-
Junior Member
- Вес репутации
- 64
заблокированные файлы + тормоза
Началось все довольно давно. Я стал замечать, что некоторые файлы и папки вдруг стали заблокированными -
не посчитал это уж больно серьезным, т к общая работа компа не нарушилась, а файлы можно достать
с помощью R-Studio. Замечу, что ни Nod, ни Dr web, ни McAfee ничего не выявили. Один только Stinger от
McAfee "вылечил" кучу файлов. На деле все осталось как прежде.
Но вот недавно после копания в нете почуял, что кого-то подхватил. Симптомы:
- тормоза при запуске программ. Как потом показал KAV, к примеру, в Winamp внедряется приложение
drwtsn32.exe - заблоблоквал.
- svchost.exe (системный) почти всегда отъедает 2% загрузки ЦП, и всего их три (а еще один Local И два Network).
Может так и должно быть, но что-то раньше не замечал.
- Повреждены сигнатуры угроз Каспера, попытка внедрения в процесс Каспера - заблокирована самозащитой.
Файловый, постовый и Веб антивирус в нем не работают - сбой.
Список того, что за это время выявлено:
w32/Nsane!p2p-virus
startPage-ip-trojan
Trojan_psw.win32.Delf.kn(или m - не пойму что написал)
worm.win32.Deborm.c
trojan.app.actxcomp
Ничего ничем не лечилось и не удалялось (кроме последнего - был на диске, помещен в карантин).
Вот такие вот дела. Так хочется здоровую систему!
Вложение 6084
Вложение 6085
Вложение 6086
Последний раз редактировалось shaman21; 25.01.2007 в 16:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт, пришлите файлы из карантина
подозреваю какой-то файловый вирус
begin
QuarantineFile('c:\program files\tweak-xp pro 4\adblocker.exe','');
QuarantineFile('c:\program files\total commander\plugins\exe\akelpad.exe','');
QuarantineFile('c:\program files\bluesoleil\btntservice.exe','');
QuarantineFile('c:\program files\cpucool\coolsrv.exe','');
QuarantineFile('c:\program files\lclock\lclock.exe','');
QuarantineFile('c:\windows\system32\spoolsv.exe',' ');
end.
-
-
Junior Member
- Вес репутации
- 64
Все выполнил по правилам. Тормоза пропали, Winamp работает замечательно! Осталось вычистить эту гадость. Есть все-таки добрые люди на Свете!
-
А ведь ещё ничего не делалось. Только файлы в карантин пособирали.
-
-
Junior Member
- Вес репутации
- 64
Кажись я поторопился. Сначала минут десять все было нормально, потом при переключении трека опять полез drwtsn32.exe что-то там отлаживать. Выгрузил и снова загрузил KAV, начались страшные тормоза - reboot и все нормально. Интересно, что Касперский, немсмотря на сбой, продолжает как-то функционировать. По крайней мере предупреждает о Dr.Ватсоне.
Сейчас печатаю без тормозов.
Насчет вирей, у меня сильное предположение, что их два. Приколы с залочиванием начались месяца два назад, а тормоза две недели. Вот так. Жду инструкций.
-
Код:
autocheck autochk /r \??\H:autocheck autochk *
- строчка говорит, что нужно диск проверить. Обратите внимание.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
Да, чекдиск как-то вылезал, но я сделал отмену. К тому времени еще не все файлы были восстановлены. Мало ли че он там учудит. А щас и нет его.
-
А карантин то прислал? Так без "таблеток" ты вряд ли вылечишься.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
Так уж высылал! Шлю повторно, результат загрузки:
Файл сохранён как070123_232137_for_7596_45b66e519f2fa.zipРазмер файла155451MD5e5baf48ae2b5fb3345b53ef3a92b9f05Файл закачан, спасибо!
-
Предыдущий карантин чистый.
1.Попробуем еще вот это:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll','');
QuarantineFile('C:\WINDOWS\system32\Mira6\5160C\Scnwia13.dll','');
RebootWindows(true);
end.
2. McAfee работает или нет? В сервисах довольно много его остатков.
3. Поискать comctl32.dll. Возможно, проблемы из-за несоответствия версии библиотеки.
Еще попробуй найти в AVZ drwtsn32.exe и добавить в карантин ручками.
Возможно их будет несколько.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Диск на который винда ругалась лучше проверить.
-
-
Junior Member
- Вес репутации
- 64
Диски проверил, скрипт выполнил. Зашел в Менеджер файла hosts, а там куча сайтов, которых я с роду не видал (его содержание приложил к карантину).
drwtsn32.exe не хочет лезть в карантин. Вместо него приложил его лог (также в карантине). И уж если не видно ничего, заново сделал 1-ый, 3-ий логи. Первый делал весь день, возможно перехватывались обращения к диску, отчего и были тормоза с выполнением. Второй не сделал, уж помилуйте. Но если скажете надо - сделаю.
Насчет comctl32.dll. Нашел его в четырех местах. Что с ней делать, просто заменить тот что в папке Windows?
Карантин:
Файл сохранён как070125_165623_for_7596_1_45b8b707e3b95.zipРазмер файла2096795MD58414b5a85581efd26fd3552b6b5f86e2Файл закачан, спасибо!
еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
А эта строка сама пропечаталась за секунду, пока писал сообщение.
Ну и логи:
Последний раз редактировалось shaman21; 25.01.2007 в 17:26.
-
Проверил то, что прислали на virustotal.com. Зверья не обнаружил.
В файле Hosts - следы Adblocker. Это не от вируса.
Видны следы от НОДа , Доктора Веба и Макаффи. Лучше их через HijackThis профиксить.
Нужно чтобы кто-нибудь еще посмотрел.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
Второй лог тоже сделал, выкладываю все три в одном архиве без пароля.
Проверил на virustotal - вроде чист.
LOG_7596.rar
-
Посмотри в реестре ключик:
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
Для нормального ХР д.б. logonui.exe, если пытался накатывать Vista, то vistaui.exe
М.б. что-то с этим связано.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 64
Стоит XP SP2, хотя ставил еще и SP3. Действительно, приносили прогу, так она ставит все оформление как в Vist'е (тема, звуки, окно загрузки, меню выбора пользователя и т.д.). Мож быть и из-за него - я не спец, вам виднее.
-
Junior Member
- Вес репутации
- 64
ВСЕ! Вроде вылечился! Отнес винты к другану, он проверил, все вычистил.
У меня орудовал Worm.win32.RJump.a. Кроме него выявлены Neshta.b и модификация Sasser'а. Если есть какие-то приколы с ними, ну там типа основной файл затаился где-то зашифрованный, просьба прошу предупредить. Да, сканировали KIS'ом.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 16
- В ходе лечения вредоносные программы в карантинах не обнаружены
-