Jump to content

Препоръчан пост

Съжалявам, че ви накарах да чакате, но скенера на Kaspersky направо ми скъса нервите... И нищо не откри. Прилагам логовете от ComboFix и Gmer. Този път при сканирането с него не ме алармира за проблем. Махнато е това, което преди се маркираше в червено. Мисля, че това което е махнал ComboFix е гадинка Legacy (по-скоро част нея...), за която смътно си спомням че съм чел някъде... ComboFix си направи точка на възстановяване... Забелязах обаче, че след рестарт (май сгреших с рестарта...) в Exceptions пак го има DCOM(135), въпреки че стената ми не е спряна... Нета ми пак периодично прекъсва. Какво да предприема сега?

 

В предния архив имаше 1000 лога, защото 2 пъти предприех процедурата препоръчана от B-boy. Това са логовете от втория транш, които явно не показват голям успех.

 

Извинявам се на B-boy, ако съм прозвучал грубо. Много добре видях, че е написал последаователността, в която трябва да се извършат действият. Просто исках да подчертая, че не мога да продължа по-нататък в протокола... Или ми преграха нервите... Както щете го разбирайте. Извинявам се още веднъж...

 

Night_Raven, благодаря и на теб за намесата. FT, обаче не е капакът... Има и "по-високо" Забелязах че имам фонетична подредба в тоя Win, хем не съм я слагал аз... От както разбрах че програмката FT е вредна, всеки ден се каня да я махна и да си ползвам вградената фонетика, но пороци... Тая е последна цигара... Знаеш...

 

Надявам се положението още да може да се спаси...

 

Edit: ComboFix ми е именуван като ComboFix.exe. Аз именувах txt-то със скрипта също като на exe-то, но ми даваше грешка (грешен правопис). Чак като смених имео на txt-то на CFScript (т.е., exe-то и txt-то да имат различни имена), тогава стана работата... Така ли трябва да бъде?

Link to comment
Сподели другаде

  • Отговори 46
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Грешка в бързането. Никой и не ми обръща внимание на това. Името на текстовия файл трябва да е CFScript. Сега логът е чист... от зловреден код.

 

ОК, но това с порта DCOM(135), който пак се включва в Exception? Това, с предложеният от B-boy ключ ли се маха? Имам и други въпросчета, повече или по-малко свързани със ситуацията, които обаче ще задам по-късно днес... Благодаря на всички, които ми обръщат внимание.

Link to comment
Сподели другаде

предния архив имаше 1000 лога, защото 2 пъти предприех процедурата препоръчана от B-boy. Това са логовете от втория транш, които явно не показват голям успех.

 

Никъде не съм писал да се изпълняват два пъти...просто съставих скрипт на базата на информацията предоставена от GMER.

След това ти поисках лог от Combofix, защото дава повече информация от RSIT.exe и чисти по-добре от OTM.exe Надявах се да избегнем употребата на Combofix, но не би...

След това Night_Raven ти направи скрипт за махане на руткита и т.н.

 

ОК, но това с порта DCOM(135), който пак се включва в Exception? Това, с предложеният от B-boy ключ ли се маха? Имам и други въпросчета, повече или по-малко свързани със ситуацията, които обаче ще задам по-късно днес... Благодаря на всички, които ми обръщат внимание.

 

Няма нужда да се използва моя ключ вече. Не видях да е отворен порт 135 поне в лога на Combofix. (в първия ти лог бе отворен, сега не е).

 

Можеш да изтеглиш SeconfigXP.

 

Избери профил Home => и натисни Apply.

 

Рестартирай машината.

 

Пробвай вече да инсталираш първо SP3...и след това последните 3 кръпки...или просто чрез Windows Updates си набави всички актуализации.

Link to comment
Сподели другаде

Здравейте!

След екшъна с rootkit-а ми се наложе все пак да преинсталирам компа, защото след подробно сканиране с GMER, което пуснах пробно, ми даде син екран за грешка... Така се получаваше всеки път, щом пуснех да се сканира с програмата. От там стигнах до извода, че при проведените манипулации, нещо се е повредило твърде дълбоко... Освен това, портът 135(DCOM) всеки път ми се зареждаше в изключенията на Windows-ката стена, въпреки че всеки път го триех и забранявах. Пробно рекох да инсталирам и SP3, да видя какво ще стане, въпреки че вече се бях примирил, че ще трябва да преинсталирам... След инсталирането на SP3 и рестартирането, което ми бе поискано, след зареждането на работния плот ми се появи една каскада от 4-5 конзолни прозорци (знаете ги, от онея в рамка като на стартиране в Safe Mode и депресарски мръсно-бели редове на черен фон) изпълнени с надписи за грешки...

