Паранойя ?

Тема в разделе "WASM.HEAP", создана пользователем Aspire, 7 сен 2007.

  1. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    Запустил тут по надобности таскманагера, посмотрел что нужно, свернул. В правом нижнем углу светиться иконка с загрузкой проца. Привлекло внимание то, что столбик загрузки цп постоянно дергается, даже если я не произвожу никаких действий. Разворачиваю манагера, смотрю график загрузки цп: пилообразный 2-11%...Начинаю вырубать процессы, все проходит после того как вырубил квип. Выкинул квип, поставил асю: тажа хрень. Выкинул асю, поставил миранду: тажа хрень. Но ведь не должно так быть ??? Скачал с данного сайта руткитанхукер. При запуске он выдает сообщение, что в itself обнаружен паразит "удалить-продолжить". Тобишь какая-то хрень внедряется во все запускаемые процессы. Подскажите, плиз, как найти эту хрень ?
     
  2. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Адрес трида есть? Модуль?
    Может быть вы коллега уже часть ботнета =)
     
  3. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    Thread ID 992
    Priority 8
    Тред айди ессно каждый раз разный. 8 - эо приоритет треда? Модуль там не пишется (((
    Та еще перспективка...
     
  4. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Aspire
    Да восемь это приоритет. Попробуй Process Explorer с sysinternals.com и AutoRuns оттуда же. Первый может покажет картину в общем, а второй список подгружающегося с виндой гамна, включи в autoruns Hide Microsoft items.
     
  5. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Кстати неплохо бы все-таки писать, что за винда и стоит ли какое-нибудь гуано типа антивируса.
     
  6. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    EP_X0FF Sorry. Антивирь - каспер7. Давненько его не включал по причине жутких тормозов. Ситема XP Home Edition лицензионная с последними обновлениями. Скачал процессэксплорер, пока ничего нового не нашел. Щас запущу авторан...
     
  7. FreeHunter

    FreeHunter New Member

    Публикаций:
    0
    Регистрация:
    24 июн 2007
    Сообщения:
    17
    2Aspire

    хм. если хп с со всем последним, то скорее всего это IE7 виноват. Версия wininet.dll для него создаёт свой поток.
     
  8. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    FreeHunter Не пользуюсь я им. Опера у меня с самого начала, а ИЕ как был 6-ым так и осталсо.
     
  9. FreeHunter

    FreeHunter New Member

    Публикаций:
    0
    Регистрация:
    24 июн 2007
    Сообщения:
    17
    А если у аськи или миранды потоки подглядеть процессэксплорером, стек каждого?
     
  10. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    Подглядел. Не понял что я там должен увидеть...попробовал суспендить все потоки - никакого эффекта, пока все не грохнул "пила" так и была.
    Поотключал лишнего в авторане, теперь анхукер не ругаетсо )))
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    Aspire
    A: фаер юзаешь??
    Б: работаешь с правами админа или под юзером??
     
  12. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    UbIvItS А:в последнее время - нет.
    Б:админа.
     
  13. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Aspire
    А что за анхукар у тебя, какая версия?
     
  14. kero

    kero Модератор SOURCES & 2LZ Команда форума

    Публикаций:
    0
    Регистрация:
    4 апр 2006
    Сообщения:
    1.074
    Адрес:
    Москва
    EP_X0FF
    А как насчет ProcMon ?
    Правда, сам его не пробовал: у меня (xp-pro-sp2-rus) падает сходу :derisive:
     
  15. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Зачем?

    Так напиши багрепорт аффтару, обитает на sysinternals. У меня в1.22/xpsp2 - все работает.
     
  16. Hmm

    Hmm New Member

    Публикаций:
    0
    Регистрация:
    22 ноя 2006
    Сообщения:
    162
    У меня чуть более курьезная ситуевина.
    В общем , иногда , как и многие , я хожу в гугл .
    Изредка , после этого вижу на совершенно левых страницах , которые посещаю flash-баннер стандартного размера .
    В нем нарисована поисковая форма , и в ней ( о ужас ) то , что я вбивал 5 мин назад в гугл ... ( все это , повторюсь , нарисовано ) .Баннер , увы , не сохранил . Поисковая форма в баннере , вроде бы , webalta .Рекламная система adriver . Последний раз наблюдал недели 1.5 назад .

    Проверялся и антивирями ( в сэйфмоде) , и антируткитами ( Зайцевским и сисинтерналс ).Ничего .
    Теряюсь в догадках .
    То ли это сильно зубастый вирь .
    То ли хитрые кукисы , из которых на лету лепят баннер
    ушлые рекламщики ...
     
  17. device

    device Reflection

    Публикаций:
    0
    Регистрация:
    26 апр 2007
    Сообщения:
    1.198
    Адрес:
    RF
    Легко! GLib тут рулит.
     
  18. EP_X0FF

    EP_X0FF New Member

    Публикаций:
    0
    Регистрация:
    13 авг 2006
    Сообщения:
    450
    Hmm
    А вот это действительно параноЙя.
     
  19. Aspire

    Aspire New Member

    Публикаций:
    0
    Регистрация:
    19 май 2007
    Сообщения:
    1.028
    EP_X0FF
    Версия анхукера 3.0.88.344. Видимо полезная программулина, научиться бы ей ешо пользоваться...
     
  20. 1111111

    1111111 New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2007
    Сообщения:
    55
    Hmm
    тоже такое не раз видел, поисковые запросы в гугль дублируются в баннере вустальты. Интересно как это, но разбиратся влом