Вот такая гадость со вчерашнего дня:

Сижу, работаю, хожу в интернет.
Вдруг хлоп... все IE окошки закрываются.
Через пару секунд появляется в Таске vignoq.exe и начинает жрать 100% cpu.
Нашёл его в WINNT/sistem32.
Нашёл его в регистрах ...Windows >> Run
В интернете не нашёл... DrWeb говорит, что vignoq.exe OK.

Удалял много раз.....

Написал програмку — смотреть/считать все процессы.
Вот они — неправильные процессы:
crsreco.exe — 1944 — Wed Jun 01 12:36:33 2005 — враг — в инете инфы нет
polall4c.exe — 2016 — Wed Jun 01 12:36:36 2005 — враг - в инете инфы нет
explorer.exe — 2136 — Wed Jun 01 12:36:36 2005 — лишний
explorer.exe — 2056 — Wed Jun 01 12:36:43 2005 — лишний

После этого опять появляется vignoq.exe в регистрах и в Sistem32,
Но не запускается.
Наверное боится. Видит гад, что я за ним слежу.


Вопросы:
1.Может кто знает что это за гадость?

2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
Можно ли сделать паузу меньше?

3. Как приостановить эти гадские процессы? (поставить им паузу).
Уж я б их потом........

4. Что делать? (VMin, Ленин, Чернышевский)



























.

Здравствуйте, VMin, Вы писали:

VM>Вот такая гадость со вчерашнего дня:

VM>Сижу, работаю, хожу в интернет.
VM>Вдруг хлоп... все IE окошки закрываются.
VM>Через пару секунд появляется в Таске vignoq.exe и начинает жрать 100% cpu.

Начни с Lavasoft AdAware.

HTH,
Tuo_Bellas.

Здравствуйте, Tuo_Bellas, Вы писали:

T_B>Здравствуйте, VMin, Вы писали:

VM>>Вот такая гадость со вчерашнего дня:

VM>>Сижу, работаю, хожу в интернет.
VM>>Вдруг хлоп... все IE окошки закрываются.
VM>>Через пару секунд появляется в Таске vignoq.exe и начинает жрать 100% cpu.

T_B>Начни с Lavasoft AdAware.

T_B>HTH,
T_B>Tuo_Bellas.
Или MS AntiSpyWare.

Здравствуйте, VMin, Вы писали:


VM>Вопросы:
VM>1.Может кто знает что это за гадость?

VM>2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
VM>Можно ли сделать паузу меньше?
Вызывай по таймеру.

Здравствуйте, Александр.Сергеевич, Вы писали:

VM>>2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
VM>>Можно ли сделать паузу меньше?
АС>Вызывай по таймеру.

Чуствую, что мне надо именно это.
Не знаю как — "Вызывай по таймеру"

Не подскажете? Функцию или кода кусочек.
















.

Здравствуйте, VMin, Вы писали:

VM>Вопросы:
VM>1.Может кто знает что это за гадость?

VM>2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
VM>Можно ли сделать паузу меньше?

VM>3. Как приостановить эти гадские процессы? (поставить им паузу).
VM> Уж я б их потом........

VM>4. Что делать? (VMin, Ленин, Чернышевский)

Берем в руки Process Explorer и Autoruns с www.sysinternals.com и смотрим следующее:

1. Текущее дерево процессов (Process Explorer) — кто кого запускал и откуда. Убиваем подозрительные процессы.
2. Смотрим кто прописался в автозапуск, в том числе в плагины IE.
3. Дальше по интуиции.

В общем, как правило, этими средствами трояны вычищаются на ура. Может, мне просто серьезные звери не попадались — все-таки обычно я не кликаю на что попало и ActiveX-ы не ставлю.

Здравствуйте, VMin, Вы писали:

VM>4. Что делать? (VMin, Ленин, Чернышевский)

Использовать поиск
См. http://gzip.rsdn.ru/article/security/spyware.xml

Автор(ы): Порохня Дмитрий
Дата: 25.12.2004
Spyware – общее название ПО, наделенное шпионскими (или другими вредоносными) функциями. Статья посвящена общим принципам борьбы с этой напастью, а также принципам работы мониторов и сканеров spyware.

Удачи.

Здравствуйте, VMin, Вы писали:

VM>Вот такая гадость со вчерашнего дня:

VM>2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
VM>Можно ли сделать паузу меньше?



sleep не позволяет, если я не ошибаюсь отслеживать время с точностью меньше 80 msec.
Используйте:

1. Мультимедийный таймер(лучший вариант
   Автор:
   Дата: 27.06.02
   )
   
2. GetTickCount()
   
3. QueryPerformanceCounter, QueryPerformanceFrequency

VM>.

Здравствуйте, Mr.Chipset, Вы писали:

MC>Здравствуйте, VMin, Вы писали:

VM>>Вот такая гадость со вчерашнего дня:

VM>>2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
VM>>Можно ли сделать паузу меньше?



MC>sleep не позволяет, если я не ошибаюсь отслеживать время с точностью меньше 80 msec.
20 msec...

Здравствуйте, VMin, Вы писали:

VM>Вот такая гадость со вчерашнего дня:
VM>Сижу, работаю, хожу в интернет.
VM>Вдруг хлоп... все IE окошки закрываются.
VM>Через пару секунд появляется в Таске vignoq.exe и начинает жрать 100% cpu.
VM>Нашёл его в WINNT/sistem32.
VM>Нашёл его в регистрах ...Windows >> Run
VM>В интернете не нашёл... DrWeb говорит, что vignoq.exe OK.

VM>Удалял много раз.....