След това преинсталирах със SP3 и си направих инсталациите както обикновено... Сложих и защитна стена Outpost Free, на която бях хвърлил око по-отпреди... Засега работи добре.

 

Днеска, обаче ми направи впечатление (може и вчера да е било така), че като оставя компютъра в покой, със затворен браузер и всички допълнителни приложения (с изкл. на uTorrent), се наблюдава едно странно вариране в натоварването на процесора, в границите от 3 до 20% без реално да има нещо допълнително включено... На предната инсталация (даже и с rootkit-a), като затворя всичко по описания начин, натоварването на процесора заковаваше на 0 и само понякой път от System за кратко ставаше на 2%... Просто, това ми се видя странно... Сега от System натоварването ми е доста по-вариабилно (7-12%) като ми се появи и DPC, което варира в граници от 0 до 8%... Прочетох за него от тук... Моите стойности не са толкова екстремни, но все пак преди не съм му обръщал внимание да е било активно...

Сканирах със SAS, MBAM и avast! но нищо не открих. Направих бързо сканиране с GMER, а също и с ESETSysInspector. GMER не ми показа нищо в червено, но все пак по-долу съм дал и лога... SysInspector ми показа, освен другите работещи процеси и такива на защитната стена, срещу които седеше надпис Rootkit и ниво на риск 9 по 9-обалната скала... Може това да си е нормално, но... ми хвърли дърва в огъня... Прилагам по-долу архивчето с лога и от тази програма.

 

Моля ви да ги прегледате и да кажете, дали в описаното от мен има нещо тревожно... Може всичко да е нормално, но просто нямаше да ми направи впечатление, ако го бях виждал и преди... Покрай тия гадини параноята е пълна...

Link to comment
Сподели другаде

Здравейт 'draco_volans'!

Аз не съм експерт по "гадинкиге", но ако изключим тяхната наличнотс(а за това е добре Night_Raven да си каже "тежката" дума), то можеш да търсиш проблема в някой от драйверите или в системата за обновяване на Windows. Та не ти пречи, докато чакаш Night_Raven да се включи, да провериш дали ако изключиш автоматичното обновяване ще спре натораврането на процесора. Ако вече си "натоварил" с някоя друга програма, хвърли и око дали и тя няма някоя резидентна програма, която да търси за обновления... Провери дали защитната стена правилно пропуска заявките за достъп на тези програми или ги блокира. Изобщо хвърли по-обстоен поглед на всичко, което може да иска ъпдейт или да има задачи за изпълнение във фонов режим.

Дано успееш да я откриеш, че не ти пожелавам отново да преинсталираш, че май към това си се насочил вече мисловно...

Link to comment
Сподели другаде

Здравейт 'draco_volans'!

Аз не съм експерт по "гадинкиге", но ако изключим тяхната наличнотс(а за това е добре Night_Raven да си каже "тежката" дума), то можеш да търсиш проблема в някой от драйверите или в системата за обновяване на Windows. Та не ти пречи, докато чакаш Night_Raven да се включи, да провериш дали ако изключиш автоматичното обновяване ще спре натораврането на процесора. Ако вече си "натоварил" с някоя друга програма, хвърли и око дали и тя няма някоя резидентна програма, която да търси за обновления... Провери дали защитната стена правилно пропуска заявките за достъп на тези програми или ги блокира. Изобщо хвърли по-обстоен поглед на всичко, което може да иска ъпдейт или да има задачи за изпълнение във фонов режим.

Дано успееш да я откриеш, че не ти пожелавам отново да преинсталираш, че май към това си се насочил вече мисловно...

