Windows + Каспер + Вирусы= ?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Windows + Каспер + Вирусы= ? - 2009-11-18 16:05:11.966666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
С недавних времён стала замечать потрясающую хрень, Кис 2010, начинает жутко грузить систему, и потом вообще её вешает в ноль. Ещё был замечен прикол с файлом подкачки, постоянно меняется.. в большую сторону.
Потом Каспер вообще пропадает, т.е. в автозагрузке висит, но не загружается. Понятное дело вирусы.
С файлом подкачки я разобралась, с тормозами вроде тоже. Но мне интересен тот факт, как вирус может блокировать старт Каспера?, и как он это делает? Повреждая avp.exe?
Вообщем хочется понять, как он блочит старт, как это исправить, и наооборот "исскуственно" создать.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-11-18 16:10:30.820000
|
|
|
VaZoNeZ
Сообщений: -6758
Оценки: 0
Присоединился: 2008-10-31 14:38:43.796666
|
Сперва, если Киска все же работает, найди и залей сам вирус - можно будет узнать, как он это делает.
Если же кис в дауне, качай AVZ, проверяйся и опять же, заливай найденный вирус.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-01 21:20:20.906666
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: VaZoNeZ
Сперва, если Киска все же работает, найди и залей сам вирус - можно будет узнать, как он это делает.
Если же кис в дауне, качай AVZ, проверяйся и опять же, заливай найденный вирус.
Не могу такую бяку найти, была одна, но не успеваю протестить, Каспер как серпом по яйцам (Прощу прощения), сразу "приказывает долго жить".
а.г. Ну не ужели ни у кого никаких идей по этому поводу? Все сдулись? Читать инструкцию к своему пк, или типа "Как устроен Цштвщцы" - не нада.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-01 23:35:17.403333
|
|
|
Cheater_UA
Сообщений: 64
Оценки: 0
Присоединился: 2009-08-24 17:01:00.963333
|
Как я понимаю кис свой екзешник по контрольной сумме проверяет.. если сумма не совпадает то он начинает орать что файлы повреждены и надо восстановиться…
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 00:06:53.440000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Очень похоже на сплоит против каспера, или на эвристику замучавшуюся с пакером. Насчет файла подкачки - это уже система решает его увеличить (когда каспер требует ресурсов). Как вариант поймать момент начала загружения каспером компа и глянуть в его потоки. Если будет много одинаковых значит я прав и последствия могут быть любыми, вплоть до порчи exe, если нет, то искать ещё какие нить средства анализа процесса зависания. Например processmonitor. А у тебя эвристика включена?
PS конечно это фантастика но кто его знает.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 07:07:29.806666
|
|
|
HUGO_BOSS
Сообщений: 2146
Оценки: 157
Присоединился: 2007-11-22 09:38:07.850000
|
Привет. Я тоже такое замечал но на слабых компах. Можешь дать характеристики компа?
quote:
Но мне интересен тот факт, как вирус может блокировать старт Каспера?, и как он это делает? Повреждая avp.exe?
Я тоже сталкивался с этим, встречался с вирусом который не давал устанавливать Каспер и постоянно падал в перезагрузку:))))
quote:
Вообщем хочется понять, как он блочит старт, как это исправить, и наооборот "исскуственно" создать.
Тебе это зачем? Может просто вирус убирает из автозагрузки Каспер?
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 08:00:01.820000
|
|
|
saimon 2metra
Сообщений: 4281
Оценки: 0
Присоединился: 2007-01-26 10:56:51.426666
|
Насчет автозагрузки не знаю, но, к примеру, с разновидностью кидо встречался, который просто блочил работу Каспера, вероятно, хук, потому как убиение зловреда сразу же приводило к запуску Каспера.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 08:38:06.003333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Снеси каспера и проверяй систему без него, Саймон в правильном направлении думает, проверь систему антируткитом.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 08:39:26.093333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Ltonid
Очень похоже на сплоит против каспера, или на эвристику замучавшуюся с пакером. Насчет файла подкачки - это уже система решает его увеличить (когда каспер требует ресурсов). Как вариант поймать момент начала загружения каспером компа и глянуть в его потоки. Если будет много одинаковых значит я прав и последствия могут быть любыми, вплоть до порчи exe, если нет, то искать ещё какие нить средства анализа процесса зависания. Например processmonitor. А у тебя эвристика включена?
