Форум программистов
 

Восстановите пароль или Зарегистрируйтесь на форуме, о проблемах и с заказом рекламы пишите сюда - alarforum@yandex.ru, проверяйте папку спам!

Вернуться   Форум программистов > Операционные системы > Windows
Регистрация

Восстановить пароль
Повторная активизация e-mail

Купить рекламу на форуме - 42 тыс руб за месяц

Ответ
 
Опции темы Поиск в этой теме
Старый 27.10.2008, 16:54   #1
Gorychev
Участник клуба
 
Аватар для Gorychev
 
Регистрация: 08.03.2008
Сообщений: 1,603
По умолчанию cmd.exe и занимает почти все ресурсы процессора

Столкнулся недавно с очень неприятной штукой...
По непонятным причинам через какое-то время работы комп начинает тормозить. В процессах висит cmd.exe и занимает почти все ресурсы процессора. Дальше - лучше. Он начинает плодиться. Запускается сначала под учётной пользователя, потом под SYSTEM. и так создаётся несколько процессов(от количества запущенных зараженных программ)
cmd.exe грузит систему, потому что этот вирус создаёт и запускает bat-файл рядом с exe-шником, либо в папке temp в профиле пользователя, в котором написано примерно следующее:
3dsmax.bat:
@echo off
:repeat
del "C:\DOCUME~1\user\LOCALS~1\Temp\3ds max.exe "
if exist "C:\DOCUME~1\user1\LOCALS~1\Temp\3d smax.exe " goto repeat
del "C:\DOCUME~1\user\LOCALS~1\Temp\3ds max.BAT "
@cls

Соответственно, получаем бесконечный цикл...
NOD32 этот вирус не ловит. Разочаровался в ноде окончательно.

DwWeb вирус успешно лечит(обнаружил много зараженных файлав, в том числе и нодовские которые запускаются при входе в систему) , но
появляются новые. Поотключал все в автозапуске кроме ctfmon - не
помогает...

Думаю, что возможно заражен explorer.exe, т.к. присутствет еще один трабл - в систему можно войти только с пароля админа, если входиш как юзер, то звучит всем известная музыка, звучащая при входе в систему
и показывается рисунок рабочего стола, ни ярлыков, ни панели задач, ничего не видно. ctrl+alt+del работает. Просмотрел процессы, не нашел explorer.exe. Пытался запустить новую задачу С:\windows\system32\explorer.exe - папка Windows закрыта для пользователей, хотя и диск С: и папка открыта для пользователей, это точно(админ пароль только у меня). Если изменить юзера на админа - продлемма тут же пропадает.

Помогите разобраться друзья...
Gorychev вне форума Ответить с цитированием
Старый 27.10.2008, 17:03   #2
mihali4
*
Старожил
 
Регистрация: 22.11.2006
Сообщений: 9,201
По умолчанию

Цитата:
Помогите разобраться
А чего тут разбираться? Прогоняем систему через все имеющиеся антивирусы (в первую очередь ловим червяков, например, бесплатной касперовской Kaspersky Removal Tool).
Но, как говаривал Лаврентий Палыч - "попытка - не пытка" и результат может и не быть достигнут. Тогда - полный формат диска С: и новая установка винды. А в самом поганом случае - переразметка разделов винта с последующим полным форматированием. Конечно, с потерей данных, как зараженных, так и нет... Увы...
А что касается CMD.EXE... Это же окно командной строки - попробуйте на него переключиться (ALT+TAB) и посмотреть, что там творится...

Последний раз редактировалось mihali4; 27.10.2008 в 18:42.
mihali4 вне форума Ответить с цитированием
Старый 27.10.2008, 19:38   #3
Gorychev
Участник клуба
 
Аватар для Gorychev
 
Регистрация: 08.03.2008
Сообщений: 1,603
По умолчанию

Цитата:
полный формат диска С: и новая установка винды
Это понятно... Я б уже и сам не прочь, хотя противник format c:\ без предварительного разбора полетов.
Тут такая проблема:
Хотел попробовать сначала переустановить винду - вставил диск, выбрал загрузку с СD, выскочила надпись "Программа установки проверяет параметры оборудования", после чего экран становится черный и ничего не происходит чуть-чуть мелькает индикатор обращения к жесткому диску. Дальше установка не идет. Тоже самое происходит если вставляешь LifeCD.
Отформатировать HDD можно и на др. ПК... А что делать если потом винда "не захочет" устанавливаться?
Gorychev вне форума Ответить с цитированием
Старый 27.10.2008, 20:17   #4
mihali4
*
Старожил
 
Регистрация: 22.11.2006
Сообщений: 9,201
По умолчанию

Перечитайте мой предыдущий - я там добавил.
Цитата:
что делать если потом винда "не захочет" устанавливаться
Бог миловал - ни разу такого не встречал...
mihali4 вне форума Ответить с цитированием
Старый 27.10.2008, 20:40   #5
Gorychev
Участник клуба
 
