Full Version: rundll32.exe - КЛОН
| QUOTE |
| Доброго времени суток. Хочу рассказать о невиданном доселе глюке: вчера ребутил машину, w2k SP4 , и после перезагрузки в системе начал плодиться процесс rundll32.exe до полного заполнения свопа. машина повисла намертво. Загружаться стала только в безопасном режиме. Снес все программы и сервисы, какие снеслись, не помогло, пришлось из образа диска восстагнавливать. Сегодня у другого чувака, знакомого по IRC такая же беда. Только он под 2 сервиспаком. Он счас винду переставляет  Вопрос: это новый вирус или глюк такой новый? нигде про подобное не нашел. Никто с такое проблемой не сталкивался? Вероятно троян или червяк, очень хорошо про это написано здесь: http://portal.sysadmins.ru/board/viewtopic.php?t=38918 |
Это я прочитала, когда пошла искать ответ на свою проблему.
У меня примерно то же, но я увидела, как мне прилетела какая-то фигня типа "хостсекс", почистила, но, возможно, она где-то осталась
Вообщем, что получается, при попытке открыть какую-либо страницу IE зависает напрочь, если в процессах менеджера удалить rundll32.exe, то зависон проходит.
Да, и ещё в процессах таск-менеджера какой-то jjrbzd.exe фигурирует
Ничего о нём не нашла. Может, кто знает, чего он там делает?
Может, кто чего подскажет?
Пошла разбираться дальше.
в сейф мод и чистить, чистить и чистить, как завещал великий .... если не поможет, то формат ц: точно решит. а лучше поставить небольшой фаервол, дучше всякого антивируса помогает. вот у меня нет антивируса уже где-то с пол-года, и ничего жив. главное не антивирус, а сознательность пользователя по установке всякого мусора скачанного из интернета и по открытию всяких файлов которые появляются на сетевых ресурсах, расшаренных для общего доступа, с правом на запись.
насчет rundll. не знаю, но с ....
| QUOTE |
главное не антивирус, а сознательность пользователя по установке всякого мусора скачанного из интернета и по открытию всяких файлов которые появляются на сетевых ресурсах |
не совсем согласен.
Более вероятный шанс подцепить какую-нить парашу это через .exe installs (на crack, xxx- и xdcc сайтах), типа поп-ап, которого блоккер не берет!. Он спрашивает хошешь ли ты заинсталировать данный сервис, а тем временем в твой комп закачался файл.
Если процесс сам по себе не выходит в и-нет, то firewall тебе ничего не даст.
Norton AVP 2004, имеет в себе функцию обнаруживать такие процессы, но не все.
Поскольку нормального метода по борьбе с этим eще не сделали norton avp is the best deal atm.
из собственного опыта скажу, что чистки поиски итд. займут больше времени, чем если сделать бэкап того, что тебе нужно и поставить все заново.
Еще лучше, когда поставишь все заново, именно всё - все программы, кторые нужны каждодневно, сделать имэдж к примеру нортоновским гостом и положить его недалеко и в таких случаях просто заливать его заново.
пошел немного дальше.
все файлы настройки, к примеру профили юзеров лежат не на c:\ а в указанной мною папке на другом диске. то же касается папок аутлука итд итп.
после заливки имэджа все остается в итоге на своих местах.
а по поводу rundll если честно то это имхо не лечится. есть всякие трюки как лечить, но на самом деле уверенно скажу - дурная затея. проще как уже описал выше.
Еще лучше, когда поставишь все заново, именно всё - все программы, кторые нужны каждодневно, сделать имэдж к примеру нортоновским гостом и положить его недалеко и в таких случаях просто заливать его заново.
пошел немного дальше.
все файлы настройки, к примеру профили юзеров лежат не на c:\ а в указанной мною папке на другом диске. то же касается папок аутлука итд итп.
после заливки имэджа все остается в итоге на своих местах.
а по поводу rundll если честно то это имхо не лечится. есть всякие трюки как лечить, но на самом деле уверенно скажу - дурная затея. проще как уже описал выше.
да, а по поводу троянов и прочей заразы
самое на мой взгляд лучшее решение это просто покупка рутера в том же ебее
к примеру smc7004br
не нужно никакого новья. почему именно этот? во-первых один их немногих, который умеет wake on lan, потом купить его за 30-40 евро можно, фильтрует заразу капитально.
кусок лога:
самое на мой взгляд лучшее решение это просто покупка рутера в том же ебее
к примеру smc7004br
не нужно никакого новья. почему именно этот? во-первых один их немногих, который умеет wake on lan, потом купить его за 30-40 евро можно, фильтрует заразу капитально.
