Всем привет,всех с НГ.
Заметил неладное когда комп подключён к сети при наборе текста в основном,уходит в shutdown и вставляет произвольный кусок из буфера обмена,то ли rat то ли сама ось winxp издевается,и самое главное на самом интересном месте,какой то дух пк злой он или добрый не понять) может у кого подобные танцы с бубном были? - подскажите плиз: - что почитать; - куда поглядеть.
За ранее всем благодарен.

| Сообщение посчитали полезным:

SDK
эм! а просто взять и kaspersky removal tool или dr web cureit проверить комп что мешает??

| Сообщение посчитали полезным:

так можно после очередного shutdown получить пошифрованный винт.. и бут секторе предложение дайте денег.. с бут флешки.. или сюдюка.. и проверять комп на шаланунов

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Что значит - "уходит в шутдаун"?
Windows завершается штатным образом?
Или тупо эффект нажатия кнопки "Reset"?
Если так, то похоже на проблемы с железом.
От перегрева процессора до сбоев питания или проблем с памятью.

Скорей даже питание..

Раскрываем БП и проверяем конденсаторы на предмет вздутия.
С месяц назад тоже вот чудеса были, в момент вставляния флеш-карты.
Причина была в БП, решилось заменой конденсаторов.



| Сообщение посчитали полезным:

Еще симптомом косячного питания может быть такой прикол:
Перевели ПК в сон;
Ушли (в мир иной, сон или по делам);
ПК сам возобновил работу, а через некоторое время вернулся снова в сон (енто и есть суть прикола);
При ручном пробуждении ПК из состояния сна все ОК.
На днях такую тему наблюдал.Грешу на БП.Чудоэлектросети Москвы уничтожили все мои ИБП, а как сетевые фильтры они фуфло полное.Еще, кстати, может PCI-E контроллер косячить и вызывать различные программно-аппаратные сбои - падение драйвера видео (от раза и до 15, я наблюдал и такие чудеса), синяки, кратковременные подвисания при работе с проводником.А происходить это может в абсолютно рандомных ситуациях.Я бы напряжения проверил, мосты на перегрев, да и может чип какой коротит - сетевуха, например, потому в шатдаун уходит.С процем маловероятно.Если не юзать агрессивно, то греться он не должен даже на боксовом кулере.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

это было очень прикольно разобрал бп всё железо просмотрел там проблем никаких

это шалунишка появился видать от мазилы
как и советовали прогнал с лайф сиди касперским и даниловым результат глухо поставил уже
кав обновил базы прогнал им пусто прогнал авастом свежими базами пусто 360 хз чё за ав прогнал пусто один к одному при сети с вставкой текста 741 в формы для текста ребутится комп ладно
поставил Spy Emergency он нашел пинча которого пытались загрузить мне
в ветке запросы на иследования вирусов прикреплю пинч на припарирование.
но всё равно дырка осталась ось хп сп2
ладно подумал я не cможем найти гада заблочим его ,поставил файрвол интернет лок он мне выдал такую картину что любой процес ломится при запуске на эти адреса
127.0.0.1:3079
10.11.12.13:137
255.255.255.255:137 но не сразу видать не файлы бьёт а работает как лоадер а то я скинул тот же експлорер на вирустотал всё чисто да и всё остальное кидал чисто
и еще рандомные адреса через хост блочил всёравно пролазиет а если все порты накрыть норм но тогда и сам без инета кто подскажет как гадов выловить? антивирусы и файрволы молчат если смотрю какой процесс то или неизвестно или system хз чё)

Добавлено спустя 14 минут
да и еще сначала идёт выгруз на локал хост с рандомным портом потом уже 10.11.12.13:137
255.255.255.255:137 да и пока это всё отправлял пришлось отрубать фрвол сразу же ребут)) оторвал бы голову этим малвершикам)

| Сообщение посчитали полезным:

Температура проца какая? amd, небось? Если старый, да ещё атлон, у него раз в год советуют термопасту менять. Уж всяко радиатор от пыли почистить не помешает. Ещё бывает, если старая мамка, термодатчик глючит - завышает на 50 градусов показания, при малейшей нагрузке температура за 100 и комп выключается.

-----
IZ.RU

| Сообщение посчитали полезным:

DenCoder пишет:
Если старый, да ещё атлон, у него раз в год советуют термопасту менять.

А лучше её вообще убрать оттуда и забыть об этих проблем

) Такое никто не посоветует, но оно работает.



| Сообщение посчитали полезным:

нее это рат вот вышел на такую инфу https://it-sektor.ru/backdoor.teamviewerent.1-bekdor-shpion-ispol-zuuschiyi-utilitu-teamviewer.html
только модифицированный поэтому не детектися пока ничем
как выловить гада какие есть идеи?

| Сообщение посчитали полезным:

На вот --> ManHunter Blog<--

| Сообщение посчитали полезным: SDK

Где логи антируткита, хотя бы GMER'a, логи process explorer'a, autoruns, etс, где это все?
Иначе на форум гадалок, хотя на 95% уверен, что дело в железе.

| Сообщение посчитали полезным: DenCoder

Причем здесь этот форум?
Тащи в сервис и не парь мозги!

