Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится?
З.Ы. ОС — WinXp.
Здравствуйте, Glоbus, Вы писали:
G>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится? G>З.Ы. ОС — WinXp.
1. Winlogon работает постоянно — это процесс-сеанс пользователя.
2. Если у тебя winlogon выскакивает периодически, то может это второй сеанс?
3. В Winlogon любят прописываться вирусы в качестве расширения. Погляди HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify на предмет наличия подозрительных записей.
Здравствуйте, Glоbus, Вы писали:
G>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится? G>З.Ы. ОС — WinXp.
Вирус? ПРоверил бы на всякий...
С годами я делаюсь все менее терпимым к людям неумным и неумеющим работать свое дело очень хорошо. (с) М. Веллер
Здравствуйте, LuciferArh, Вы писали:
LA>Здравствуйте, Glоbus, Вы писали:
G>>Граждане, а не подскажите ли вы — че это такое происходит-то? У меня постоянно (примерно каждые полчаса-час) врубается процесс под названием winlogon и жрет кучу проца. Соотвественно весь комп тормозит жутко. Чего как с этой заразой справится? G>>З.Ы. ОС — WinXp.
LA>Вирус? ПРоверил бы на всякий...
Да я тоже об том же думал — поставил AntiVir. Раз в неделю стандартно сканю — вроде нифига не находит...
Я думал мож еще чего.
Ладно, будем искать
Здравствуйте, Glоbus, Вы писали:
G>Да я тоже об том же думал — поставил AntiVir. Раз в неделю стандартно сканю — вроде нифига не находит... G>Я думал мож еще чего. G>Ладно, будем искать
Ща вирусы умные стали, антивирусы их частенько не ловят по крайней мере, что antivir, что avast... а по факту заражения и касперский не вылечивает, вот чтоб заразилось, пока он работает пока не было...
У меня не так давно вирус в компе был, в winlogon прописался. Так ни один антивирус его не видел. Системщик несколько дней его выискивал. В итоге нашел и убил руками.
Здравствуйте, oksale, Вы писали:
O>У меня не так давно вирус в компе был, в winlogon прописался. Так ни один антивирус его не видел. Системщик несколько дней его выискивал. В итоге нашел и убил руками.
Здравствуйте, Glоbus, Вы писали:
G>А детали раскинуть могёшь?
Я регулярно убиваю вирусы руками, так как антивирусы их не видят.
Обычно активность вируса — рассылка спама.
Даешь команду "netstat -o". Смотришь подозрительные smtp соединения, по PID находишь процесс в Task Manager и убиваешь. Потом находишь его на диске и тоже убиваешь. Лазаешь по реестру, ищешь где же он запускается.
Но это в простых случаях. Бывает, что какой-то процесс запускается и запускает другие процессы, бывает, что они в паре работают и друг друга мониторят, так что не прибьешь и реестр все время обновляют, чтоб в автозапуске оставаться.
Сейчас у меня два компа в состоянии "чего делать не знаю". Вот винду буд переустанавливать, как руки дойдут, пока вся сетевая активность прибита элементарным отключением от сети...
А антивирусы, вроде бы чего-то ловят, чего-то лечат, но толку ноль.
Здравствуйте, Рома Мик, Вы писали:
РМ>Но это в простых случаях. Бывает, что какой-то процесс запускается и запускает другие процессы, бывает, что они в паре работают и друг друга мониторят, так что не прибьешь и реестр все время обновляют, чтоб в автозапуске оставаться.
ProceXP, suspend их всех а потом киляй на здоровье
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, CreatorCray, Вы писали: CC>ProceXP, suspend их всех а потом киляй на здоровье
Ну-у! Тулзы — это не спортивно! Помню, один раз гадость к winlogon'у прицепилась, и не удалить ее, и запись в реестре не зачистить стандартными средствами. В азарте накатал в VS dll-ку, в коде DllMain которой все, что надо было зачистить, зачищалось, и прикрутил эту dll к winlogon'у в реестре как раз чуть раньше записи, в которой вирь грузился (а, конкретно, в одном из стандартных ключей в ключе Notify winlogon'а подставил на время имя своей dll). Один restart, и вирусу капец. Тем не менее, такой метод, конечно, на любителя, и совсем не панацея в общем случае заражения через winlogon.
Здравствуйте, Рома Мик, Вы писали:
РМ>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.
Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
McSeem
Я жертва цепи несчастных случайностей. Как и все мы.
Здравствуйте, McSeem2, Вы писали:
РМ>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят. MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
Ага, краки надо запускать внутри VMWare
Здравствуйте, Рома Мик, Вы писали:
РМ>и реестр все время обновляют, чтоб в автозапуске оставаться.
Это лечится — отними права на запись в соответствующий раздел у системы, а потом удали информацию о запуске, после перезагрузки удалишь тело.
И еще — все-таки autoruns от sysinternals в этом деле сильно способствует (например, если у расширения winlogon не указан производитель или указан отличный от MS — это повод задуматься, пока ни один вирус не догадался написать, что он производства MS).