 

Автоматичните ъпдейти на Windows-а съм ги спрял още по-вчера, след като Win-а се ъпдейтна съвсем доволно с всички пачове по сигурността, които бяха предложени. Не видях да имам програми с блокиран ъпдейт. Всички, на които имат електронен подпис, ползвал съм и преди и им имам доверие съм ги пуснал с достъп до интернет. Стената ми в момента е в Auto-Learn Mode, който може би не е най-доброто за сигурността, но не ми блокира никое от приложенията, които съм поставил в графата на доверените и със сигурност ме пази по-добре от Window-ската стена, с която бях до скоро... Дал съм да блокира NetBIOS трафика, трафика свързан с достъпа до svchost.exe... В графите за създаване на правила за приложенията, мрежата, и т.н. съм отметнал, които ми се струват редни..., но празните квадратчета са твърде много и не за всяко знам какво значи... Общо взето, стената ми е почти по дефолт... В упътването пише, че базовата и конфигурация е достатъчна за начинаещи..., които много много не разбират... Предполагам, че това че SysInspector-а открива компоненти от стената като Rootkits се дължи на дълбоката и интеграция и контролът, който поддържа... Знам ли... Ще видим Night_Raven какво ще каже и кое накъде върви в мисли и реалност...

 

Edit: Бам-башка svchost-екзето в момента ми е взело 41Mb реална 14Mb виртуална памет. Натоварването на процесора е между 0 и 15%. Постоянно се мени. Може и да си е в нормата... Де да го знам... Просто на предния Win такива неща не бях виждал, а тука ми направиха впечатление... Може да и заради стената, която следи трафика... Не знам...

Link to comment
Сподели другаде

Edit: Бам-башка svchost-екзето в момента ми е взело 41Mb реална 14Mb виртуална памет. Натоварването на процесора е между 0 и 15%. Постоянно се мени. Може и да си е в нормата... Де да го знам... Просто на предния Win такива неща не бях виждал, а тука ми направиха впечатление... Може да и заради стената, която следи трафика... Не знам...

 

draco_volans, нека да ти обясня, че svchost не е просто отделна програма. Едно време, когато бях млад, ДОС имаше основно 2 типа изпълними файла - EXE и COM. Когато M$ реши, че трябва да мигрира от EXE към файловете към динамичните библиотеки(dll-Dynamic Link Library), трябваше да се намери една програма, която да връзва стартираните изпълними файлове(вече dll) - Това е svchost! Така, че това не е "гадна" програма, нито лоша, нито тъпа, а просто е една от най важните в Windows... Без нея просто нищо няма да върви! Ако прекратиш един от наличните процеси на svchost, ти просто спираш не програмата, а тези програми или пакет от програми, които са стартирани от svchost! Ако виждаш, че нещо става с някой svchost, ти просто наблюдаваш измененията настъпили в резултат на стартираните dll файлове.

 

ЗАБЕЛЕЖКА: Това е много елементарно и забавно обяснение на svchost, като не държа въобще да е изчерпателно, а е само насочено към най- общата и млада аудитория на форума...

Link to comment
Сподели другаде

Lokoto, обяснението ти е наистина достъпно за ума. Известна ми е принципната роля на svchost.exe. Не в големи детайли, но все пак..., нещо знам. Никъде не съм го дефинирал като "гадно". Нито пък съм използвал обидни/презрителни думи спрямо него. Само като сложа стрелката в прозореца на Process Explorer върхо него и виждам за колко много неща отговаря:

 

http://i30.tinypic.com/9ri0jk.jpg

 

Под бам-башка разбирам това (най-шефското и обемно по изпълняваните функции), което ми консумира дори в най-нормален режим (ако приемем, че сегашният не е такъв) най-много RAM (21-23Mb). Останалите (7 при мен) са също важни, но заемат по-малко ресурси... Съжалявам, ако съм се изразил неправилно. Пределно ясно ми е, че не знам колкото тебе и не винаги мога да се изразявам протоколно точно...

 

@tanganika известно ми е за това. Пуснал съм го да се информират хората... Според мен не шпионират... Може и от това да е... Както казах, натоварванията не са драстични (точно сега 8 вариращи процента), просто ми е странно и необичайно... Като нищо си вкарвам и излишни паранои, но ще видим...

Link to comment
Сподели другаде

В лога от ESET SysInspector не виждам нищо обезпокоително или опасно.

Натоварването може да е и от стената. Тя все пак си е мапнала DLL-че в много процеси и е напълно възможно тя да причинява натоварването. Според Process Explorer кой процес конкретно товари процесора?

Link to comment
Сподели другаде

В лога от ESET SysInspector не виждам нищо обезпокоително или опасно.

