| Вопрос: Помогите убить процесс | Добавлено: 14.01.07 21:17 |
Автор вопроса:  trialist
|
|
Всем доброго времени суток!
Итак проблема: после того как брат посидел в мое отсутствие за компом (как утверждает в нет не лазал, только гонял ГТА СА). По приезду я обнаружил появление нового процесса с названием Win.exe и ужасные глюки в 3D приложениях: http://NetLanPlus.narod.ru/1.jpg http://NetLanPlus.narod.ru/21.jpg Если его убить то комп подвисает секунд на 8, после чего все раатает нармально но через 1.5 минуты процесс восстанавливается. Файла с таким именем на кемпе нет. Как убить этот процесс навсегда? |
| Ответы | Всего ответов: 6 |
|
Номер ответа: 1 Автор ответа:    Администратор ICQ: 278109632 Вопросов: 42 Ответов: 3949 |
Web-сайт: Профиль | | #1 | Добавлено: 14.01.07 21:59 |
|
ага. скорее всего это одна из разновидностей бэкдора А-311 или подобного. Он ставит хуки, поэтому файл из под винды не найдешь... а еще он создает свой драйвер, скорее всего... короче его можно удалить только из доса. можно из консоли восстановления. если чего, то пиши на мыло executioner(собака)pisem(точка)net
или в асю 278109632, может помогу. и поставь антивирь) лучше новую бету Доктор Веба. |
||
|
Номер ответа: 2 Автор ответа: trialist Вопросов: 14 Ответов: 76 |
Профиль | | #2 | Добавлено: 14.01.07 22:19 |
|
ага. скорее всего это одна из разновидностей бэкдора А-311 или подобного.
Прочерил, нету его. |
||
|
Номер ответа: 3 Автор ответа: Stars Вопросов: 41 Ответов: 239 |
Профиль | | #3 | Добавлено: 15.01.07 15:45 |
| Антивирусом проверь | ||
|
Номер ответа: 4 Автор ответа: trialistВопросов: 14 Ответов: 76 |
Профиль | | #4 | Добавлено: 15.01.07 16:16 |
|
Антивирусом проверь
ДР Веб, каспер, нортон все сегодня обновил. Не нашло ничего 
|
||
|
Номер ответа: 5 Автор ответа: СерёгаICQ: 262809473 Вопросов: 17 Ответов: 561 |
Web-сайт: Профиль | | #5 | Добавлено: 15.01.07 19:30 |
|
Вот код, который выдает адреса всех загруженых исполняемых модулей:
Private Type MODULEENTRY32
dwSize As Long th32ModuleID As Long th32ProcessID As Long GlblcntUsage As Long ProccntUsage As Long modBaseAddr As Long modBaseSize As Long hModule As Long szModule As String * 256 szExePath As String * 260 End Type Private Declare Function GetCurrentProcessId Lib "kernel32" () As Long Private Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal lFlags As Long, ByVal lProcessID As Long) As Long Private Declare Function Module32First Lib "kernel32" (ByVal hSnapshot As Long, uProcess As MODULEENTRY32) As Long Private Declare Function Module32Next Lib "kernel32" (ByVal hSnapshot As Long, uProcess As MODULEENTRY32) As Long Private Sub Form_Load() Dim uProcess As MODULEENTRY32 Form1.AutoRedraw = True lProcessID = GetCurrentProcessId hSnapshot = CreateToolhelp32Snapshot(8, 0) uProcess.dwSize = Len(uProcess) n = Module32First(hSnapshot, uProcess) Do While n Form1.Print Left(uProcess.szExePath, InStr(uProcess.szExePath, Chr(0)) - 1) '+ Left(uProcess.szModule, InStr(uProcess.szModule, Chr(0)) - 1) n = Module32Next(hSnapshot, uProcess) Loop End Sub запускай его и ищи свой win.exe найдешь - попробуй удалить, но возможно, что он не удалится, тогда мочи его из под DOS. Остается только надеятся, что вирусописатели не предусмотрели механизм восстановления 
|
||
|
Номер ответа: 6 Автор ответа: trialistВопросов: 14 Ответов: 76 |
Профиль | | #6 | Добавлено: 15.01.07 20:35 |
|
2Серега спасибо, помогло!
Брат раскололся, он ставил какую-то заставку с имитацией воды. При установке она захотела дозу интернета, откуда и была скачана эта дрянь под видом обновлений, необходимых для корректного запуска заставки(!). "Обновление" создавало файл win.exe в папке %windir%\system32\ReNew\ после чего инсталлер самоуничтожался. Папку видно только из-под доса. За ее автозапуск отвечает небезызвестные SVCHOST.exe (еще одна копия) запущенный от имени пользователя через реестр. Эта дрянь перегружает видяху и похоже после длительной работы выводит ее из строя. |
||
Страница: 1 |