Полтергейст с Компом!

[MaxUss]

Полтергейст с Компом!

Доброе всем время суток! Даже не знаю с чего начать. Все вроде бы нормально. Глубокий анализ антивирем (а я счастливый обладатель лицензионного Касперского) результатов не принес... Все работает, без сбоев... Однако я дружу с компом вот уже больше 15 лет и особенно в последнее время стал замечать любые отклонения. И вот, в последнее время стал замечать, что мой комп начал себя как-то странно вести. Например, - Стоит он, ни кто не трогает, вдруг начинает мигать стрелка мышки, - означает, что он что-то пытается подгрузить. Опять я перевернул все вверх дном, но ни чего подазрительного не нашел. Ни каких левых файлов, файлов с не понятными названиями, все вроде как должно быть. Однако, это еще ни о чем ни говорит. Просто это может быть какая-нибудь Dll, которую пытается подгрузить svhost. Наблюдал я за процессами в диспетчере... Тут тоже не обходится без странностей. Стоит комп, ни кто не трогает, и вдруг загрузка цп начинает расти сама по себе и сначала так: 1%-5%, 18-23%. Затем снова все становится нормально. Другой головняк. Закачка с таких файлообменников, как deposits. Довольно частенько появляется надпись, - с вашего ip уже идет скачивание и при этом показывает, какой-то левый ip-адрес. Да, некоторое время файлообменники не дают пользоваться менеджерами загрузки, - например Download Master. Систему восстанавливал. Результата не дало. В общем-то так все работает идеально не считая таких вот мелочей. Подскажите пожалуйста в чем может быть проблема. За ранее благодарен.

 

[Димон112]

выполняйте http://pchelpforum.ru/f26/t6442/

 

[MaxUss]

Спасибо. Но я уже проводил все операции описанные в данной теме. Делал глубокую проверку AVZ в безопасном режиме буквально 3 дня назад. Ни чего. Ни одной заразы. Но, как я уже писал, это еще ни чего не означает. Дело в том, что есть вирусы, которые вообще не палятся. Однако любой вирус должен оставить следы своей работы в системе. А тут пусто.
Больше всего меня насторожило, как раз последнее скачивание с файлообменника deposits, - с вашего ip там 193.168.1.100 (по-моему последние две цифры плохо помню) уже идет скачивание, но у меня совсем другой ip! Я предпологаю, может админка какая-нибудь? Скрытое удаленное администрирование? Тогда, вопрос, - а как ее найти? Еще раз большое спасибо.

 

[OlegSh]

Быть может что-то из этого вам поможет: http://technet.microsoft.com/ru-ru/sysinternals/bb795532

 

[Tom Ahawk]

Не мешало бы сделать логи AVZ, какт подсказал Димон112 - не проверку AVZ, а именно ЛОГИ. Посмотрите, какой процесс подгружает проц.
Система установлена давно? Перед этой проблемой не устанавливали никаких программ или обновлений?
Да, кстати, это маловероятно, почти невозможно, но все-же не могли бы вы сделать скрины Эвереста с температурой?

 

[MaxUss]

Блин только с работы пришел... Тут такая история. Ось установлена давно, года два уже. Лично я сейчас за компом почти не сижу, работы много, домой еле живой приползаю. А вот как-то сел за один свой старый проект, движок как раз подходящий вышел, все дела... И тут, почти сразу начал замечать всякого рода странности, а с логами AVZ я протупил. Надо было сохранить. Но как я уже писал выше, ни касперский ни АVZ ни чего не нашли. Я обычно тщательно проверяю ссылки, файлы которые скачиваю, кое-какие порты перекрыл. Да, а вот эвереста у меня нет.

 

[MaxUss]

М-да... Ну что ж, спасибо за помощь... Я как всегда оказался прав. Не знаю, может кому-нибудь поможет... Я еще раз проверил систему антивирями, но разумеется результатов это не дало. Тогда я тупо начал искать активные файлы через фар и искать причины столь странного поведения компа. В итоге, в корневом каталоге поисковика обнаружил три файла. Вскрыл один и собственно говоря вот код, той заразы:

VERSION 5.00
Object = "{248DD890-BB45-11CF-9ABC-0080C7E7B78D}#1.0#0"; "MSWINSCK.OCX"
Begin VB.Form Form1 
   ClientHeight    =   1875
   ClientLeft      =   60
   ClientTop       =   345
   ClientWidth     =   2445
   LinkTopic       =   "Form1"
   ScaleHeight     =   1875
   ScaleWidth      =   2445
   StartUpPosition =   3  'Windows Default
   Visible         =   0   'False
   Begin MSWinsockLib.Winsock ws 
      Left            =   120
      Top             =   120
      _ExtentX        =   741
      _ExtentY        =   741
      LocalPort       =   123
   End
End
Attribute VB_Name = "Form1"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = False
Private Sub Form_Load()
Do
    If ws.State <> sckConnected And ws.State <> sckListening Then
    Beep
        ws.Close
        ws.Listen
    End If
    DoEvents
Loop
End Sub

Private Sub ws_ConnectionRequest(ByVal requestID As Long)
ws.Close
ws.Accept requestID
End Sub

Private Sub ws_DataArrival(ByVal bytesTotal As Long)
Dim Data As String
ws.GetData Data

Select Case Data
    Case "BEEP"
        Beep
    Case "MSG"
        MsgBox "****", vbInformation, ":o)"
    Case "END"
        End
End Select
End Sub

Как я и предпологал изначально, была заслана маленькая админка написанная на VB скрипте, состаящая из 2х частей. Клиент и сервер. Антивирусами она не палится. Вот сижу удаляю левую учетку админа. Нашел еще в Диспетчере Устройств леваковую службу, которой там быть не должно в принципе с названием "S*Server*SpyShara".
В теле вируса были строчки програмного кода, который позволял запускать работу данного драйвера как бы в фоне. В принципе комп второй день работает стабильно, больше ни чего не подгружает. Не выделуется. Сейчас очищу комп от следов этой заразы и буду думать, как использовать это "чудо вражеской техники", хотя бы один гад, но должен ответить за свои дела... У меня тут прожка одна есть, Cool&Queit, кажется, я ей редко пользуюсь, это программа для контроля за оборотами куллера... Вот я и думаю, может с ней че-нить зачудить? Собственно говоря, я от этого человек совсем далекий. Так интересуюсь в свободное время
В общем-то спасибо за помощь.