кусок лога:
| CODE |
June 29, 2004, 10:18:05 PM - Unrecognized access from 62.129.170.109:1528 to TCP port 445 June 29, 2004, 10:18:33 PM - Unrecognized access from 4.16.177.205:1323 to TCP port 445 June 29, 2004, 10:18:40 PM - Unrecognized access from 209.6.80.194:4630 to TCP port 445 June 29, 2004, 10:18:42 PM - Unrecognized access from 209.6.80.194:4630 to TCP port 445 June 29, 2004, 10:18:49 PM - Unrecognized access from 209.6.80.194:4630 to TCP port 445 June 29, 2004, 10:18:57 PM - Unrecognized access from 217.83.51.242:3576 to TCP port 445 June 29, 2004, 10:19:00 PM - Unrecognized access from 217.83.51.242:3576 to TCP port 445 June 29, 2004, 10:19:20 PM - Unrecognized access from 217.83.137.243:1762 to TCP port 135 June 29, 2004, 10:19:23 PM - Unrecognized access from 217.83.137.243:1762 to TCP port 135 June 29, 2004, 10:19:43 PM - Unrecognized access from 217.225.109.33:3716 to TCP port 445 June 29, 2004, 10:19:58 PM - Unrecognized access from 81.67.251.139:4187 to TCP port 445 June 29, 2004, 10:20:01 PM - Unrecognized access from 81.67.251.139:4187 to TCP port 445 June 29, 2004, 10:20:04 PM - Unrecognized access from 217.81.23.84:1428 to TCP port 135 June 29, 2004, 10:20:07 PM - Unrecognized access from 217.81.23.84:1428 to TCP port 135 |
это только за последние две минуты, что он отфутболил.
на компе самом у меня не стоит ни антивируса, ни файерволла, и до сих пор (тьфц тьфу) никакаих проблем.
Просто не надо куда попадя кликать в мыле и время от времени ададваре запускать.
ну, и если что-то подозрительное происходит, то открываем
cmd -> netstat -an
и все сразу станет ясно
| QUOTE (Bubble-Gum @ Вторник, 29 Июня 2004, 22:23) |
| да, а по поводу троянов и прочей заразы самое на мой взгляд лучшее решение это просто покупка рутера в том же ебее к примеру smc7004br |
роутер SMC7004VBR и не каих троянов, но полетел как то у меня ожнажды внешний модем, поставил внутрений DSL модем, ну и в первые пять минут у меня сходу заверешяла антивируска
, поставил софтовый фаервол, и еле дождался когда пришлют новый модем, чтоб снова подключиться через роутер 
LOL 
2 Efimka:
у меня тоже история такая есть:
у меня раньше был старый ноутбук
на нем я в сетке сидел только дома за Linksys BEFSR41 роутером
без проблем
свой антивирь видел раз в три-четыре месяца (symantec AV corporate edition)
так вот, пришел я в универ в один прекрасный день и подключил его в сеть, и что вы думаете?
меньше чем через 10 секунд выскакивает антивирус и говорит так мол и так, blaster лезет на комп, ну я его прибил, а еще через минуту он снова выскочил и сказал что ко мне лезет другой червь, который сам чинит бластер (не помню уже как он называется) и такие сообщения без конца. благо у меня был файервол установлен (но не запущен), поэтому я его просто запустил и забыл, но все равно интересно.
мораль: пользуйтесь роутерами! пусть даже не smc7004br
у меня тоже история такая есть:
у меня раньше был старый ноутбук
на нем я в сетке сидел только дома за Linksys BEFSR41 роутером
без проблем
свой антивирь видел раз в три-четыре месяца (symantec AV corporate edition)
так вот, пришел я в универ в один прекрасный день и подключил его в сеть, и что вы думаете?
меньше чем через 10 секунд выскакивает антивирус и говорит так мол и так, blaster лезет на комп, ну я его прибил, а еще через минуту он снова выскочил и сказал что ко мне лезет другой червь, который сам чинит бластер (не помню уже как он называется) и такие сообщения без конца. благо у меня был файервол установлен (но не запущен), поэтому я его просто запустил и забыл, но все равно интересно.
мораль: пользуйтесь роутерами! пусть даже не smc7004br
2 Leshii: а еще называется англоязнычный буржуй
роутерами
прочитай слово router неужели по английски оно звучит рОУтер?
роутерами
прочитай слово router неужели по английски оно звучит рОУтер?
Спасибо огромное Кваппе и Ad-aware.
И всем спасибо за ответы, учту на будущее!
Всё теперь ОК, как мне кажется!;)
Один маленький вопросик остался
При открытии IE всегда стояла пустая страничка, теперь загружается MSN после сканирования и чистки с помощью Ad-aware. Иду в опции IE, меняю там загрузку стартовой на пустую. Сканирование после этого выдаёт опять новый объект в реестре
HKEY_CURRENT_USER Software\Microsoft\Internet Explorer\Main"Start Page" ("about blank") и в комментариях "Возможно, атака на браузер"
Может, просто в игнор-лист поместить, какая это атака? От меня атака?
