|
Проводник убивает процессы всех браузеров раз в 20 минут - несколько часов | ☑ | ||
---|---|---|---|---|
0
PiotrLoginov
25.04.17
✎
19:58
|
Собственно, сабж. Винда - семерка. Касперский ничего не находит. Подозрительного ничего в реестре, ярлыках запуска и планировщике не нашел.
Происходит все так: сначала проводник создает во временных папках батник с кодом "taskkill" для всех существующих браузеров и удалением самого себя (этого bat-файла). Затем проводник запускает этот файл на выполнение, и пользователь видит окно командной строки. В этот момент, если повезет, я успеваю нажать Pause на клавиатуре, и выполнение батника приостанавливается. Как правило, к этому моменту он успевает убить часть браузеров, если таковые запущены. Затем я открываю расширенный диспетчер задач, где вижу висящий процесс cmd, его дочерние процессы taskkill, а также родительский процесс, запустивший батник - explorer. Кто виноват и что делать? |
|||
1
Анна Ивановна
25.04.17
✎
19:59
|
подарок от предыдущего одмина?
|
|||
2
PiotrLoginov
25.04.17
✎
20:54
|
да не.. это не в ЛВС, это дома у юзера
|
|||
3
PiotrLoginov
26.04.17
✎
13:08
|
Up
|
|||
4
Ёпрст
26.04.17
✎
13:17
|
(0) смотри в службах И в реестре
|
|||
5
Ёпрст
26.04.17
✎
13:18
|
ну и в драйверах, скрытых системных устройсвах.
|
|||
6
Looking
26.04.17
✎
13:23
|
Проверить с загрузочного диска DrWeb. Провести сканирование AVZ
|
|||
7
PiotrLoginov
26.04.17
✎
13:36
|
В службах? Службы смотрел. Ничего подозрительного. Или идет маскировка. Если только каждую службу проверить на подозрительные параметры запуска... Но: проводник (его процесс) запускает bat-файл с вредоносным содержимым. Может ли сторонний процесс заставить проводник запустить некий файл? Но - спасибо. Мб удастся подключить сисадмина. Ему скажу.
Анализ драйверов не в моих силах. Там столько библиотек и исполняемых файлов.. как и чем это проанализировать? С загрузочного диска прокручу проверку, спасибо. Хотя уже не верю в результат... правда будет это теперь нескоро. Ок, апну темку после праздников. |
|||
8
NuclearWinter
26.04.17
✎
13:38
|
Process Monitor + анализ, какой процесс создает/удаляет батник с указанным именем? Не сам же explorer.exe создает его
|
|||
9
1dvd
26.04.17
✎
13:44
|
какой полезный вирус, не даёт по инторнетам лазить
|
|||
10
Looking
26.04.17
✎
13:45
|
(7)обратите внимание на AVZ и его штатные скрипты, можно провести диагностику и отправить ее материалы на вирусинфо.помогите
|
|||
11
dmrjan
26.04.17
✎
13:53
|
Можно еще запуститься с Kaspersky Rescue Disk.
|
|||
12
1dvd
26.04.17
✎
13:58
|
такой вопрос. А если не запускать браузеры, окно cmd всё-равно всплывает?
|
|||
13
PiotrLoginov
26.04.17
✎
14:05
|
(8) Не помню уже, что использовал для анализа и иерархии процессов.. какжись как раз Process monitor, но в любом случае, такие проги не умеют вроде отслеживать, кто создает те или иные файлы... Есть вроде еще приложения, которые могут мониторить указанную папку и сообщать, кто создал новый файл.
Эх, ну увижу я, что файл создает тот же проводник, и что дальше? Понятно, что сейчас, когда компа нет рядом, можно долго планировать, что можно будет попробовать, а потом, когда я займусь этим, все гипотезы быстро "сдадутся". (10) попробую. вообще я поклонник продуктов от Касперского. Если Kaspersky Security Scan ничего не нашла, слабо верю в успех других. Но придестся перепробовать еще парочку. (12) Все равно всплывает |
|||
14
PiotrLoginov
26.04.17
✎
14:11
|
(9) пользователь говорит, если в момент срабатывания bat-файла работать по RDP, терминальный сеанс тоже "валится". Сам не наблюдал. В батнике вроде не было кода, который бы убивал mstsc.exe Какое-то уравнение с кучей неизвестных, блин.
|
|||
15
ildary
26.04.17
✎
14:15
|
(14) компьютер не был в руках любителя autoit? Я писал робота, облегчающего запуск клиента Сбербанк бизнес онлайн - и мой робот похожим образом себя ведет - гасит окна IE (правда без taskkill), а потом его же стартует, ввода все нужные пароли за человека.
|
|||
16
Heckfy
26.04.17
✎
14:15
|
В стандартный виндовый шедулер заглядывали? Стопудово там джоба висит.
|
|||
17
1dvd
26.04.17
✎
14:16
|
снеси венду, комп же домашний...
|
|||
18
Looking
26.04.17
✎
14:19
|
(17)массовое решение от домашних установщиков ))) сам уже и не помню когда последний раз приходилось ОС именно переустанавливать. Зато ГБ раздражают своим предложением по любому чиху переустановить им Винду, привыкли что дома им чаще всего так и делают.
|
|||
19
ildary
26.04.17
✎
14:25
|
(18) за хорошие деньги почему бы и нет? А если не устраивает цена, то го к любому обьявлению на подьезде.
|
|||
20
1Снеговик
гуру
26.04.17
✎
14:26
|
(18) кто такие ГБ? Переустанови винду, сидишь в куче мусора.
|
|||
21
1dvd
26.04.17
✎
14:31
|
(18) а смысл днями искать решение, если переустановка займёт 2 часа с перекурами?
|
|||
22
PiotrLoginov
26.04.17
✎
17:04
|
(15) только выполняется не экзешником autoit, а обычным батником.
(16) заглядывал. Отключил пару обновлялок. Фигня прекратилась (по словам юзера) на несколько суток. Потом возобновилась. (17) успеется (20) ГБ - главбух. кстати, пользователь - бухгалтер. (21) переустановка с воссозданием привычной рабочей среды займет не 2 часа. но конечно, в крайнем случае, переустановлю. |
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |