Регистрация
Регистрация Поиск Сообщество  
Важные объявления
Старый 23.11.2006, 18:16     TS Старый   #1 (permalink)
Старожил
 
Регистрация: 08.10.2004
Сообщений: 706
Наконец-то по приезду дошли руки обновить патю. Неожиданно, сразу после установки, фаерволл выдал сообщение что некий процесс "13565" пытается получить доступ в инет. Так как это было после традиционных окошек с просьбами Пати о доступе в интернет, то это слегка насторожило. Полез искать это загадочное нечто. Оказалось что это "13565" лежит в системном каталоге system32, весит 7,5К и не имеет расширения. В доступе я ему отказал, после чего решил депнуть на Патю денежку. Открылось окошко моего ИЕ6.0 и... ЗАКРЫЛОСЬ!!!! Само! Я повторил процедуру. Закрывается! Отрыл about:blank, через 10 секунд окно схлопывается. Скачал последнюю базу к антивирусу avast!. Всё просканил. Не помогло, да и на эти файлы он не среагировал. :?
Решил посмотреть что висит в памяти, и.... по кнопкам Ctrl+Alt+Del в меня кинулось сообщение что "Диспетчер задач отключен администратором"!!! 8O При том, что я единственный юзер на своем компе. Винда ХР.

Решил загрузиться в Безопасном режиме. Диспетчер задач работает, ничего экстремального не висит, но ИЕ по-прежнему самопроизвольно закрывается, но уже с ошибкой 0хс000007b в iedw.exe.

Вопрос: что это и как это побороть?

ЗЫ РАН, кстати, 1.15i не хочет нормально отображать статы на игроков в кэше. Руки импортируются нормально, в СнГ проблем нет. Вопрос тот же: где копать?



Mike777 вне форума      
Старый 23.11.2006, 18:26   #2 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Поиск в Яндексе по названию "13565" ничего не дает, значит оно само генерит себе такое имя. Если есть возможность восстановить образ системы, то лучше это сделать. System Restore скорее всего не поможет, т.к. ты не знаешь, когда это проникло в систему, да и оно могло себя внести в какой-нибудь список, чтобы System Restore ее не вычищал. Если возможности восстановить систему нет, то я бы ее переставил, т.к. всегда может оказаться, что это только одна видимая часть, а что-то еще осталось незамеченным. На будущее могу посоветовать:
а) никогда не работать, не читать почту, не ходить в интернет под пользователем с администраторскими правами. В system32 мог что-то записать только вирус/троян, работающий с правами администратора;
б) иметь образ системы с максимумом используемых тобой программ, с которого систему можно будет быстро восстановить (10-15 минут). Для этой цели вероятно придется иметь отдельный диск (D для документов, бэкапа покерных заметок и прочих мелочей, чтобы в критический момент не париться с их спасением, а просто скопировать туда с C: недостающее этого типа и восстановить старый системный диск C: из образа, а диск с документами останется незатронутым. Потом после достановки нужных программ на C: нужные файлы с D: можно будет вернуть на место.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 23.11.2006, 18:37   #3 (permalink)
Бессмертный
 
Аватар для Gnome
 
Регистрация: 21.05.2005
Адрес: Москва
Сообщений: 6,763
Отправить сообщение для Gnome с помощью ICQ
в)
если нет образа, можно делать так:
стоит у тебя винда на диске С, если с ней что-то случилось, то ставим ещё одну на диск D, когда опять что-то случится, то на Е ставишь итд, этот способ удобен тем, что ты ничего не удаляешь и имеешь доступ к старой, пусть и убитой винде, а так же всему тому, что там было, типа кошельков вебмани с ключами итд.

по конкретному случаю, я рекомендую как можно быстрее сделать или пункт б или пункт в, после чего на всякий случай сменить все важные пароли, там от покеррумов, платёжных систем, icq итд, потому что вдург это ты трояна поймал
Gnome вне форума      
Старый 23.11.2006, 18:41   #4 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Сейчас весь алфавит переберем г) очень нужно ставить последние заплатки на Windows и IE - т.е. иметь включенным автоматическое обновление. Обычно важные заплатки выходят каждую неделю, иногда и чаще. Прямо сейчас это для тебя не актуально, но когда справишься с проблемой, то нужно не забыть этот пункт.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 23.11.2006, 19:09     TS Старый   #5 (permalink)
Старожил
 
