draco_volans Публикувано Юли 8, 2009 Author Report Share Публикувано Юли 8, 2009 Съжалявам, че ви накарах да чакате, но скенера на Kaspersky направо ми скъса нервите... И нищо не откри. Прилагам логовете от ComboFix и Gmer. Този път при сканирането с него не ме алармира за проблем. Махнато е това, което преди се маркираше в червено. Мисля, че това което е махнал ComboFix е гадинка Legacy (по-скоро част нея...), за която смътно си спомням че съм чел някъде... ComboFix си направи точка на възстановяване... Забелязах обаче, че след рестарт (май сгреших с рестарта...) в Exceptions пак го има DCOM(135), въпреки че стената ми не е спряна... Нета ми пак периодично прекъсва. Какво да предприема сега? В предния архив имаше 1000 лога, защото 2 пъти предприех процедурата препоръчана от B-boy. Това са логовете от втория транш, които явно не показват голям успех. Извинявам се на B-boy, ако съм прозвучал грубо. Много добре видях, че е написал последаователността, в която трябва да се извършат действият. Просто исках да подчертая, че не мога да продължа по-нататък в протокола... Или ми преграха нервите... Както щете го разбирайте. Извинявам се още веднъж... Night_Raven, благодаря и на теб за намесата. FT, обаче не е капакът... Има и "по-високо" Забелязах че имам фонетична подредба в тоя Win, хем не съм я слагал аз... От както разбрах че програмката FT е вредна, всеки ден се каня да я махна и да си ползвам вградената фонетика, но пороци... Тая е последна цигара... Знаеш... Надявам се положението още да може да се спаси... Edit: ComboFix ми е именуван като ComboFix.exe. Аз именувах txt-то със скрипта също като на exe-то, но ми даваше грешка (грешен правопис). Чак като смених имео на txt-то на CFScript (т.е., exe-то и txt-то да имат различни имена), тогава стана работата... Така ли трябва да бъде? Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 Грешка в бързането. Никой и не ми обръща внимание на това. Името на текстовия файл трябва да е CFScript. Сега логът е чист... от зловреден код. Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 8, 2009 Author Report Share Публикувано Юли 8, 2009 Грешка в бързането. Никой и не ми обръща внимание на това. Името на текстовия файл трябва да е CFScript. Сега логът е чист... от зловреден код. ОК, но това с порта DCOM(135), който пак се включва в Exception? Това, с предложеният от B-boy ключ ли се маха? Имам и други въпросчета, повече или по-малко свързани със ситуацията, които обаче ще задам по-късно днес... Благодаря на всички, които ми обръщат внимание. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Юли 8, 2009 Report Share Публикувано Юли 8, 2009 предния архив имаше 1000 лога, защото 2 пъти предприех процедурата препоръчана от B-boy. Това са логовете от втория транш, които явно не показват голям успех. Никъде не съм писал да се изпълняват два пъти...просто съставих скрипт на базата на информацията предоставена от GMER.След това ти поисках лог от Combofix, защото дава повече информация от RSIT.exe и чисти по-добре от OTM.exe Надявах се да избегнем употребата на Combofix, но не би...След това Night_Raven ти направи скрипт за махане на руткита и т.н. ОК, но това с порта DCOM(135), който пак се включва в Exception? Това, с предложеният от B-boy ключ ли се маха? Имам и други въпросчета, повече или по-малко свързани със ситуацията, които обаче ще задам по-късно днес... Благодаря на всички, които ми обръщат внимание. Няма нужда да се използва моя ключ вече. Не видях да е отворен порт 135 поне в лога на Combofix. (в първия ти лог бе отворен, сега не е). Можеш да изтеглиш SeconfigXP. Избери профил Home => и натисни Apply. Рестартирай машината. Пробвай вече да инсталираш първо SP3...и след това последните 3 кръпки...или просто чрез Windows Updates си набави всички актуализации. Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 16, 2009 Author Report Share Публикувано Юли 16, 2009 Здравейте!След екшъна с rootkit-а ми се наложе все пак да преинсталирам компа, защото след подробно сканиране с GMER, което пуснах пробно, ми даде син екран за грешка... Така се получаваше всеки път, щом пуснех да се сканира с програмата. От там стигнах до извода, че при проведените манипулации, нещо се е повредило твърде дълбоко... Освен това, портът 135(DCOM) всеки път ми се зареждаше в изключенията на Windows-ката стена, въпреки че всеки път го триех и забранявах. Пробно рекох да инсталирам и SP3, да видя какво ще стане, въпреки че вече се бях примирил, че ще трябва да преинсталирам... След инсталирането на SP3 и рестартирането, което ми бе поискано, след зареждането на работния плот ми се появи една каскада от 4-5 конзолни прозорци (знаете ги, от онея в рамка като на стартиране в Safe Mode и депресарски мръсно-бели редове на черен фон) изпълнени с надписи за грешки...