Хм, сейчас попробовала открыть IE с выставленной пустой страницей, выдало ошибку скрипта, и отправляет на эту страницу
http://cs.valuead.com/code?pid=12&gid=16&r...30&dow=3&hod=21
Не пойду я туда
И всем спасибо за ответы, учту на будущее!
Всё теперь ОК, как мне кажется!;)
Один маленький вопросик остался
При открытии IE всегда стояла пустая страничка, теперь загружается MSN после сканирования и чистки с помощью Ad-aware. Иду в опции IE, меняю там загрузку стартовой на пустую. Сканирование после этого выдаёт опять новый объект в реестре
HKEY_CURRENT_USER Software\Microsoft\Internet Explorer\Main"Start Page" ("about blank") и в комментариях "Возможно, атака на браузер"
Может, просто в игнор-лист поместить, какая это атака? От меня атака?
Хм, сейчас попробовала открыть IE с выставленной пустой страницей, выдало ошибку скрипта, и отправляет на эту страницу
http://cs.valuead.com/code?pid=12&gid=16&r...30&dow=3&hod=21
Не пойду я туда
Ох, что у меня тут щас произошло - вообще комедия 
Короче: ухжу спать - комп как всегда включенный, отоспался, подхожу к компу - что-то не то
2 каких-то серч-бара, и 20!!! лишних (то бишь непонятно каких - свои я знаю наперечет) процессов в таск менеджере!
Ad-aware вместо положенных 5-6 кукис находит 120 файлов и записей в реестре
Вот каспера ставлю - он вычислит всю пропущенную Ad-aware гадость....
Самое удивительное, что К КОМПУ НИКТО НЕ ПОДХОДИЛ!
Короче: ухжу спать - комп как всегда включенный, отоспался, подхожу к компу - что-то не то
2 каких-то серч-бара, и 20!!! лишних (то бишь непонятно каких - свои я знаю наперечет) процессов в таск менеджере!
Ad-aware вместо положенных 5-6 кукис находит 120 файлов и записей в реестре
Вот каспера ставлю - он вычислит всю пропущенную Ad-aware гадость....
Самое удивительное, что К КОМПУ НИКТО НЕ ПОДХОДИЛ!
Усе, вроде немного отпустило 
касперыч после адваре и установки-удаления программ нашел еще 11 вирусов..
Вывод: Ad-aware не панацея от всех бед, про антивирус забывать то-же не надо.
Р.С. Если кому-то вдруг понадобится ключик для пятого касперского - обращайтесь.
касперыч после адваре и установки-удаления программ нашел еще 11 вирусов..
Вывод: Ad-aware не панацея от всех бед, про антивирус забывать то-же не надо.
Р.С. Если кому-то вдруг понадобится ключик для пятого касперского - обращайтесь.
ставь рутер (как говорит Bubbl`) и не каких проблем 
| QUOTE (Bubble-Gum @ Среда, 30 Июня 2004, 0:57) |
| неужели по английски оно звучит рОУтер? |
А как оно звучит?
По себе скажу - когда дома более одного компа - вещь незаменимая, во всяком случае за полгода ни одной новой дырки
Хотя, ИМХО, по большей части помогает отсутствие желания запускать всякую дрянь...
вот уж не думал, не предполагал...
router....
начинаем уроки английского... начнем с дифтонгов
как мы обычно читаем дифтонг ou?
router....
начинаем уроки английского... начнем с дифтонгов
как мы обычно читаем дифтонг ou?
В слове you мы читаем это как У
В слове double мы читаем это как А
В слове though мы читаем это как О
А туточки - раутер, Бубль, раутер, и никак иначе
В слове double мы читаем это как А
В слове though мы читаем это как О
А туточки - раутер, Бубль, раутер, и никак иначе
у англоязычных коллег это злоебучее слово всегда звучит как рУУтер когда они его вслух произносят. в принципе ау - да в литератуном, но на самом деле
теория всегда с практикой....
теория всегда с практикой....
Я, когда во Fry's в эту куйню пальцем тыкал, мне продавец вежливо так говорил "Раутер, сэр?", и лыбился, гад. Правда, они там все китайцы, продавцы, шо с них брать-то?
да у меня та же история вчера снес другу все те же самые просесы стоит стенку выключить как вылазят а панда бедная аж не успевает сообшать то один троян то другой ранше я без стенки работал а теперь только и сообшает что кто то хочет запустить чтото на моем компе не спрашивая меня потом 100 проц системы обслуживает ентот просесс а я так для вида около него сижу
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.