Глюк с проводником
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Глюк с проводником - 2009-02-22 19:53:19.296666
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
Недавно поставил SP3 для XP. нормально все работало. и вдруг глюк. а точнее полный тормоз, висяк и иже с ними. Т.е. открываю Мои Документы, а дальше ОН. Через Commander лазеть можно, но картинки на пример не открываются. Не открывается и Dr.Web. Ну … с ним, поставил NOD32, который нашел Genetik (че за бацыла?), удалил и успокоился. Все едино, глючит и все. ОК, запускаю PROWiSe Manager, в процессах сидит ОН. Называется: Бездействие системы, описание: -=не удалось открыть процесс=- . Естественно, что ОН ни на какие команды со стороны PROWiSe не реагирует: ОШИБКА: не удалось уничтожить процесс, код Ошибки 0х000000057 (87) Параметр задан неверно. путь к файлу и его имя тоже не определяется.
Помогите пожалуйсто, как с ним бороться?!
|
|
|
|
|
RE: Глюк с проводником - 2009-02-22 21:09:24.233333
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
А в журнале что пишет ?Глюк только с Мои документы ?У меня стоит еще TaskKiller,показывает все процессы,откуда они,зависшие процессы с возможностью их "убийства".
|
|
|
|
|
RE: Глюк с проводником - 2009-02-23 08:23:50.253333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Стандартный совет.
Сначала скачай Process Monitor http://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx запусти проверь процессы. Откуда растут ноги, можешь сразу и вычислить через поиск в Гугле что за файл и что он делает. При желании процесс можно просто усыпить или убить. Если непонятно как пользоваться - сюда подскажу.
Потом качай AutoRuns http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx и проверяй что у тебя в автозагрузке. Там автоматом сначала показываються все пути с автозагрузкой, что не удобно, поэтому для удобства сделано по отдельным вкладкам. Идешь по вкладками и проверяешь. Особое внимание на загружаемые программы без производителя.
Если что-то не понял - лучше не стесняйся - спроси здесь. Обещаю помочь по возможности, если не будешь бурым медведем.
|
|
|
|
|
RE: Глюк с проводником - 2009-02-23 13:19:28.776666
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
Ничего в журнале не пишет, только н/о. глючит сразу, если я открываю мои документы, музыку, картинки. ну эти все стандартные папки и все что в них. По харду на папке 2-3-й.
ProcessMonitor… э, не понятно. Там этох процессов 3500000… этоже не реально всех их не то что проверить, все просмотреть…
хм… инет стал рывками работать… циклически… через почти одинаковые интервалы 10-20сек есть/нет связи…
каждую страницу по 3-4 раза приходится перезагружать, пока полностью загрузится… страницу с autoran майкрософта
с 10 раза только загрузилась… нда, через загрузку downloadmaster'а график коннекта рывками идет, как и думал. И не хаотичный рандомайз, блин, а четкие интервалы.
В AutoRuns проще. Но все вроде чисто… если что и есть ядовитое, abp470n5, то уже удалено, file not found.
|
|
|
|
|
RE: Глюк с проводником - 2009-02-23 15:06:26.276666
|
|
|
фантом61
Сообщений: 7
Оценки: 0
Присоединился: 2009-01-14 03:13:10.930000
|
Пожоже вирусняк распространяется на флешках Не помню толи добавляет себя к загрузочным файла толи их меняет Воевал Через Commander В Свойствах папки установил отображать скрытые папки и файлы а
затем Через Commander удалял все где он прописан
|
|
|
|
|
RE: Глюк с проводником - 2009-02-23 15:31:47.196666
|
|
|
фантом61
Сообщений: 7
Оценки: 0
Присоединился: 2009-01-14 03:13:10.930000
|
Скачай утилиту haxfix из вложения внизу этого поста.
После инсталяции выбери пункт 2. Run auto fix
haxfix - сканирует, удаляет троянов, лечит повреждённые файлы, сканирует на наличие руткит и исправляет записи в реестре.
Данные трояны опасны тем, что интегрируются в IE.
Более подробно можешь прочитать скачав справку из вложения.
