Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится?
З.Ы. ОС — WinXp.

Здравствуйте, Glоbus, Вы писали:

G>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится?
G>З.Ы. ОС — WinXp.

1. Winlogon работает постоянно — это процесс-сеанс пользователя.
2. Если у тебя winlogon выскакивает периодически, то может это второй сеанс?
3. В Winlogon любят прописываться вирусы в качестве расширения. Погляди HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify на предмет наличия подозрительных записей.

Здравствуйте, Glоbus, Вы писали:

G>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится?
G>З.Ы. ОС — WinXp.

Вирус? ПРоверил бы на всякий...

Здравствуйте, LuciferArh, Вы писали:

LA>Здравствуйте, Glоbus, Вы писали:

G>>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится?
G>>З.Ы. ОС — WinXp.

LA>Вирус? ПРоверил бы на всякий...

Да я тоже об том же думал — поставил AntiVir. Раз в неделю стандартно сканю — вроде нифига не находит...
Я думал мож еще чего.
Ладно, будем искать

Здравствуйте, Glоbus, Вы писали:

G>Да я тоже об том же думал — поставил AntiVir. Раз в неделю стандартно сканю — вроде нифига не находит...
G>Я думал мож еще чего.
G>Ладно, будем искать
Ща вирусы умные стали, антивирусы их частенько не ловят по крайней мере, что antivir, что avast... а по факту заражения и касперский не вылечивает, вот чтоб заразилось, пока он работает пока не было...

У меня не так давно вирус в компе был, в winlogon прописался. Так ни один антивирус его не видел. Системщик несколько дней его выискивал. В итоге нашел и убил руками.

Здравствуйте, oksale, Вы писали:

O>У меня не так давно вирус в компе был, в winlogon прописался. Так ни один антивирус его не видел. Системщик несколько дней его выискивал. В итоге нашел и убил руками.

А детали раскинуть могёшь?

Здравствуйте, Glоbus, Вы писали:

G>А детали раскинуть могёшь?
Я регулярно убиваю вирусы руками, так как антивирусы их не видят.
Обычно активность вируса — рассылка спама.
Даешь команду "netstat -o". Смотришь подозрительные smtp соединения, по PID находишь процесс в Task Manager и убиваешь. Потом находишь его на диске и тоже убиваешь. Лазаешь по реестру, ищешь где же он запускается.
Но это в простых случаях. Бывает, что какой-то процесс запускается и запускает другие процессы, бывает, что они в паре работают и друг друга мониторят, так что не прибьешь и реестр все время обновляют, чтоб в автозапуске оставаться.

Сейчас у меня два компа в состоянии "чего делать не знаю". Вот винду буд переустанавливать, как руки дойдут, пока вся сетевая активность прибита элементарным отключением от сети...

А антивирусы, вроде бы чего-то ловят, чего-то лечат, но толку ноль.

Здравствуйте, Рома Мик, Вы писали:

РМ>Но это в простых случаях. Бывает, что какой-то процесс запускается и запускает другие процессы, бывает, что они в паре работают и друг друга мониторят, так что не прибьешь и реестр все время обновляют, чтоб в автозапуске оставаться.
ProceXP, suspend их всех а потом киляй на здоровье

Здравствуйте, CreatorCray, Вы писали:
CC>ProceXP, suspend их всех а потом киляй на здоровье

Ну-у! Тулзы — это не спортивно! Помню, один раз гадость к winlogon'у прицепилась, и не удалить ее, и запись в реестре не зачистить стандартными средствами. В азарте накатал в VS dll-ку, в коде DllMain которой все, что надо было зачистить, зачищалось, и прикрутил эту dll к winlogon'у в реестре как раз чуть раньше записи, в которой вирь грузился (а, конкретно, в одном из стандартных ключей в ключе Notify winlogon'а подставил на время имя своей dll). Один restart, и вирусу капец. Тем не менее, такой метод, конечно, на любителя, и совсем не панацея в общем случае заражения через winlogon.

Здравствуйте, Рома Мик, Вы писали:

РМ>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.

Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.