Натоварването може да е и от стената. Тя все пак си е мапнала DLL-че в много процеси и е напълно възможно тя да причинява натоварването. Според Process Explorer кой процес конкретно товари процесора?

 

Ами, както казах, постоянно се наблюдава едно фоново натоварване, дори когато компютъра е в покой (в рамките на 2-14%). Разпределено е дифузно между acs.exe (Outpost), DPCs, ashServ.exe (avast!), Interrupts (n/a, Hardware Interrupts) и uTorrent. Тази сутрин забелязах, като включих компа, че в първия половин час, всичко си беше по старому (на 0% в покой), докато не включих uTorrent. Тогава шаването в посочените стойности, започна отново. Вероятно става така, заради uTorrent-а, който се следи от стената, avast! и от други процеси, повече или по-малко свързани с него... На предния Win, това сигурно не е било толкова изявено, защото съм нямал Outpost, която сега е пуснала корени навсякъде из системата... И на мен ми се стори, че това, че SysInspector посочва файлове на Outpost като Rootkit, е фалшива тревога, защото с поведението си, стената си е наполовина такъв... Все пак рекох да се допитам..., както и за по-особената активност, която споменах..., а преди не ми е правила впечатление... Параноя, почват дa ми се привиждат гадини навсякъде... Благодаря за отговора Night_Raven!

 

P.S: В инструкциите на програмата (Outpost), ми направи впечатление едно странно отбелязване, което са направили в началото: "Outpost Firewall Free should not be run with any other security software. Running Outpost Firewall Free with other security products can result in system instability (i.e. crashes) and can cause your system to operate in an insecure mode.". Какво разбират под това, че стената не трябва да се пуска с никакъв друг software за сигурност? Без антивирусна ли? В началото на инсталацията, стената ми прихвана avast! и само ме пита дали аз съм го инсталирал или не...Странно ми се видя, защото в повечето случаи, който ползва Outpost, ползва и антивирусна, като допълнение... Ако са имали впредвид 2-ра стена или много подобно приложение, разбирам

но това, което са писали е твърде общо...

Link to comment
Сподели другаде

Щом натоварването се проявява при ползване на uTorrent и се е появило след инсталиране на Outpost Firewall Free, то е на практика очевадно, че проблемът се корени в стената. Всички peer-to-peer програми (торент клиенти, клиенти за мрежите на DirectConnect, eDonkey, Gnutella и др.) работят с много връзки едновременно, които разбира се преминават през защитната стена. Когато защитната стена не е достатъчно добре оптимизирана, не успява да се справи с обработването на пакетите достатъчно ефективно и това води до допълнително натоварване на системата като цяло.

Това е проблемът на днешните по-известни защитни стени/пакети като Comodo Internet Security, Online Armor, Outpost Firewall и евентуално други - наблягат основно на HIPS механизмите, а частта, която е същинстаката защитна стена, остава на заден план. Набляга се доста на HIPS механизмите, защото за тях има повече тестове като тези на Matousec и така потребителите получават някакви видими резултати, подредени в табличка, което улеснява избора им на продукт. Разбира се тези тестове не доказват много, но просто са някакви резултати/числа, за които потребителите да се хванат. Без тях нещата са доста по-абстрактни и относителни, което не действа добре върху потребителите, които обичат да имат някаква величина, за която да се хванат и по която да съдят колко добър е даден продукт, независимо дали осъзнават или не доколко тази величина е реално показателна за възможностите на въпросния продукт.

 

Уф, малко май сложно го написах...

Link to comment
Сподели другаде

При Comodo Internet Security и Online Armor Free не съм забелязал подобно натоварване при ползване на uTorrent или други приложения.Единствено когато задам в настройките на Comodo да съм „максимално невидим” не мога да сийдвам,но натоварване няма.
Link to comment
Сподели другаде

Възможно е да има натоварване, но да не го усещаш или осъзнаваш, че го има. Разбира се възможно е и наистина да няма. Това зависи и от други фактори, а не само от самата защитна стена. По мои наблюдения Online Armor например не е от особено добре оптимизираните програми. С нея също забелязвам по-висока натовареност по време на работа на торент клиент и имам леки проблеми с плавността на връзката по време на игра нa WarCraft III.

Относително и си варира от система до система. Сигурно е изтъркано да се слуша/чете това, но пък е вярно.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...