След това преинсталирах със SP3 и си направих инсталациите както обикновено... Сложих и защитна стена Outpost Free, на която бях хвърлил око по-отпреди... Засега работи добре. Днеска, обаче ми направи впечатление (може и вчера да е било така), че като оставя компютъра в покой, със затворен браузер и всички допълнителни приложения (с изкл. на uTorrent), се наблюдава едно странно вариране в натоварването на процесора, в границите от 3 до 20% без реално да има нещо допълнително включено... На предната инсталация (даже и с rootkit-a), като затворя всичко по описания начин, натоварването на процесора заковаваше на 0 и само понякой път от System за кратко ставаше на 2%... Просто, това ми се видя странно... Сега от System натоварването ми е доста по-вариабилно (7-12%) като ми се появи и DPC, което варира в граници от 0 до 8%... Прочетох за него от тук... Моите стойности не са толкова екстремни, но все пак преди не съм му обръщал внимание да е било активно... Сканирах със SAS, MBAM и avast! но нищо не открих. Направих бързо сканиране с GMER, а също и с ESETSysInspector. GMER не ми показа нищо в червено, но все пак по-долу съм дал и лога... SysInspector ми показа, освен другите работещи процеси и такива на защитната стена, срещу които седеше надпис Rootkit и ниво на риск 9 по 9-обалната скала... Може това да си е нормално, но... ми хвърли дърва в огъня... Прилагам по-долу архивчето с лога и от тази програма. Моля ви да ги прегледате и да кажете, дали в описаното от мен има нещо тревожно... Може всичко да е нормално, но просто нямаше да ми направи впечатление, ако го бях виждал и преди... Покрай тия гадини параноята е пълна... Цитирай Link to comment Сподели другаде More sharing options...
Lokoto Публикувано Юли 16, 2009 Report Share Публикувано Юли 16, 2009 Здравейт 'draco_volans'!Аз не съм експерт по "гадинкиге", но ако изключим тяхната наличнотс(а за това е добре Night_Raven да си каже "тежката" дума), то можеш да търсиш проблема в някой от драйверите или в системата за обновяване на Windows. Та не ти пречи, докато чакаш Night_Raven да се включи, да провериш дали ако изключиш автоматичното обновяване ще спре натораврането на процесора. Ако вече си "натоварил" с някоя друга програма, хвърли и око дали и тя няма някоя резидентна програма, която да търси за обновления... Провери дали защитната стена правилно пропуска заявките за достъп на тези програми или ги блокира. Изобщо хвърли по-обстоен поглед на всичко, което може да иска ъпдейт или да има задачи за изпълнение във фонов режим.Дано успееш да я откриеш, че не ти пожелавам отново да преинсталираш, че май към това си се насочил вече мисловно... Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 16, 2009 Author Report Share Публикувано Юли 16, 2009 Здравейт 'draco_volans'!Аз не съм експерт по "гадинкиге", но ако изключим тяхната наличнотс(а за това е добре Night_Raven да си каже "тежката" дума), то можеш да търсиш проблема в някой от драйверите или в системата за обновяване на Windows. Та не ти пречи, докато чакаш Night_Raven да се включи, да провериш дали ако изключиш автоматичното обновяване ще спре натораврането на процесора. Ако вече си "натоварил" с някоя друга програма, хвърли и око дали и тя няма някоя резидентна програма, която да търси за обновления... Провери дали защитната стена правилно пропуска заявките за достъп на тези програми или ги блокира. Изобщо хвърли по-обстоен поглед на всичко, което може да иска ъпдейт или да има задачи за изпълнение във фонов режим.Дано успееш да я откриеш, че не ти пожелавам отново да преинсталираш, че май към това си се насочил вече мисловно... Автоматичните ъпдейти на Windows-а съм ги спрял още по-вчера, след като Win-а се ъпдейтна съвсем доволно с всички пачове по сигурността, които бяха предложени. Не видях да имам програми с блокиран ъпдейт. Всички, на които имат електронен подпис, ползвал съм и преди и им имам доверие съм ги пуснал с достъп до интернет. Стената ми в момента е в Auto-Learn Mode, който може би не е най-доброто за сигурността, но не ми блокира никое от приложенията, които съм поставил в графата на доверените и със сигурност ме пази по-добре от Window-ската стена, с която бях до скоро... Дал съм да блокира NetBIOS трафика, трафика свързан с достъпа до svchost.exe... В графите за създаване на правила за приложенията, мрежата, и т.