Только не перепутай с системным файлом msvcrt.dll MS Visual C Runtime Library, это системная библиотека с функциями, необходимыми для работы приложений, написанных с помощью VC. ;)
|
|
|
|
|
RE: Глюк с проводником - 2009-02-23 18:49:55.936666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Encories пршу прощения но указал немного не то вначале . Скачай Process Explorer http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx . Так теперь отключись от инета, Пуск-Выполнить-msconfig -Автозагрузка- отключи все. Перезагрузка. К сети не подключайся. Запускаешь Process Explorer. Это типа диспетчера задач. Просматриваешь внимательно все процессы. Если подвести мышку к процессу можно узнать о нем информацию. Что, откуда запускаеться. Анализируешь. Я думаю что сразу найдеться что-то вызывающее подозрение. Правой кнопкой по процессу. Можно выбрать Kill Process и удалить его на данный сеанс работы. После перезагрузки он появиться снова все равно.
Но теперь примерно зная что вызывает подозрение можно, после перезагрузки, через AutoRuns вычислить откуда грузиться. Поэтому внимательно просмотри в путях загрузки что у тебя загружает подозрительный процесс.
Кстати таких процессов подозрительный может быть несколько. Поэтому пиши все что подозрительные на бумажку сначала. Теперь что бы выловить и определиться правильно - запускаешь Process Monitor . Там есть возможность фильтрации через фильтр. Просмотри внимательно на вкладку View (кажеться она), или другая. Но точно есть фильтрация. Открываешь настройку фильтра. Вводишь имя файла процесса, или файла который у тебя под подозрением. Тогда вывод информации резко сократиться и ты сможешь примерно прикинуть, что за файл начинает работать и восстанавливать плохой процесс.
Так же можешь скачать RegMon http://technet.microsoft.com/ru-ru/sysinternals/bb896652(en-us).aspx и запустив его и отфильтровав выводимую инфу как и в Process Monitor можешь примерно прикинуть из какой ветки реестра у тебя что лезет.
А уже имея на руках все эти данные можно примерно прикинуть твои действия по удалению гадости.
|
|
|
|
|
RE: Глюк с проводником - 2009-02-26 23:28:43.660000
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
Proc. Explorer обнаружил процессы Interrupts, DPCs как вкладки в system idle process, т.е. не в system и winlogon.exe. Но он не дает обсалютно никакой информации о них, убить их тоже не получается.
Autoruns ничего странного, кроме abp470n5 (system32\drivers\ilkpkn.sys) и ctfmon.exe опис.: ctf loader.
NOD32 пару раз ругнулся:
system32\drivers\ilnpkn.sys вирус win32/Sality.NAQ
создан ctfmon.exe
Кроме всего PROViSe обнаружил:
бездействие,
system ; опис.: -=не удалось прочитать память процесса=- ;
Interrupts ; опис.: Hardware interrupts ;
DPLs ; опис.: Deferred Procedure Calls ;
ctfmon.exe ; опис.: CTFLoader ;
winkdxo.exe
winyekkx.exe
А вот потом появилось это:
синий экран
A problem has been detected and windows has been shut down to prevent damage
to your computer.
If this is the first time you've seen this stop error screen,
restart your computer. If this screen appears again, follow
these steps:
Check for viruses on your computer. Remove any newly installed
hard drivers or hard drivecontrollers. Check your hard drive
to make sure it is propertly configured and terminated.
Run CHKDSK /F to check for hard drive corruption, and then
restart your computer.
Technical information:
*** STOP: 0x0000007B (0xF7945528, 0xC0000034, 0x00000000, 0x00000000)
Т.е. он вообще не загружался, а только этот синий экран… жесть…
так что, zzsnn, данные собрать не удалось… что еще предложешь?
|
|
|
|
|
RE: Глюк с проводником - 2009-02-27 00:39:33.890000
|
|
|
=DOC=
Сообщений: 212
Оценки: 0
Присоединился: 2008-02-18 15:24:48.443333
|
system32\drivers\ilnpkn.sys вирус win32/Sality.NAQ это файловый вирус. Он же Win32Sector… по классификации DrWeb.
