virustotal - вроде чист.
    LOG_7596.rar

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Посмотри в реестре ключик:
    HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
    Для нормального ХР д.б. logonui.exe, если пытался накатывать Vista, то vistaui.exe
    М.б. что-то с этим связано.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    Стоит XP SP2, хотя ставил еще и SP3. Действительно, приносили прогу, так она ставит все оформление как в Vist'е (тема, звуки, окно загрузки, меню выбора пользователя и т.д.). Мож быть и из-за него - я не спец, вам виднее.

  18. #17
    Junior Member Репутация
    Регистрация
    16.01.2007
    Сообщений
    9
    Вес репутации
    40
    ВСЕ! Вроде вылечился! Отнес винты к другану, он проверил, все вычистил.
    У меня орудовал Worm.win32.RJump.a. Кроме него выявлены Neshta.b и модификация Sasser'а. Если есть какие-то приколы с ними, ну там типа основной файл затаился где-то зашифрованный, просьба прошу предупредить. Да, сканировали KIS'ом.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 16
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) shaman21, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. заблокированные файлы jpg doc xls
      От Todd71 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.06.2012, 21:25
    2. Заблокированные файлы
      От sergey777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.06.2012, 15:46
    3. заблокированные pn файлы
      От strelka в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.03.2012, 20:03
    4. Ответов: 2
      Последнее сообщение: 28.02.2012, 15:09
    5. заблокированные файлы
      От Викань в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 11.01.2012, 08:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01443 seconds with 17 queries