VM>Написал програмку — смотреть/считать все процессы.
VM>Вот они — неправильные процессы:
VM>crsreco.exe — 1944 — Wed Jun 01 12:36:33 2005 — враг — в инете инфы нет
VM>polall4c.exe — 2016 — Wed Jun 01 12:36:36 2005 — враг - в инете инфы нет
VM>explorer.exe — 2136 — Wed Jun 01 12:36:36 2005 — лишний
VM>explorer.exe — 2056 — Wed Jun 01 12:36:43 2005 — лишний

VM>После этого опять появляется vignoq.exe в регистрах и в Sistem32,
VM>Но не запускается.
VM>Наверное боится. Видит гад, что я за ним слежу.

Он после перезагрузки и начнет по-новой. А агент уже сидит в winlogon.exe, по всей видимости.

VM>Вопросы:
VM>1.Может кто знает что это за гадость?

VM>2. У меня "програмка — смотреть/считать" сканирует с паузой 1 msec == Sleep(1);
VM>Можно ли сделать паузу меньше?

VM>3. Как приостановить эти гадские процессы? (поставить им паузу).
VM> Уж я б их потом........

Никак. Большая часть усилий программеров этого барахла направлены именно на повышение живучести софта

VM>4. Что делать? (VMin, Ленин, Чернышевский)

ржунимагуафтаржжош!
Пустая трата времени. Плавали, знаем. Способов всего два.
1. (самый правильный) Грохнуть весь раздел с виндой форматом и поставить новую винду. Иначе никто не даст 100% гарантии что вирусов не осталось.
2. Вынуть винт, воткнуть в другую заведомо здоровую машину и прогнать там касперским с последним обновлением не только вирусных баз, но и спайварных (есть и такие базы, пути в обновлятете баз касперского к ним должны заканчиваться updates_x, а не updates как по умолчанию).

Ловить вирусню по ключам run в реестре — тухлое дело. Во1ых, автостартовать можно и из того ключа, в котором explorer записан шеллом по умолчанию, во2ых, грузиться можно внутрь процесса winlogon.exe и оттуда хрен выковыряешь.

Ну и не сиди под админом больше, никогда, да!

Здравствуйте, Alex Alexandrov, Вы писали:

AA>Берем в руки Process Explorer и Autoruns с www.sysinternals.com и смотрим следующее:

AA>1. Текущее дерево процессов (Process Explorer) — кто кого запускал и откуда. Убиваем подозрительные процессы.
AA>2. Смотрим кто прописался в автозапуск, в том числе в плагины IE.
AA>3. Дальше по интуиции.

4. Сделай поиск файлов с размером таким же или близким к зараженным.
5. Смотри версию файлов.

AA>В общем, как правило, этими средствами трояны вычищаются на ура. Может, мне просто серьезные звери не попадались — все-таки обычно я не кликаю на что попало и ActiveX-ы не ставлю.

Повозиться с ним пришлось, но сатисфакцию получил.

Это был кто-кто из них:
CERES.DLL и
buddy.exe
или
systb.dll

Сначала правда искурочил регистры и комп кроме TaskManager и CMD почти ничего не показывал.
Уже хотел переставлять, но нашел копию регистров (когда сделал не помню, но минут за пять до краша), импортировал и всё стало ОК, те с гадами.

Второй раз удалял аккуратнее.



В общем завтра напишу програмку экспорта регистров (ежедневного или ежечасного или ежеминутного или .......... ).
Зависит от степети параннои, но чувствую, что надо.
И буду писАть против ветра и не бояться брызг!!!!!!!!!!!

А может уже кто-то имеет?
Поделитесь.




















.

Здравствуйте, VMin, Вы писали:

VM>Сначала правда искурочил регистры и комп кроме TaskManager и CMD почти ничего не показывал.
VM>Уже хотел переставлять, но нашел копию регистров (когда сделал не помню, но минут за пять до краша), импортировал и всё стало ОК, те с гадами.
Это те, которые EAX, EBX и тд? Как же ты их умудрился искурочить?


VM>В общем завтра напишу програмку экспорта регистров (ежедневного или ежечасного или ежеминутного или .......... ).
VM>Зависит от степети параннои, но чувствую, что надо.
VM>И буду писАть против ветра и не бояться брызг!!!!!!!!!!!

VM>А может уже кто-то имеет?
VM>Поделитесь.

Поделюсь:

asm
 pusha
end;

Вызываешь через необходимый тебе интервал времени!

















VM>.

Здравствуйте, VMin, Вы писали:

VM>Нашёл его в WINNT/sistem32.
VM>Нашёл его в регистрах ...Windows >> Run

msconfig рулит, и не надо по реестру лазить....

Здравствуйте, DEMON HOOD, Вы писали:


DH>msconfig рулит, и не надо по реестру лазить....

Только, он не показывет из разделов Once.
К стыду современных вирусописателей стоит заметить, что они про них забыли.
Но помню время удалое Magistr, Sircam

Здравствуйте, VMin, Вы писали:

VM>Повозиться с ним пришлось, но сатисфакцию получил.

Мои поздравления. Настоятельно советую в следующий раз попробовать AdAware -- может избавить от большого количество ручной работы по вычищению дряни с компа.

Tuo_Bellas.

Ты список сервисов смотрел? Была у меня одна тварь, которая себя NT Login Service называла.

Здравствуйте, aik, Вы писали:

aik>Ну и не сиди под админом больше
+
PS Что-то писатели вирусов в последние несколько лет филантропами заделались.
Ничего сравнимого по убойной силе с Чернобылем (ну, или хотя бы OneHalf'ом)
Живо бы хороший стиль привили

Здравствуйте, VMin, Вы писали:

Мне всегда (тьфутьфутьфу) помогало восстановление системы...
Если у Вас ХР, то ИМХО нечего даже париться было, сразу восстановление и все оки.