| Сообщение посчитали полезным:

Тень отлаживать это стрёмно, особенно в начале, да есчо и отладчик такой

-----
vx

| Сообщение посчитали полезным:

вот neshta пишет:
Где логи антируткита, хотя бы GMER'a


f40a_27.01.2017_EXELAB.rU.tgz - 741.7z

| Сообщение посчитали полезным:

Тут как варик, ловить WM_QUERYENDSESSION/WM_ENDSESSION в окошке
можно глушить API обычными из серии ShutdownBlockReasonDestroy, можно перехватить API CsrClientCallServer
можно глобально.
System Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer или другой софт]
NoClose
REG_DWORD (1)
SDK пишет:
как выловить гада какие есть идеи?
да все просто, там системная либа подменяется, гада не берут АВ т.к. у него сертификаты целые остаются, только по подмененной dll - их мало кто может криптовать с экспортом

| Сообщение посчитали полезным: SDK

вот что еще выловил в пустое место между заголовком MZ дописывается хрень и так все екзешники dll в атаче svhost заряженый и куски для примера из других exe любопытно что делает этот код и может svhost.exe заражать другие екзешники ?

(и еще вопрос если exe не заражено а является запушенным то через какоето время оно патчится и набивается ) какой утилитой можно засечь из какой либы или exe идёт патчиг ?)

8749_21.02.2017_EXELAB.rU.tgz - virus_stub.7z

| Сообщение посчитали полезным:

SDK

svchost.exe чистый. Второй файл не понятно что, это видимо какой то кривой дамп, но там в нём кода нет.

> какой утилитой можно засечь из какой либы или exe идёт патчиг ?)

Монитор для этого нужен, у Руссиновича был.

-----
vx

| Сообщение посчитали полезным:

The Case of the Mysterious Reboots by Mark Russinovich (язык английский)

-----
Don_t hate the cracker - hate the code.

| Сообщение посчитали полезным: SDK

(svchost.exe чистый. Второй файл не понятно что)

если открыть через винхекс то после MZ This program cannot be run in DOS mode.и до PE есть код
во втором файле такие же куски из других ехешников которые ломятся на 10.11.12.13:137
если в этом участке пусто то при запуске и конекте он становится исправленым
думаю если узнаю откуда идёт патч то можно будет понять дальше,

и если файлы не опасны то можно их и не лечить а оставить как есть .

| Сообщение посчитали полезным:

SDK

Нету там никакого кода. Там небольшой массив каких то дос данных.

> такие же куски из других ехешников которые ломятся на 10.11.12.13:137

Это при всём желании невозможно реализовать такое

-----
vx

| Сообщение посчитали полезным:

difexacaw я знаю одно что при копировании из другого источника ехе dll если не пакован там идут нули
после запуска и работе, фаирвол мне показывает конект я его блочу.и если я открываю этот ехе через хекс эдитор то вижу что добавляется эти даные и константа: Rich

| Сообщение посчитали полезным:

difexacaw пишет:
Нету там никакого кода. Там небольшой массив каких то дос данных.
difexacaw пишет:
Это при всём желании невозможно реализовать такое
А может это уже не исходный файл? Может быть, что какое-нибудь УГ (типа Касперского) "полечило" на автомате и это только результат?

| Сообщение посчитали полезным:

попробую загрузится с другой ос заменить все колеченые файлы на оригинальные и позапоковывать их upx по идее если какаято либа драйвер и тп захочет добавить туда что то это не удастся и система выдаст ошибку может даже либу и местоположение.

| Сообщение посчитали полезным:

SDK пишет:
я знаю одно что при копировании из другого источника ехе dll если не пакован там идут нули
Ну вот это совсем не правильно и не обязательно!

| Сообщение посчитали полезным:

DrVB_5_6 если полечило то никогда блакнот пэинт не будет заниматься сетевой активностью) да и все ав которые я ставил показывали 0 угроз)

| Сообщение посчитали полезным:

Ещё одна гипотеза: может там "самолечение" предусмотрено?

| Сообщение посчитали полезным:

DrVB_5_6 нее потому что на машине небыло ав когда я скачал простой ехе открыл его хексом да и любой не использоваемый ехе и dll и между mz и до PE идут нули после запуска и некоторого времяни там поевляется хрень с константой Rich и если включить фаирвол то он сразу блочит конект тем самым показывая что приложение пытается или подключено к сети.

| Сообщение посчитали полезным:

SDK пишет:
потому что на машине небыло ав
Блин, я же писал "самолечение", причем тут АВ? Растолковывать надо что ли?
SDK пишет:
любой не использоваемый ехе и dll и между mz и до PE идут нули
Да не обязательно это.
А вообще-то уже писали про утилиты Русиновича. С загрузочного диска загрузиться и поисследовать. Что религия не позволяет? Если знаний мало, учите матчасть. Вряд ли тут ещё советами помочь можно!

| Сообщение посчитали полезным:

SDK

--> Link <--

Первая ссылка гугла.

Если в оси что то поселилось, то это не хекс редактором ищется. Обычно юзают ав или делают это мониторами/отладчиками при соответствующем скуле.

-----
vx

| Сообщение посчитали полезным: SDK