н. съм отметнал, които ми се струват редни..., но празните квадратчета са твърде много и не за всяко знам какво значи... Общо взето, стената ми е почти по дефолт... В упътването пише, че базовата и конфигурация е достатъчна за начинаещи..., които много много не разбират... Предполагам, че това че SysInspector-а открива компоненти от стената като Rootkits се дължи на дълбоката и интеграция и контролът, който поддържа... Знам ли... Ще видим Night_Raven какво ще каже и кое накъде върви в мисли и реалност... Edit: Бам-башка svchost-екзето в момента ми е взело 41Mb реална 14Mb виртуална памет. Натоварването на процесора е между 0 и 15%. Постоянно се мени. Може и да си е в нормата... Де да го знам... Просто на предния Win такива неща не бях виждал, а тука ми направиха впечатление... Може да и заради стената, която следи трафика... Не знам... Цитирай Link to comment Сподели другаде More sharing options...
Lokoto Публикувано Юли 16, 2009 Report Share Публикувано Юли 16, 2009 Edit: Бам-башка svchost-екзето в момента ми е взело 41Mb реална 14Mb виртуална памет. Натоварването на процесора е между 0 и 15%. Постоянно се мени. Може и да си е в нормата... Де да го знам... Просто на предния Win такива неща не бях виждал, а тука ми направиха впечатление... Може да и заради стената, която следи трафика... Не знам... draco_volans, нека да ти обясня, че svchost не е просто отделна програма. Едно време, когато бях млад, ДОС имаше основно 2 типа изпълними файла - EXE и COM. Когато M$ реши, че трябва да мигрира от EXE към файловете към динамичните библиотеки(dll-Dynamic Link Library), трябваше да се намери една програма, която да връзва стартираните изпълними файлове(вече dll) - Това е svchost! Така, че това не е "гадна" програма, нито лоша, нито тъпа, а просто е една от най важните в Windows... Без нея просто нищо няма да върви! Ако прекратиш един от наличните процеси на svchost, ти просто спираш не програмата, а тези програми или пакет от програми, които са стартирани от svchost! Ако виждаш, че нещо става с някой svchost, ти просто наблюдаваш измененията настъпили в резултат на стартираните dll файлове. ЗАБЕЛЕЖКА: Това е много елементарно и забавно обяснение на svchost, като не държа въобще да е изчерпателно, а е само насочено към най- общата и млада аудитория на форума... Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Юли 16, 2009 Report Share Публикувано Юли 16, 2009 draco_volans,мисля че безплатната версия на Outpost Firewall имаше процес който комуникира със своите и натоварва системата по-описания начин. Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 16, 2009 Author Report Share Публикувано Юли 16, 2009 Lokoto, обяснението ти е наистина достъпно за ума. Известна ми е принципната роля на svchost.exe. Не в големи детайли, но все пак..., нещо знам. Никъде не съм го дефинирал като "гадно". Нито пък съм използвал обидни/презрителни думи спрямо него. Само като сложа стрелката в прозореца на Process Explorer върхо него и виждам за колко много неща отговаря: http://i30.tinypic.com/9ri0jk.jpg Под бам-башка разбирам това (най-шефското и обемно по изпълняваните функции), което ми консумира дори в най-нормален режим (ако приемем, че сегашният не е такъв) най-много RAM (21-23Mb). Останалите (7 при мен) са също важни, но заемат по-малко ресурси... Съжалявам, ако съм се изразил неправилно. Пределно ясно ми е, че не знам колкото тебе и не винаги мога да се изразявам протоколно точно... @tanganika известно ми е за това. Пуснал съм го да се информират хората... Според мен не шпионират... Може и от това да е... Както казах, натоварванията не са драстични (точно сега 8 вариращи процента), просто ми е странно и необичайно... Като нищо си вкарвам и излишни паранои, но ще видим... Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 17, 2009 Report Share Публикувано Юли 17, 2009 В лога от ESET SysInspector не виждам нищо обезпокоително или опасно.Натоварването може да е и от стената. Тя все пак си е мапнала DLL-че в много процеси и е напълно възможно тя да причинява натоварването. Според Process Explorer кой процес конкретно товари процесора? Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Юли 17, 2009 Author Report Share Публикувано Юли 17, 2009 В лога от ESET SysInspector не виждам нищо обезпокоително или опасно.