Аватар для Gorychev
 
Регистрация: 08.03.2008
Сообщений: 1,603
По умолчанию

Цитата:
Это же окно командной строки - попробуйте на него переключиться (ALT+TAB) и посмотреть, что там творится...
Самого окна не видно, CMD.EXE вижу в списках процессов или через filemon... Все равно спасибо...
Gorychev вне форума Ответить с цитированием
Старый 28.10.2008, 14:36   #6
Zloy_Doomer
Форумчанин
 
Аватар для Zloy_Doomer
 
Регистрация: 25.04.2008
Сообщений: 277
По умолчанию

Винда может не ставится изза неправильной\испорченной разметки жесткого диска...У меня был такой прикол када я пытался поставить венду после линукса не убив при етом линуксовые разделы...Убей диск С и создай его по новой - должно помочь...если нет, то тогда Fdisk /mbr тебе в помощ...
it is a good day to die
Zloy_Doomer вне форума Ответить с цитированием
Старый 07.11.2008, 11:18   #7
Gorychev
Участник клуба
 
Аватар для Gorychev
 
Регистрация: 08.03.2008
Сообщений: 1,603
По умолчанию

Цитата:
Винда может не ставится изза неправильной\испорченной разметки жесткого диска...У меня был такой прикол када я пытался поставить венду после линукса не убив при етом линуксовые разделы..
Да именно в этом и была проблема. Загрузился с дискет Partition Magic 8.0 перебил линукс разделы.

Что до вируса, штука противная и трудно-выводимая как пятно на белой сорочке. Заражаются все подряд экзешники + грузится проц...
Каспер 2009 и Curelt Dr.Web (новые базы) успешно находят и удаляют инфицированные файлы, но они пявляются снова, т.к. инфицирован процесс Explorer, каким-то образом он маскируется так, что антивири его не определяют как вирус.
Форматирование системного диска + переустановка винды ничего не дает - вирус "перелазит" с др. логических дисков. Проверка в безопасном режиме тоже...
Можно вывести эту заразу так:
1. прогнать винт антивирем на чистой машине.
2. загрузится с LafeCD(или с чистой загрузочной флешки), запустить Curelt Dr.Web, прогнать все логические диски зараженного винта.

Все зараженные ехе файлов будут убиты, так что без переустановки системы не обойтись. А лучше все начать с чистого листа...

Зараза эта называется Afgan.a или Kolumb.(2-3). Если не отключена автозагрузка со сменных носителей, флешка мигом заражается.

Слава богу, что на работу эту заразу не принес...
Gorychev вне форума Ответить с цитированием
Старый 09.11.2008, 21:52   #8
valsh
Новичок
Джуниор
 
Регистрация: 09.11.2008
Сообщений: 1
По умолчанию

прогонять вообще лучше КЮРЕИТ и в безопасном режиме
valsh вне форума Ответить с цитированием
Старый 10.11.2008, 12:00   #9
JTG
я получил эту роль
Старожил
 
Аватар для JTG
 
Регистрация: 25.05.2007
Сообщений: 3,694
По умолчанию

Я в таких случаях делаю reset (некоторые вирусы лечат тот же explorer при нормальном завершении работы, и прячутся куда-подальше, антивирусы потом не находят ничего) и проверяю весь диск на другой машине касперским, установив эвристику на максимум. Ооочень долго, зато показывает 'возможно шифрованные' файлы. Прибиваем все подозреваемые, убитые системные заменяем нормальными с /i386 установочного CD. На чистку ручками винта в 250 гб может уйти дня 3, так что если особо ценного ничего нет - проще снести всё
пыщь
JTG вне форума Ответить с цитированием
Старый 26.11.2010, 16:21   #10
festim
Новичок
Джуниор
 
Регистрация: 26.11.2010
Сообщений: 1
По умолчанию Да

у меня такая же история с cmd.exe. Тока присутствие вирусов не видно. Просто cmd грузит проц, пока его в диспетчере не убьешь. Боялся его искать в реестре и удалять оттуда - вдруг что Проще его каждый раз при загрузке винды убивать!
festim вне форума Ответить с цитированием
Ответ


Купить рекламу на форуме - 42 тыс руб за месяц

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
cmd.exe UnD)eaD)Snake Общие вопросы Delphi 14 01.10.2008 06:45
cmd.exe Kamikadze_666 Общие вопросы Delphi 2 05.09.2008 19:19
А зачем вы почти все делаете ваши сайты с помощью Ucoz? Reaction Свободное общение 9 10.04.2008 21:35
cmd.exe satana Общие вопросы Delphi 1 08.01.2008 17:41
cmd.exe DKbelRoma Работа с сетью в Delphi 6 09.09.2007 18:36