PS конечно это фантастика но кто его знает.
Загрузил красавчик, эвристика - это типа Интелектуальный режим? или анализатор? включен и тот и тот. Каспер у меня всегда в агрессивном режиме пашет.
quote:
ORIGINAL: HUGO_BOSS
Привет. Я тоже такое замечал но на слабых компах. Можешь дать характеристики компа?
Пк:
Видео Radeon 2600ХТ вроде, не помню, 512 мБ.
quote:
ORIGINAL: HUGO_BOSS
Тебе это зачем? Может просто вирус убирает из автозагрузки Каспер?
А чтоб некоторые на работе не расслаблялись.
Нет, Каспер в автозагрузке висит, но не стартует. Как это понять ума не приложу, мб в реестре что?
quote:
ORIGINAL: saimon 2metra
Насчет автозагрузки не знаю, но, к примеру, с разновидностью кидо встречался, который просто блочил работу Каспера, вероятно, хук, потому как убиение зловреда сразу же приводило к запуску Каспера.
Тоже офигенный вариант, но недавно был случай, ездила в другой город на фирму там по 8.2 общаться, у одного бухгалтера был рассадник. Сис админ сказал фразу: "Сдаюсь" я прошурстила быстренько, там был Кидо + червь Салити, причем убиение Кидо работу Каспера не исправило, он так и не запустился, там пк действительно был слабый, озу около 750мБ про остальное молчу, вообщем я к чему, uninstall Каспера и поставила Avira, там она нашла кучу вирусов убила и все такое, восстановление системы было выкл. Но через пару дней даже Avira отказалась работать, при старте выдаёт ошибку: "Self test fаiled" т.е. антивирь то стартовал, но службы его не работали, в ручную тоже не запускались. Такая вот фигня)) Подозрение, что у Кидо спермотоксикоз и бедняга начинает нагибать всех подряд, вот глядишь там и получился какой нибудь КидоСалити. ))
Ещё вспомнила одну вещь, такое проходило не только с Каспером но и с AVZ, запуск был не возможен.
Однако с АВЗ решалось просто, менялось имя и расширение и прога стартовала, а Каспер нет, там было что то типа: "Занято другим процессом" etc. Жаль не было Unlocker'a я бы глянула каким процессом(( ТЕперь не знаю когда такой случай ещё выбьеться.
quote:
ORIGINAL: Flint_ta
Снеси каспера и проверяй систему без него, Саймон в правильном направлении думает, проверь систему антируткитом.
Семён то верно говорит, однако не только Кидо блочит старт и работу Каспера.
Помнишь я давала тебе файлик TX1platform.exe он тоже блочил старт Каспера и его убиение проблему не решило :)))
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 11:25:39.086666
|
|
|
HUGO_BOSS
Сообщений: 2146
Оценки: 157
Присоединился: 2007-11-22 09:38:07.850000
|
Комп у тебя вроде неслабоват)))))), должен летать и не замечать работу Каспера.
Посмотри - стоит ли галочка "уступать ресурсы другим приложениям".
drweb cureit'oм не проверяла?
Неделю назад поставил у друга КИС 2010 активировал, работает все нормально, систему не вешает.
У тебя лицензионный Касперский?
Скачай отсюда http://support.kaspersky.ru/wks6mp3/error?qid=208636215 kidokiller и проверь комп. Все может быть))))
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 12:14:57.526666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Я не пойму почему не рассмотреть версию с самозацикливанием. Для аваста и вёба такие вирусы создавались в виде архива, там ошибки в коде были. Потом шел шелл код и антивири уходили на тот свет. Если это действительно руткит, то каспер его не найдет, увы.
А вторых антивирей не откуда не могло прийти?
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 12:30:07.730000
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Вирусы которые блокируют запуск Касера появились давно, странно что тема появилась только сейчас… Касательно AVZ скажу честно он мне не разу не помог в похожих ситуациях. Dr.Web CureIt меня не раз спасал либо LiveCD.