Здравствуйте, McSeem2, Вы писали:

РМ>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.
MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
Ага, краки надо запускать внутри VMWare

Здравствуйте, Рома Мик, Вы писали:

РМ>и реестр все время обновляют, чтоб в автозапуске оставаться.

Это лечится — отними права на запись в соответствующий раздел у системы, а потом удали информацию о запуске, после перезагрузки удалишь тело.

И еще — все-таки autoruns от sysinternals в этом деле сильно способствует (например, если у расширения winlogon не указан производитель или указан отличный от MS — это повод задуматься, пока ни один вирус не догадался написать, что он производства MS).

Здравствуйте, Aznog, Вы писали:

A>Здравствуйте, CreatorCray, Вы писали:
CC>>ProceXP, suspend их всех а потом киляй на здоровье

A>Ну-у! Тулзы — это не спортивно! Помню, один раз гадость к winlogon'у прицепилась, и не удалить ее, и запись в реестре не зачистить стандартными средствами. В азарте накатал в VS dll-ку, в коде DllMain которой все, что надо было зачистить, зачищалось, и прикрутил эту dll к winlogon'у в реестре как раз чуть раньше записи, в которой вирь грузился (а, конкретно, в одном из стандартных ключей в ключе Notify winlogon'а подставил на время имя своей dll). Один restart, и вирусу капец. Тем не менее, такой метод, конечно, на любителя, и совсем не панацея в общем случае заражения через winlogon.

Все можно было сделать проще

Автор: DOOM
Дата: 21.09.07

Здравствуйте, McSeem2, Вы писали:


MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.

Да я вот тоже прекрасно живу без антивируса, но вот бывают такие интересные истории:

Есть у меня коллега, он специалист по продукции фирмы Avaya — у этих ребят все управление построено через web-интерфейс, который, понятное дело, IE only, сайт у них не лучше... Как следствие он пользуется IE (точнее MyIE), просто чтобы не плодить 2 браузера — для обычного серфинга и для работы, при этом IE у него без последних апдейтов (WSUS так и не подняли еще, а качать апдейты каждому индивидуально слишком жирно выходит по трафику). Дак вот это преамбула...

Собственно история: есть у нас сотовый оператор, мотивом зовется — захотел этот мой коллега на их сайт зайти, ну и набрал mоtiv.ru (специально написал букву о русскую, ходить туда не стоит, это какой-то другой сайт!) — после чего его nod32 грязно выругался, но почему-то не смог остановить вторжение... Результат — заражены файлы ntoskrnl.exe и тому подобные (ntkrnlpa и т.п.). Их я вылечил (рекомендую утилиту sigverif — она идет в комплекте с виндой и проверяет контрольные суммы файлов), потом выяснилось, что этим дело не ограничилось — судя по всему поражен svchost.exe — ну и видимо бог знает что еще... Короче я ему сказал, что он снят с моей тех. поддержки И пусть переставляет систему — ползать за этим созданием у меня желания нет.

P.S. Nod32 до сих пор ничего не может поделать...

P.P.S. Заходил FF на этот сайт — он у меня рухнул (заражения не произошло), так что эксплуатируется какая-то более общая уязвимость (наверное, что-то из серии уязвимостей при обработке ani и ico файлов).

Здравствуйте, McSeem2, Вы писали:

MS>Здравствуйте, Рома Мик, Вы писали:

РМ>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.

MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.

Сетевой файрвол всего-лишь закрывает лишние каналы проникновения вирусов на машину. И от подсадки вируса или руткита через экплуатацию 0-day уязвимостей в используемом софте — увы не спасет, если этот софт общается с внешним миром через разрешенные порты (или 80 и 443 там тоже закрыты? )Антивирус — в любом случае необходим там, где имеют место выходы в инет, как минимум. Хотя бы для того, чтобы не мучаться с "removal instructions" в случае вероятного заражения.

+ архиполезная штука (особенно для людей, знакомых с азами winapi и архитектурой windows) — системные файрволы (типа System Safety Monitor). Т.к. уже на раз (с установленным файрволом и антивирусом) наблюдал у себя на экране диалоговое окно SSM'а: "Процесс iexplore.exe хочет приаттачить dll к процессу winlogon. Разрешаем?"