Натоварването може да е и от стената. Тя все пак си е мапнала DLL-че в много процеси и е напълно възможно тя да причинява натоварването. Според Process Explorer кой процес конкретно товари процесора? Ами, както казах, постоянно се наблюдава едно фоново натоварване, дори когато компютъра е в покой (в рамките на 2-14%). Разпределено е дифузно между acs.exe (Outpost), DPCs, ashServ.exe (avast!), Interrupts (n/a, Hardware Interrupts) и uTorrent. Тази сутрин забелязах, като включих компа, че в първия половин час, всичко си беше по старому (на 0% в покой), докато не включих uTorrent. Тогава шаването в посочените стойности, започна отново. Вероятно става така, заради uTorrent-а, който се следи от стената, avast! и от други процеси, повече или по-малко свързани с него... На предния Win, това сигурно не е било толкова изявено, защото съм нямал Outpost, която сега е пуснала корени навсякъде из системата... И на мен ми се стори, че това, че SysInspector посочва файлове на Outpost като Rootkit, е фалшива тревога, защото с поведението си, стената си е наполовина такъв... Все пак рекох да се допитам..., както и за по-особената активност, която споменах..., а преди не ми е правила впечатление... Параноя, почват дa ми се привиждат гадини навсякъде... Благодаря за отговора Night_Raven! P.S: В инструкциите на програмата (Outpost), ми направи впечатление едно странно отбелязване, което са направили в началото: "Outpost Firewall Free should not be run with any other security software. Running Outpost Firewall Free with other security products can result in system instability (i.e. crashes) and can cause your system to operate in an insecure mode.". Какво разбират под това, че стената не трябва да се пуска с никакъв друг software за сигурност? Без антивирусна ли? В началото на инсталацията, стената ми прихвана avast! и само ме пита дали аз съм го инсталирал или не...Странно ми се видя, защото в повечето случаи, който ползва Outpost, ползва и антивирусна, като допълнение... Ако са имали впредвид 2-ра стена или много подобно приложение, разбирамно това, което са писали е твърде общо... Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 17, 2009 Report Share Публикувано Юли 17, 2009 Щом натоварването се проявява при ползване на uTorrent и се е появило след инсталиране на Outpost Firewall Free, то е на практика очевадно, че проблемът се корени в стената. Всички peer-to-peer програми (торент клиенти, клиенти за мрежите на DirectConnect, eDonkey, Gnutella и др.) работят с много връзки едновременно, които разбира се преминават през защитната стена. Когато защитната стена не е достатъчно добре оптимизирана, не успява да се справи с обработването на пакетите достатъчно ефективно и това води до допълнително натоварване на системата като цяло.Това е проблемът на днешните по-известни защитни стени/пакети като Comodo Internet Security, Online Armor, Outpost Firewall и евентуално други - наблягат основно на HIPS механизмите, а частта, която е същинстаката защитна стена, остава на заден план. Набляга се доста на HIPS механизмите, защото за тях има повече тестове като тези на Matousec и така потребителите получават някакви видими резултати, подредени в табличка, което улеснява избора им на продукт. Разбира се тези тестове не доказват много, но просто са някакви резултати/числа, за които потребителите да се хванат. Без тях нещата са доста по-абстрактни и относителни, което не действа добре върху потребителите, които обичат да имат някаква величина, за която да се хванат и по която да съдят колко добър е даден продукт, независимо дали осъзнават или не доколко тази величина е реално показателна за възможностите на въпросния продукт. Уф, малко май сложно го написах... Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Юли 17, 2009 Report Share Публикувано Юли 17, 2009 При Comodo Internet Security и Online Armor Free не съм забелязал подобно натоварване при ползване на uTorrent или други приложения.Единствено когато задам в настройките на Comodo да съм „максимално невидим” не мога да сийдвам,но натоварване няма. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 17, 2009 Report Share Публикувано Юли 17, 2009 Възможно е да има натоварване, но да не го усещаш или осъзнаваш, че го има. Разбира се възможно е и наистина да няма. Това зависи и от други фактори, а не само от самата защитна стена. По мои наблюдения Online Armor например не е от особено добре оптимизираните програми. С нея също забелязвам по-висока натовареност по време на работа на торент клиент и имам леки проблеми с плавността на връзката по време на игра нa WarCraft III.Относително и си варира от система до система. Сигурно е изтъркано да се слуша/чете това, но пък е вярно. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.