А идеального Антивируса ни когда не было и не будет, это простой бизнес между Майкрософтом и Антивирусными лабораториями и те и другие от вирусов получают не малую прибыль…
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 19:12:45.310000
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
C одного из форума цитирую. С полгода назад его читал, сейчас и не вспомю автора и откуда, в свое время просто скопировал для разбора, сразу времени не было разобраться:
"Итак что такое Sality ?
Возможно у меня была разновидность этой штуки нового поколения, я не знаю. Разбирался руками долго и в итоге могу коечто рассказать.
Sality это комплекс содержащий в себе набор троянских программ ворующих пароли к ftp сайтам из far, wincmd, tcmd и т.д., набор кейлоггеров которые воруют пароли к системе, спамботов которые рассылают спам и сам модуль который производит заражение компов. В ходе разборок оказалось, что почти вся сеть в количестве 40-50 машин оказалась затроянена по самое небалуйся, и это при наличии каспера и других антивирусников.
Теперь перейду к разбору комплекса.
Корневой блок Sality.M устанавливается в систему в виде драйвера IpFilterDriver и загружается при каждой перезагрузке. У каждого пользователя в реестре создаётся раздел в HKCU\Software\<логин>914
в котором вирус хранит своё тело в зашифрованном виде в виде шестнадцатиричных ключей. В файл system.ini вирус прописывает значения на указатели реестра где находится код тела примерно вот в таком виде.
[MCIDRV_VER]
DEVICEMB=127446824460
[MCI_DPI32]
DRV_VER=0A34224648
Вирус инфицирует запускаемые файлы путём перехвата запуска файла, внедрения в него своего кода, сохранения и повторного запуска этого же файла.
У меня попалась разновидность вируса которая интегрировалась в систему помимо IpFilterDriver как SCSI контроллер у которого вместо драйвера было указано \??\c:\windows\system32\drivers\.sys по моему с именем DPTI3910, уже не помню. Это был основной кусок ядра вируса, мы его чудом сдампали из процессов при помощи avz.
Теперь о внутренностях.
Вирус содержит процедуру самосборки, при запуске вирус лезет по указанным ниже адресам для докачки своих частей якобы в виде картинок.
http://___pzrk.ru/img/logo4.g0
http://___pacwebco.com/Photos/logost.g0
http://___89.149.227.194/tratata3/
http://___perevozka-gruzov.ru/ft.g0
http://___perevozka-gruzov.ru/as.g0
Далее собирает свой код и устанавливает в систему. После запуска сервиса пытается зарегистрировать DNS имя в локальном домене SOSiTE_AVERI_SOSiTEEE.haha.domainname для дальнейшей раздачи кода внутри локальной сети.
Если имя SOSiTE_AVERI_SOSiTEEE.haha успешно зарегистрировано, вирус приступает к раздаче кода.
От имени текущего пользователя вирус дергает NBSTAT читая имена компьютеров которые видны в локальной сети. Определяет имя компьютера и пытается подключиться к системным шарам для раздачи кода. Если запуск трояна произойдет на машине админа, то вся сеть через некоторое время превратится в один сплошной ботнет. В нашем случае так и произошло, т.к. обновления баз производятся под админским аккаунтом.
Вирус маскирует себя внедряясь в ring0 ядра и убирает любые упоминания о себе из списка процессов подменяя PID и имя на пустоту.
Далее вирус начинает собирать на эту машину троянов и руткиты из интернета хотя по разным адресам. Спамботы поднимают соединение с корневыми спам ботами(p2p сеть) и ожидают команд.
Ядро вируса попавшее в ring0 обеспечивает прикрытие спамботов, подтаскивая новые экземпляры по мере удаления процессов и файлов из системы. при попытке загрузить файлы имеющие в названии окна или имени файла части распространённых антивирусных систем вирус просто напросто пристреливает процессы. Спустя некоторое время вирус начинает заражать системные файлы и утилиты формируя список "доверенных" приложений. Со временем в этот список попадают касперский, cureit, trendmicro которые будучи запущены из-под "доверенного" процесса заражаются и получают обрезанный блок памяти, где успешно блокируются ядром вируса при попытках лечения зараженных файлов.