Ну и под админом в нете не сидеть, конечно. Либо — понижать привилегии процесса броузера политиками или dropmyrights'ами.

Здравствуйте, DOOM, Вы писали:

DOO>Да я вот тоже прекрасно живу без антивируса, но вот бывают такие интересные истории:

Звучит как "я вот тоже прекрасно хожу по инфекционному отделению без повязки, но вот бывают такие интересные истории..."

Здравствуйте, Cyberax, Вы писали:

C>Здравствуйте, McSeem2, Вы писали:

РМ>>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.
MS>>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
C>Ага, краки надо запускать внутри VMWare

ну варь тяжеловата...
проще просто из под пользователя, с вконец урезанными правами...
или еще лучше пользоваться лицензионным ПО
ну и совсем хорошо, переходить на xUnix...

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, DOOM, Вы писали:

DOO>>Да я вот тоже прекрасно живу без антивируса, но вот бывают такие интересные истории:

KV>Звучит как "я вот тоже прекрасно хожу по инфекционному отделению без повязки, но вот бывают такие интересные истории..."
Не знаю, не знаю... Слишком уж ты завышаешь полезность современного антивируса, ИМХО, гемора от него больше, а на работе надо IPS держать на выходе в иннет.

Здравствуйте, Aznog, Вы писали:

A>Здравствуйте, CreatorCray, Вы писали:
CC>>ProceXP, suspend их всех а потом киляй на здоровье
A>Ну-у! Тулзы — это не спортивно!
Зато быстро и эффективно.

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Здравствуйте, DOOM, Вы писали:

DOO>>>Да я вот тоже прекрасно живу без антивируса, но вот бывают такие интересные истории:

KV>>Звучит как "я вот тоже прекрасно хожу по инфекционному отделению без повязки, но вот бывают такие интересные истории..."
DOO>Не знаю, не знаю... Слишком уж ты завышаешь полезность современного антивируса, ИМХО, гемора от него больше, а на работе надо IPS держать на выходе в иннет.

Не, ну про работу — это отдельный разговор. В конторах-то как правило ставка делается на защиту периметра, а не на конкретные рабочие места. Я писал о домашнем/персональном варианте.

Здравствуйте, kochetkov.vladimir, Вы писали:



KV>Не, ну про работу — это отдельный разговор. В конторах-то как правило ставка делается на защиту периметра, а не на конкретные рабочие места.
Это нынче не модно
Сейчас как раз пропагандируется концепция непрерывной защиты.


KV>Я писал о домашнем/персональном варианте.

Дома у меня иннета до сих пор нету

А когда будет — сильно сомневаюсь, что я в иннет буду из под винды ходить...

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, kochetkov.vladimir, Вы писали:



KV>>Не, ну про работу — это отдельный разговор. В конторах-то как правило ставка делается на защиту периметра, а не на конкретные рабочие места.
DOO>Это нынче не модно
DOO>Сейчас как раз пропагандируется концепция непрерывной защиты.

Выделенное — две большие разницы

Здравствуйте, DOOM, Вы писали:

DOO>Это нынче не модно
DOO>Сейчас как раз пропагандируется концепция непрерывной защиты.
Угу, потому как бабла на этом содрать можно больше.

Здравствуйте, Рома Мик, Вы писали:

РМ>Ща вирусы умные стали, антивирусы их частенько не ловят по крайней мере, что antivir, что avast... а по факту заражения и касперский не вылечивает, вот чтоб заразилось, пока он работает пока не было...

походи немного IE по крякерским сайтам или по гуманитарным форумам, сразу полсотни вирей и троянов подхватишь и ни касперский, ни antivir тебе не поможет — проверено

Здравствуйте, McSeem2, Вы писали:

РМ>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.

MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.

както раз подцепил TrojanDownloader'а зайдя на автомобильный сайт, фаер Outpost и антивирь NOD32 c последними обновлениями не помогли, было еще несколько аналогичных случаев, причем источником заражения были обычные сайты (не крякерские, про те я уж и не говорю). Короче, с тех пор для IE сетевую активность я заблокировал и спрятал его подальше чтобы случайно не запустить...