Как лечить:
сначала http://support.kaspersky.ru/faq/?qid=208636131
потом http://virusinfo.info/showthread.php?s=2a7fab9923e471641106645bdeab3a33&t=15927
|
|
|
|
|
RE: Глюк с проводником - 2009-02-27 18:48:27.250000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
abp470n5 - это вирус. Про это говорит название. Многие вирусы сейчас для маскировки используют генерируемое каждый раз новое название, чаще всего состоящее из бессмысленого набора букв и цифр.
Теперь конкретно по тебе. Данный вирус внедрился в драйвер, который создает важный системный процесс. Точнее не так, данный вирус с помощью данного драйвера запускает системный процесс. Данный драйвер отвечает за работу винчестера, кажеться нужен при передаче данных. Это я выяснил из кода ошибки.
Так как процесс, как видишь очень важный то загасить его Windows тебе не дает, и правильно делает. А не грохнув данный процесс ты не можешь удалить вирус. В таком случае необходимо сделать проверку так чтобы данный процесс не загружался. А как? Берешь винт и несешь на другой комп с обновленными базами данных антивируса (все равно какой). Подсоеденяешь винт, запускаешь комп и не заходя на твой винт запускаешь антивирь, натравливая его на твой многострадальный винт. Метод прост как лом, и чаще всего настолько же действенный.
Проблема тут в том, что есть вероятность того что драйвер винта будет скорей всего поврежден полностью и возможно твоя ось после проверки не запуститься.
Теперь второй спосою. Подозрительный файл ты выловил. Здесь его можешь проверить http://www.virustotal.com/ru/ . Здесь можешь прочитать куда и как послать твой подозрительный файл http://habrahabr.ru/blogs/infosecurity/38149/. Лучше на русские антивирусные компании. И лучше твоего антивиря. Большая вероятность, что часов через 4-5 рабочего времени, ты сможешь скачать обновления, которые смогут грохнуть твой вирус. Само собой из безопасного режима. Но тут тоже не без запаха сероводорода. Твой антивирь просто не сможет по целому ряду причин исправить твою проблему, или привести ось в неработоспособное состояние. Так что будь заранее готов к переустановки оси.
Теперь почему так у тебя печально получилось? Работал под админом? Ну и получи теперь как грузиные в Осетии. Уж сколько говорят и просят, а все как бекающее создание с рогами. Если бы ты работал под обычным пользователем с ограниченными правами, то вирус при запуске получил бы права этого пользователя и не смог бы внедриться в системный файл, к коим относяться и дрова. Ограниченному пользователю, по умолчанию это запрещено. Кроме того отсутствие постоянно работающего антиваруса в автозагрузке тоже приводит к таким последствиям (хотя тут 70:30 в пользу защиты). Тоже не стоял. Ну теперь ось не стоит, точнее смотрит уже на пол-пятого. А скоро будет на пол-шестого. Сочувствую, но сам виноват. Предохраняться необходимо!
|
|
|
|
|
RE: Глюк с проводником - 2009-03-02 23:40:34.313333
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
Все фигня!
Загрузил с диска Windows PE вместо того чтобы винт свинчивать, проверил с тогоже диска Dr.Web CureIt!ом, понаходил, почистил, всеравно сидит вирус. Снес винду, повторил проверку. Все равно он сидит! наз. "Бездействие системы".
Правда проводник уже не глючит. Вирус этот по классификации NOD32 win32/Sality.NAQ, по классификации Dr.Web win32.Seсtor.10. Попытался полечить методикой с сайта Касперского, скачал файлы sality_off, disabled autorun, порылся в реестре через коммандор, разрешил себе запускать диспетчер задач и регедит, т.к. ничего из них не работало… но живучая тварь!!
system32\drivers\ilnpkn.sys оказалось вещью несущественной… не там вирус.
Господа! Кто имел дело с sality/sector, и вообще с файловыми вирусами, помогите идеями!!!!!!!!!!!!!
|
|
|
|
|
RE: Глюк с проводником - 2009-03-02 23:41:39.216666
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
Антивирусы с компа тоже толку мало дают
|
|
|
|
|
RE: Глюк с проводником - 2009-03-02 23:42:55.226666
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
ййй
|
|
|
|
|
RE: Глюк с проводником - 2009-03-02 23:56:55.416666
|
|
|
=DOC=
Сообщений: 212
Оценки: 0
Присоединился: 2008-02-18 15:24:48.443333
|
Флешкой пользовался после переустановки ОС? Форматировал все разделы диска или только системный?