Первым делом вирус заражает dllcache и system32 файлы logon.scr для того, чтобы обеспечить себе стабильный запуск когда пользователя не будет на месте. Следующие объекты это hkcmd и ctfmon которые стартуют на системном уровне, а также у каждого пользователя при загрузке.
Далее вирус заражает всё что находится в реестре в "Run" разделе, обеспечивая себе распространение по машине и живучесть. После того как основные файлы заражены, вирус приступает к последующему заражению часто запускаемых пользователем приложений.
В общем штука реально страшная. Сравнить по опасности могу только с OneHalf и Win.CIH. Код вируса полиморфный и зашифрованный, коды троянов и спамботов запакованы FSG и UPX. Код спамботов содержит список всех популярных dnsbl списков для проверки ip адреса на блокируемость !!!!
Также содержит адреса релеев yandex.ru, aol.com и еще чьи-то для(предположительно) проведения DDOS атак или для отправки ворованных данных. Если адрес с которого бот проверяет себя в базах не блокируется, то спам бот по udp сообщает корневым спамботам свой входящий порт для трансляции команд. Код ядра самого вируса открывает для спамботов порт ipsec во встроенном firewall windows. Для каждого нового бота он делает исключение в списке разрешенных программ."
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-02 20:07:59.750000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
[offtop]
Б-р-р, аж жуть. А я только хотел с ним поиграться))
Если добавят функцию размножения на флешках, миру конец))
[/offtop]
Плохо другое, что это ни один вирус не объясняет загрузку компа каспером и дальнейшее повисание. Убийство, порча exe, не давание работать, но чтото им управляет, так чтоль?
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-04 10:23:12.636666
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Честно, я в шоке от данной статья!!! В таком тепмпе после заражения компа, как не смешно, но придётся выдёргивать шнур пока вирус не заразили все системные файлы ))…
Ltonid - скорее не миру конец, а Виндовсу )), да поможет нам Линукс!!! [sm=ds.gif]
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-05 21:52:27.603333
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Ltonid
Я не пойму почему не рассмотреть версию с самозацикливанием. Для аваста и вёба такие вирусы создавались в виде архива, там ошибки в коде были. Потом шел шелл код и антивири уходили на тот свет. Если это действительно руткит, то каспер его не найдет, увы.
А вторых антивирей не откуда не могло прийти?
Очень интересную идею ты предложил, с удовольствием рассмотрю и даже проэксперементирую :)
Скажи, что нужно делать))
quote:
ORIGINAL: zzsnn
Я даже читать не стала.
Салити обычный файловый вирус, ест *.ехе файлы, тем самым делая запуск проги невозможным. Близнец win32.sector17.aa - говорят, что это и есть салити, но на моёй памяти Салити никаким боком и даже не пытался вылезти в инет, и уж подавно что то там скачать)) А сектор напротив, активно им пользовался.
Сдаёться мне, судя по 1 абзацу яяытт, мои глаза мне врут хД [sm=ag.gif]
з.ы. Ещё вопрос, можно ли отследить куда сохраняется пасс вводимый в банк клиенте? занимался кто нить этим?
загрузка банк клиента без 1.44 невозможна.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-06 07:24:53.460000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Как вариант поймать момент начала загружения каспером компа и глянуть в его потоки. Если будет много одинаковых значит я прав и последствия могут быть любыми, вплоть до порчи exe, если нет, то искать ещё какие нить средства анализа процесса зависания. Например processmonitor.
Держать окно ProcessExplorer перед глазами (он не зависит от explorer.exe и надеюсь не успеет зависнуть).
З.ы. я предлагаю такой варинат только потому что ситуация не типичная, но с другой стороны сплоит для каспера это фантастика))
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-06 10:18:11.796666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
Почему фантастика? На моих глазах рубили загрузку каспера на раз. Смысл был достаточно прост, вот реализация требовала хорошего знания ассемблера. Идея заключалась в запуске вируса до загрузки каспера, а дальше по обстоятельствам, можно отрубить или загрузить по полной. До загрузки каспера идет загрузка дров и отдельных сервисов. С сервисами морока. Win может ругаться на их изменения, а вот дрова - то что надо. Тогда, при мне, вирус иммитировал дрова для флопика. Точнее он немного модифицировал данные дрова. Хотя ребята и говорили, что это очень неудачный вариант. Лучше использовать достоточно редкое оборудование, дрова для которого ипользуется в Win, например SCASI, но с ними разбираться долго было, да и литературы по ним нет, а вот флопик - везде описан, прерывания известны, модификацию намного легче сделать. Но флоп не на каждом компе есть.