Здравствуйте, _Morpheus_, Вы писали:

_M_>Здравствуйте, McSeem2, Вы писали:

РМ>>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.

MS>>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.

_M_>както раз подцепил TrojanDownloader'а зайдя на автомобильный сайт, фаер Outpost и антивирь NOD32 c последними обновлениями не помогли, было еще несколько аналогичных случаев, причем источником заражения были обычные сайты (не крякерские, про те я уж и не говорю). Короче, с тех пор для IE сетевую активность я заблокировал и спрятал его подальше чтобы случайно не запустить...

Вот поэтому и нужен третий "эшелон" — системные файрволы, перехватывающие все подозрительные вызовы процессов в системе.

Здравствуйте, DOOM, Вы писали:

DOO>3. В Winlogon любят прописываться вирусы в качестве расширения. Погляди HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify на предмет наличия подозрительных записей.

Проглядел ветку — везде "вирус" да "вирус", а ведь в подавляющем большинстве случаев подобное ПО не носит "вирусного" характера (обычно под термином "вирус" подразумевается вредоносный код, исполнение которого возможно только в рамаках предварительного "заражения" другого кода; вдобавок, тоже в большинстве случаев, такое ПО не размножается после попадания в систему — т.е. не пытается заразить другие компы и т.п.).

В английском есть хороший термин malware — "вредоносное ПО" (сюда входят и вирусы, и трояны, и еще вагон с хвостиком "плохишей").

Здравствуйте, vitalyk, Вы писали:


V>Проглядел ветку — везде "вирус" да "вирус", а ведь в подавляющем большинстве случаев подобное ПО не носит "вирусного" характера (обычно под термином "вирус" подразумевается вредоносный код, исполнение которого возможно только в рамаках предварительного "заражения" другого кода; вдобавок, тоже в большинстве случаев, такое ПО не размножается после попадания в систему — т.е. не пытается заразить другие компы и т.п.).

Согласен. Но таких вирусов по сути не осталось... Всякие байки про страшный onehalf, я считаю скорее аномалией (ну откуда в наше время смог вынырнуть вирус 10-ти летней давности), а средства защиты по-прежнему зовут антивирусом



V>В английском есть хороший термин malware — "вредоносное ПО" (сюда входят и вирусы, и трояны, и еще вагон с хвостиком "плохишей").

Да в этом отношении в английском лучше с терминологией.

Здравствуйте, kochetkov.vladimir, Вы писали:

_M_>>както раз подцепил TrojanDownloader'а зайдя на автомобильный сайт, фаер Outpost и антивирь NOD32 c последними обновлениями не помогли, было еще несколько аналогичных случаев, причем источником заражения были обычные сайты (не крякерские, про те я уж и не говорю). Короче, с тех пор для IE сетевую активность я заблокировал и спрятал его подальше чтобы случайно не запустить...

KV>Вот поэтому и нужен третий "эшелон" — системные файрволы, перехватывающие все подозрительные вызовы процессов в системе.

установил System Safety Monitor Free, прикольная штука, только вначале после установки приходится долго отвечать на вопросы

Здравствуйте, Glоbus, Вы писали:

G>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится?
G>З.Ы. ОС — WinXp.

Проапдейтиться + включить файрволл.
у меня с последними апдейтами и включенным виндовс файрволлом все чики пуки.

Здравствуйте, McSeem2, Вы писали:

MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
К сожалению там, где я сейчас работаю, нет нормально шарящих в компьютерах людей, кроме меня. Я там не сисадмин, просто когда-то увлекался програмированием, т.е. тоже знаний маловато. Стоит аппаратный файрволл, везде антивирусы. Чего еще делать — не знаю.

Здравствуйте, _Morpheus_, Вы писали:

_M_>походи немного IE по крякерским сайтам или по гуманитарным форумам, сразу полсотни вирей и троянов подхватишь и ни касперский, ни antivir тебе не поможет — проверено
Лучше бы сказал, кто поможет!
А вообще, дома пользуюсь IE, стоит Antivir и вирусов не было уже лет сто, всё отсекает. А на работе — беда какая-то, просто эпидемия.