Здравствуйте, Aznog, Вы писали:
A>Здравствуйте, CreatorCray, Вы писали: CC>>ProceXP, suspend их всех а потом киляй на здоровье
A>Ну-у! Тулзы — это не спортивно! Помню, один раз гадость к winlogon'у прицепилась, и не удалить ее, и запись в реестре не зачистить стандартными средствами. В азарте накатал в VS dll-ку, в коде DllMain которой все, что надо было зачистить, зачищалось, и прикрутил эту dll к winlogon'у в реестре как раз чуть раньше записи, в которой вирь грузился (а, конкретно, в одном из стандартных ключей в ключе Notify winlogon'а подставил на время имя своей dll). Один restart, и вирусу капец. Тем не менее, такой метод, конечно, на любителя, и совсем не панацея в общем случае заражения через winlogon.
MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
Да я вот тоже прекрасно живу без антивируса, но вот бывают такие интересные истории:
Есть у меня коллега, он специалист по продукции фирмы Avaya — у этих ребят все управление построено через web-интерфейс, который, понятное дело, IE only, сайт у них не лучше... Как следствие он пользуется IE (точнее MyIE), просто чтобы не плодить 2 браузера — для обычного серфинга и для работы, при этом IE у него без последних апдейтов (WSUS так и не подняли еще, а качать апдейты каждому индивидуально слишком жирно выходит по трафику). Дак вот это преамбула...
Собственно история: есть у нас сотовый оператор, мотивом зовется — захотел этот мой коллега на их сайт зайти, ну и набрал mоtiv.ru (специально написал букву о русскую, ходить туда не стоит, это какой-то другой сайт!) — после чего его nod32 грязно выругался, но почему-то не смог остановить вторжение... Результат — заражены файлы ntoskrnl.exe и тому подобные (ntkrnlpa и т.п.). Их я вылечил (рекомендую утилиту sigverif — она идет в комплекте с виндой и проверяет контрольные суммы файлов), потом выяснилось, что этим дело не ограничилось — судя по всему поражен svchost.exe — ну и видимо бог знает что еще... Короче я ему сказал, что он снят с моей тех. поддержки И пусть переставляет систему — ползать за этим созданием у меня желания нет.
P.S. Nod32 до сих пор ничего не может поделать...
P.P.S. Заходил FF на этот сайт — он у меня рухнул (заражения не произошло), так что эксплуатируется какая-то более общая уязвимость (наверное, что-то из серии уязвимостей при обработке ani и ico файлов).
Здравствуйте, McSeem2, Вы писали:
MS>Здравствуйте, Рома Мик, Вы писали:
РМ>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят.
MS>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты.
Сетевой файрвол всего-лишь закрывает лишние каналы проникновения вирусов на машину. И от подсадки вируса или руткита через экплуатацию 0-day уязвимостей в используемом софте — увы не спасет, если этот софт общается с внешним миром через разрешенные порты (или 80 и 443 там тоже закрыты? )Антивирус — в любом случае необходим там, где имеют место выходы в инет, как минимум. Хотя бы для того, чтобы не мучаться с "removal instructions" в случае вероятного заражения.
+ архиполезная штука (особенно для людей, знакомых с азами winapi и архитектурой windows) — системные файрволы (типа System Safety Monitor). Т.к. уже на раз (с установленным файрволом и антивирусом) наблюдал у себя на экране диалоговое окно SSM'а: "Процесс iexplore.exe хочет приаттачить dll к процессу winlogon. Разрешаем?"
Ну и под админом в нете не сидеть, конечно. Либо — понижать привилегии процесса броузера политиками или dropmyrights'ами.
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, McSeem2, Вы писали:
РМ>>>Я регулярно убиваю вирусы руками, так как антивирусы их не видят. MS>>Ахренеть. Откуда вирусы-то берутся? Под фаер-воллом, с соблюдением примитивных правил гигиены никаких вирусов не бывает. Дай угадаю — ты часто пользуешься краками с альталависты. C>Ага, краки надо запускать внутри VMWare
ну варь тяжеловата...
проще просто из под пользователя, с вконец урезанными правами...
или еще лучше пользоваться лицензионным ПО
ну и совсем хорошо, переходить на xUnix...
Меняю два проигрывателя, на один выигрватель! Возможна доплата... ;)
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, DOOM, Вы писали:
DOO>>Да я вот тоже прекрасно живу без антивируса, но вот бывают такие интересные истории:
KV>Звучит как "я вот тоже прекрасно хожу по инфекционному отделению без повязки, но вот бывают такие интересные истории..."
Не знаю, не знаю... Слишком уж ты завышаешь полезность современного антивируса, ИМХО, гемора от него больше, а на работе надо IPS держать на выходе в иннет.
Здравствуйте, Aznog, Вы писали:
A>Здравствуйте, CreatorCray, Вы писали: CC>>ProceXP, suspend их всех а потом киляй на здоровье A>Ну-у! Тулзы — это не спортивно!
Зато быстро и эффективно.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
по крайней мере, что antivir, что avast... а по факту заражения и касперский не вылечивает, вот чтоб заразилось, пока он работает пока не было...
Помню, один раз гадость к winlogon'у прицепилась, и не удалить ее, и запись в реестре не зачистить стандартными средствами. В азарте накатал в VS dll-ку, в коде DllMain которой все, что надо было зачистить, зачищалось, и прикрутил эту dll к winlogon'у в реестре как раз чуть раньше записи, в которой вирь грузился (а, конкретно, в одном из стандартных ключей в ключе Notify winlogon'а подставил на время имя своей dll). Один restart, и вирусу капец
. Тем не менее, такой метод, конечно, на любителя, и совсем не панацея в общем случае заражения через winlogon.
И пусть переставляет систему — ползать за этим созданием у меня желания нет.