Дрова грузятся до каспера, а с ними и наш вирус. Далее он просто вводит в даун каспера, и можно работать.
Что необходимо для данного вируса? Работает ТОЛЬКО под своей версией Win, на другую не пойдет, необходимы права админа. Тут уже не проблема на домашнем компе.
Тогда это было как развлечение, до полной реализации не довели вирус. Было просто интересно как отрубить антивирь. Тогда Panda вырубали. Но с касперским то же самое. Никакой разницы. Но, повторяю, для реализации данной схемы нужно хорошо рубить в ассемблере, что бы модифицировать дрова и не уронить оборудование к этим дровам.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-07 08:42:22.170000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Ltonid
quote:
Как вариант поймать момент начала загружения каспером компа и глянуть в его потоки. Если будет много одинаковых значит я прав и последствия могут быть любыми, вплоть до порчи exe, если нет, то искать ещё какие нить средства анализа процесса зависания. Например processmonitor.
Держать окно ProcessExplorer перед глазами (он не зависит от explorer.exe и надеюсь не успеет зависнуть).
З.ы. я предлагаю такой варинат только потому что ситуация не типичная, но с другой стороны сплоит для каспера это фантастика))
Блин, для этого мне нужен относительно слабый пк.. с озу где то 750Мб.. не думаю, что на моём Пк это прокатит..))
quote:
ORIGINAL: zzsnn
Почему фантастика? На моих глазах рубили загрузку каспера на раз. Смысл был достаточно прост, вот реализация требовала хорошего знания ассемблера. Идея заключалась в запуске вируса до загрузки каспера, а дальше по обстоятельствам, можно отрубить или загрузить по полной. До загрузки каспера идет загрузка дров и отдельных сервисов. С сервисами морока. Win может ругаться на их изменения, а вот дрова - то что надо. Тогда, при мне, вирус иммитировал дрова для флопика. Точнее он немного модифицировал данные дрова. Хотя ребята и говорили, что это очень неудачный вариант. Лучше использовать достоточно редкое оборудование, дрова для которого ипользуется в Win, например SCASI, но с ними разбираться долго было, да и литературы по ним нет, а вот флопик - везде описан, прерывания известны, модификацию намного легче сделать. Но флоп не на каждом компе есть.
Дрова грузятся до каспера, а с ними и наш вирус. Далее он просто вводит в даун каспера, и можно работать.
Что необходимо для данного вируса? Работает ТОЛЬКО под своей версией Win, на другую не пойдет, необходимы права админа. Тут уже не проблема на домашнем компе.
Тогда это было как развлечение, до полной реализации не довели вирус. Было просто интересно как отрубить антивирь. Тогда Panda вырубали. Но с касперским то же самое. Никакой разницы. Но, повторяю, для реализации данной схемы нужно хорошо рубить в ассемблере, что бы модифицировать дрова и не уронить оборудование к этим дровам.
Anvir Task Manager
- батон "Автозагрузка" - пкм - редактировать - удалить запись - "Удалять эту запись автоматически"
- батон "Процессы" - avp.exe - добавить к заблокированным "Карантин"
Для этого не нужно знание языка програмирования, результат тот же, а действий меньше :)
quote:
ORIGINAL: DeSTRo
з.ы. Ещё вопрос, можно ли отследить куда сохраняется пасс вводимый в банк клиенте? занимался кто нить этим?
загрузка банк клиента без 1.44 невозможна.
Вопрос актуален. (Вообще хочется поговорить с грамотным человеком по поводу взломов)
з.ы.ы. Ещё вопрос, ситуация:
- Пк, обычный офисный стандарт, хотя 2 яйцевый камень.. какой тут нахрен стандарт.. Имеется ось, свежеустановленная, всё дополнительное по установленно. Прикол в том, что после установки 8.2, наш "Умник" рвал на себе майку и кричал "Я сам это сделаю!", сделал - он установил 7.7, причем не доконца, т.е. по окончанию установки винда выбросила синий экран, записать ничего не успела т.к. он нажал на Reset..
7.7 мы всё равно установили, но после этого "Синего экрана" появился Артефакт. Обычная загрузка винды, в Диспетчере устройств пропал раздел с Сетевой картой. Вытаскиваем витую пару, ребут, теперь он говорит что кабель не подключен, онднако если его воткнуть, то ip он получать не хочет… Сталкивался кто с этим?
И так в цикл… ((
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-07 09:34:53.803333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Блин, для этого мне нужен относительно слабый пк.. с озу где то 750Мб.. не думаю, что на моём Пк это прокатит..))
quote:
С недавних времён стала замечать потрясающую хрень, Кис 2010, начинает жутко грузить систему, и потом вообще её вешает в ноль.
Это разные компы? дни? или что? я уже совсем запутался.
По поводу
quote:
в Диспетчере устройств пропал раздел с Сетевой картой.
Недавно с таким боролся, тоже после необычного бсода. (ставил блютуз). Сиптомы теже были.
Переустановка дров помогла, свалил на конфликт дров.
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-07 10:11:25.713333
|
|
|
lkesh
Сообщений: 208
Оценки: 0
Присоединился: 2008-12-07 11:14:59.056666
|
Для контроля над автозагрузкой существует прекрасная утилитка Марка Русиновича Autoruns.
Правда иногда малварь может и её подпортить, но ведь существуют и носители read only.
Как вариант можно воспользоватся командной строкой и получить на столько же полные результаты при помощи WMIC.
Например команда 'wmic process list >process.txt' - создаст файлик process.txt (отчет по процессам в памяти) который потом можно спокойно анализировать.
wmic sysdriver list >driver.txt - создаст полный отчет по драйверам, а
wmic service list >service.txt - то же самое по сервисам.
Насчет таск менеджера. Кроме Process Explorer'a (а он неплох), некоторые предпочитают пользоватся Process Hacker'om.
Этот процесс хакер совмещает в себе функционал Process Explorer'a, менеджера сервисов и еще Tcpview.
Кроме того он может грузится как сервис (выбор при установке) и имеет на своем борту такую бесценную функцию как показ скрытых процессов (руткиты).
|
|
|
|
|
RE: Windows + Каспер + Вирусы= ? - 2009-12-07 21:46:54.970000
|
|
|
DeSTRo
Сообщений: 1885
Оценки: 20
Присоединился: 2008-01-17 14:28:02.940000
|
quote:
ORIGINAL: Ltonid
Это разные компы? дни? или что? я уже совсем запутался.
Разные конечно :) На моём вирей нету :) ТАм всё пылесоситься будь здоров))
quote:
ORIGINAL: Ltonid
quote:
в Диспетчере устройств пропал раздел с Сетевой картой.
Недавно с таким боролся, тоже после необычного бсода. (ставил блютуз). Сиптомы теже были.
Переустановка дров помогла, свалил на конфликт дров.
А мне переустановка не помогла…. причем как и переустановка винды тоже…
Карта работает до первого касания домена…. как только вводишь машину в домен - ребут - всё, она пропадает)) Есть вариант, что для неё тупо не хватает мощности т.е. бп слабоват т.к. в этот системнег впихнула карту Вот такую понятное дело не для работы [sm=ag.gif], а почему бп слаб… у этой видюхи 6 пиновый разъём для доп. питания… это и смущает..
quote:
ORIGINAL: lkesh
Насчет таск менеджера. Кроме Process Explorer'a (а он неплох), некоторые предпочитают пользоватся Process Hacker'om.
Этот процесс хакер совмещает в себе функционал Process Explorer'a, менеджера сервисов и еще Tcpview.
Кроме того он может грузится как сервис (выбор при установке) и имеет на своем борту такую бесценную функцию как показ скрытых процессов (руткиты).
так этАж ахринительна [sm=ay.gif]
|
|
|
|
|
|