Регистрация: 08.10.2004
Сообщений: 706
Т.е. сейчас кроме снести всё/поставить всё заново вариантов нет? Или есть возможность "мягкой перестановки" без "формат цэ комплит"? Просто волосы на голове шевелятся от ужаса как представлю, сколько всего переставлять.
Mike777 вне форума      
Старый 23.11.2006, 20:40   #6 (permalink)
Ветеран
 
Аватар для Gudini
 
Регистрация: 14.08.2004
Сообщений: 1,199
вероятно троян это
1)смотри рееестр что грузит у тебя винда при запуске
Run и Run once

2)найди все связанное с эти файлом

3)если есть откат откатись на месяц назад и глянь что будет с виндой
Gudini вне форума      
Старый 23.11.2006, 20:44   #7 (permalink)
Бессмертный
 
Аватар для Gnome
 
Регистрация: 21.05.2005
Адрес: Москва
Сообщений: 6,763
Отправить сообщение для Gnome с помощью ICQ
Цитата:
Сообщение от Mike писал чт, 23 ноября 2006 19:09
Т.е. сейчас кроме снести всё/поставить всё заново вариантов нет? Или есть возможность "мягкой перестановки" без "формат цэ комплит"? Просто волосы на голове шевелятся от ужаса как представлю, сколько всего переставлять.
у тебя диски на компе разбиты? или у тебя там только С?
Gnome вне форума      
Старый 24.11.2006, 09:25     TS Старый   #8 (permalink)
Старожил
 
Регистрация: 08.10.2004
Сообщений: 706
Цитата:
Сообщение от Gudini писал чт, 23 ноября 2006 20:40
1)смотри рееестр что грузит у тебя винда при запуске
Run и Run once
Чисто. Ничего подозрительного.
Цитата:
Сообщение от Цитата:
у тебя диски на компе разбиты? или у тебя там только С?
Разбиты на 3. Винда на С.
Mike777 вне форума      
Старый 24.11.2006, 11:22   #9 (permalink)
Бессмертный
 
Аватар для Профи
 
Регистрация: 01.03.2004
Адрес: RU
Сообщений: 5,045
Цитата:
Сообщение от Mike писал пт, 24 ноября 2006 09:25
Цитата:
Сообщение от Gudini писал чт, 23 ноября 2006 20:40
1)смотри рееестр что грузит у тебя винда при запуске
Run и Run once
Чисто. Ничего подозрительного.
Ничего в Current User (HKCU), в Local Machine (HKLM), в Autostart Главного меню, ...? Есть хорошая утилита от Sysinternals, показывает эти места и еще кучу других мест, где может быть прописан автозапуск (я очень удивился, когда увидел, сколько их - пара десятков точно, правда большинство обычно не зайдействовано). Sysinternals недавно купил Microsoft, поэтому прога теперь лежит на их сайте:
[Зарегистрироваться?] uns.mspx
Если что - прямо из нее можно отключить или грохнуть подозрительный объект.
__________________
На трудном пути к легким деньгам...
Профи вне форума      
Старый 24.11.2006, 11:46     TS Старый   #10 (permalink)
Старожил
 
Регистрация: 08.10.2004
Сообщений: 706
Знаю. Ей и смотрел. Ибо msconfig оказался куцеватым в этом плане. Если есть спецы - могу дать отчет (из File --> Save as).

PS Разрешил сам себе Диспетчер Задач. Пока работает.
Mike777 вне форума      

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Троян у хайроллеров CGM.RU Новости, статьи, репортажи.. 0 13.12.2013 09:40
WM. Троян. san_piter Ввод-вывод денег 854 21.12.2010 19:43
Троян в SharkScope!!! Evgesha Программное обеспечение 15 05.11.2009 21:08
Интересный IE. троян? тёркин Программное обеспечение 16 22.10.2007 10:49
троян ежык Поговорим за жизнь 12 18.11.2006 15:21



Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Выкл.
Pingbacks are Выкл.
Refbacks are Выкл.

Быстрый переход
Правила форумов CGM Контакты Справка Обратная связь CGM.ru Архив Вверх Главная
 
Использование материалов сайта разрешено только при наличии активной ссылки на источник.
Все права на картинки и тексты принадлежат Информационному агентству CGM и их ПАРТНЕРАМ. Политика конфидециальности
CGM.ru на Youtube CGM.ru на Google+ CGM.ru в Twitter CGM.ru на Facebook CGM.ru в vKontakte CGM.ru в Instagram

В сотрудничестве с Pokeroff.ru
Текущее время: 07:30. Часовой пояс GMT +3.
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot