Решена Этого не знает Гугль...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем voron5, 25 мар 2010.

Статус темы:
Закрыта.
  1. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Совершенно безобразная работа браузера (даже обновлённого до свеженького Opera 10.51) - медленная загрузка с частым вылетом (Forbidden, вроде как, ошибка там с номером - даже эту страницу в форуме удалось открыть не с первого раза), произвольно открываются новые вкладки, до окончания загрузки в них меняется адрес и загрузка начинается снова.Чехарда заканчивается либо какой нибудь рекламной страничкой типа Маркетгид, но чаще - Оперу вышибает полностью, перезапуск с загрузкой по месту разрыва приводит к загрузке совершенно другой стравницы из ранее открытых. Нередко на пустом поле окошко с анимацией "загрузка апплета" (такие я гашу сразу, с очисткой истории - как и порнушные, которые тоже вылазят частенько сами).
    Комп иногда впадает в странное состояние - резко гаснет монитор, индикация статуса мигет, как в в "спящем", но комп не спит и не реагирует на команды. Бывает блокируется диспетчер, отключается Каспер, не работает Проводник, но при этом качалки бодренько сосут своё!!!
    Ну вот - опять пишу вслепую - текст не помещается в окне, линейка не шевелится. О!, заработало! Сделал по правилам логи, посмотрел - ничего страшней, чем было ранее не нашёл. Но вот новенькое кое-что есть:
    Гугль не знает ни такой службы, ни такого файла. АВЗ его не унюхала, в карантин и т.д. он не попал. Есть ещё старые знакомцы MsSip1-3 тоже нигде не могу про них ничего найти. Они встречаются в логах заражённых машин, но в описаниях обнаруженных там зловредов не встречаются. Что это за файлы? Очень приметное название, а принадлежность -...?
    А при попытке отправить сообщение - "соединение закрыто удалённым сервером". Так что ушли мои логи или нет - без понятия:shout:
    Удалось с третьего раза.
     

    Вложения:

    Последнее редактирование: 28 мар 2010
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Program Files\Common Files\BinarySense\hlAPP.dll','');
     QuarantineFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\RIPJCNGXZ.exe','');
     DeleteFile('C:\DOCUME~1\8C45~1\LOCALS~1\Temp\RIPJCNGXZ.exe');
     DeleteService('RIPJCNGXZ');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Повторите логи и проверьте температуру GPU.
     
    6 пользователям это понравилось.
  3. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Сегодня наблюдались: блокировка Проводника, отказ в доступе к любым файлам, нарушение соединения (ошибка 619) с интернетом и прочие безобразия. Подготовка к лечению была проведена заранее, АВЗ с запинками но сработало, скрипты выполнены. Логи новые прилагаю, карантин выслан. Пока вроде бы всё нормально, в логах тоже.
    Есть логи, выполненные до заражения (месяц-два). Чем объяснить такое различие, как определить - откуда "обновки"? Есть такие утильки?
    Температуру видеокарты определить не смог, не имею такой программки, а Everest UltEngrngEd не смог найти датчика в RadeonX300.
    --------[ Датчик ]------------------------------------------------------------------------------------------------------

    Свойства датчика:
    Тип датчика SMSC LPC47M192/997 (SMBus 2Dh)
    Системная плата MSI MS-7093

    Температуры:
    Системная плата 37 °C (99 °F)
    ЦП 44 °C (111 °F)
    ЦП диод 36 °C (97 °F)
    WDC WD800BB-22JHC0 41 °C (106 °F)
    WDC WD800BB-88JHC0 44 °C (111 °F)

    Вентиляторы:
    ЦП 1365 RPM
    Шасси 1429 RPM
     

    Вложения:

  4. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.464
    Симпатии:
    3.095
    2 пользователям это понравилось.
  5. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Большое спасибо спецам за действенную помощь. Но осталось несколько важных для последующей "жизнедеятельности" вопросов. Первый - обычный в таких случаях - "А чё это было?!" Потому как зловред не дался найти себя с отправкой на исследование. А Гугль действительно RIPJCNGXZ.exe не знает. (Теперь, впрочем, знает - ЭТА тема, да ещё извращение её на http://www.news-security.ru/etogo-ne-znaet-gugl/ - без ссылки на источник, кстати) И вот тут подкатывает к горлу главный вопрос: каковы верные разумные действия при встрече с подозрительным файлом (службой, приложением и т.д.), имя которого не знакомо ни одному антивирьному ресурсу, а отковырять кусок для отправки на анализ не удаётся по разным причинам (отказ в доступе, маскировка, отклонение запросов, неотражение в Проводнике пр.)? Ведь может и выход в инет накрыться, даже помощи попросить будет невозможно, да и погуглить тоже? Существует ли какой-то надёжный подход, этакая
    Суперскорая суперпомощь при суперзапорах...
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    А точно и не скажешь, я не видел карантина.

    Кто то подключил трансляцию RSS.

    Суперклизма: не работать с правами админа.
     
    6 пользователям это понравилось.
  7. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Выслал повторно.
    У компа появилось странное поведение при загрузке - долго остаётся чёрным экран перед "выбором" пользователя. Сегодня вообще прикол - экран чёрный, светодиод на клавиатуре не горит, на мыша не реагирует (до того удавалось одним кликом продолжить загрузку). зато пробежался бессистемно по клавишам - сразу открылся МОЙ рабочий стол! Понаблюдаю, может ещё чего...
    Беда вся в том,что второй юзер этой машинёшки кроме Вконтакта - нигде не сидит, и упорно слушает музыку и смотрит видео только там, на страницах. Так что я не за собой выгребаю постоянно... Давал ему права простого пользователя, не работала большая часть нужных ему программ - пришлось вернуть права. Под Админом не работает никто, но у обоих права админские. Пожалуй, стоит погуглить насчёт установки прав с ограничениями...
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    В карантин ничего вредоносного не попало.

    Добавлено через 8 минут 44 секунды
    Необходимо обновить windows до SP3(возможно потребуется повторная активация) + IE8 + все критические обновления.
     
    4 пользователям это понравилось.
  9. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    Всё к этому идёт, тем более - объявлено, что с 2012 года прекращается поддержка ХР, а на "семёрку" железка дряхловата... Мой конфиг вызывает истерический ржач на железячных форумах и советы по оптимизации начинаются с "открыть форточку...":blush:
    А то, что дряхлая SP2 образца 2005 года - это "Вэлкам!!!" для зверья - уже понятно, значит - учесть нужно и всем таким же, как я.
    Пробежался для верности ещё и кюреитом свежайшим (уже 6-ка!), тот отрыл в папке с файлами Явы эксплойт с зараженными архивами и закарантинил их. А вот куда - не смог я его допросить. После процедуры удаления комп дико подтормаживал с загрузкой проца 100%,а затем кувыркнулся в перезагрузку. Повторный запуск сканирования ничего не обнаружил.
    Можно считать - всем спасибо, всё срослось и все живы!:yess::victory::dance2:
     
    Последнее редактирование: 1 апр 2010
  10. voron5
    Оффлайн

    voron5 Активный пользователь

    Сообщения:
    35
    Симпатии:
    13
    К сожалению, эксперименты придётся прекратить - прогнившая система расползлась по швам. Пришлось срочно ставить предварительно заготовленную SP3 со свежими обновлениями. Жизнь продолжается... Теперь не могу объяснить сам себе - а что мне не давало сделать это раньше?!
     
Статус темы:
Закрыта.

Поделиться этой страницей