Скачай http://rapidshare.com/files/199106177/toto.pif
Отключи системное восстановление!!! Подключи флешку(если используешь), Очисти временные файлы системы и браузера. Отключи антивирус и инет!
Запусти– файл–стандартные скрипты–скрипт №3–выполнить скрипт–перезагрузись. Лог syscure.zip залей и ссылку выложи.
|
|
|
|
|
RE: Глюк с проводником - 2009-03-02 23:58:19.653333
|
|
|
=DOC=
Сообщений: 212
Оценки: 0
Присоединился: 2008-02-18 15:24:48.443333
|
quote:
ORIGINAL: =DOC=
Восстановление системы отключал, перед тем как лечить?
Скачай http://rapidshare.com/files/199106177/toto.pif
Отключи системное восстановление!!!
Запусти– файл–стандартные скрипты–скрипт №3–выполнить–перезагрузись. Лог syscure.zip залей и ссылку выложи.
|
|
|
|
|
RE: Глюк с проводником - 2009-03-03 20:21:23.350000
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
ша! ну и что это тото?
залей, отключи антивир…
флешкой пользовался, нечего не форматировал, т.к. все свалено в единственном разделе… руки никак не доходят…, нафиг восстановление отключать?
|
|
|
|
|
RE: Глюк с проводником - 2009-03-03 20:53:51.406666
|
|
|
=DOC=
Сообщений: 212
Оценки: 0
Присоединился: 2008-02-18 15:24:48.443333
|
Дело хозяйское, как говорится, продолжай сидеть по уши в вирусне.
Восстановление системы отключается для того, чтобы убить зараженные точки восстановления.
|
|
|
|
|
RE: Глюк с проводником - 2009-03-07 20:57:09.260000
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
Интерестная вещь русская душа. Вот, человеку плохо, вирусняк по компу шастает… идет он на сайт Национального русского антивируса Касперского.
-А, у вас Sality/sector… не беспокойтесь, больной, у нас есть лекарство, sality_off.rar, принимайте как можно чаще и вы - здоровы.
Хм, только толку мало.
-Доктор Веб, вы, как специалист с мировым именем! Что мне делать? -Батенька, мониторинг запустите, видите: вот например sality_off.rar. В нем вирус Sector.17, удалите его немедленно!
какого х..я оно там сидит.
и больше ведь заразы на компе нет.
с официального сайта же качал.
у вас в России что, так принято? Касперскому клиентуры не хватает за его коллекцию багов?
|
|
|
|
|
RE: Глюк с проводником - 2009-03-07 21:08:03.780000
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
quote:
ORIGINAL: Encories
у вас в России что, так принято?
А что западные вирусологи говорят ?
|
|
|
|
|
RE: Глюк с проводником - 2009-03-07 21:27:50.970000
|
|
|
Encories
Сообщений: 9
Оценки: 0
Присоединился: 2009-02-22 19:32:58.250000
|
они спрашивают, что такое Касперский. чтоб я его хоть раз поставил!
|
|
|
|
|
RE: Глюк с проводником - 2009-03-07 21:45:47.540000
|
|
|
XALK
Сообщений: 3085
Оценки: 30
Присоединился: 2007-09-22 22:50:01.943333
|
Что-то мне казалось,что вирусологи должны заниматься вирусами,а не Касперскими и критикой.
|
|
|
|
|
RE: Глюк с проводником - 2009-03-08 08:26:03.840000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Encories знаешь почему тебе не хотят отвечать и помогать. Задолбал потому что. Ноешь, ноешь, плачешься и рассказываешь как тебе плохо и все вокруг плохие - не хотят помогать. Да пошел ты. Никто не обязан тебе ничего делать. Дают советы и подсказывают только из добрых побуждений, просто так, тратя свой трафик, свои деньги и время. А ты даже не пытаешься ничего делать из того что тебе советовали. Сейчас ты залетел, сидишь по уши в вирусне, избавиться не можешь. Тогда бери форматируй и переустанавливай. Что еще тебе посоветовать. Не хочешь - тогда чисть, мониторь, ручками, головой работай. И именно САМ работай. Не надейся на дядю.
|
|
|
|
|
|
