пятница, 25 февраля 2011
02:00

все записи пользователя в сообществе Firesong
bet on both sides | do what you must
[-]

Проблема: система внезапно сообщает, что счас закроется (скрин ниже).
Проблема уже возникала две-три недели назад, система два-три раза подряд выдавала это же сообщение (подряд=после перезагрузки через три-пять минут снова возникало сообщение). Потом все внезапно прошло "само", а поскольку сохранить сообщение я тогда не успел, то советоваться сюда не пришел, просто запомнил.

Сейчас я успел его заловить, вот (пришлось фотографировать, принтскрин я не успеваю сохранить, поэтому качество так себе, но надеюсь читабельно).
скрин

Сейчас больше не повторялось, но поскольку не в первый раз - хочу понять, что это и как чинить.

Система Win XP SP3 (чистая, не сборка), KIS2011 (ничего не находит).

URL
Комментарии
25.02.2011 в 02:11

Арамис
Между Бахом и шарманщиком кто-то тоже должен быть. (С)
Поищите по Гуглу или даже по сообществу про вирус, вызывающий такую перезагрузку - это бластер.

Ссылка для примера: forum.sharereactor.ru/showthread.php?t=76951
URL
25.02.2011 в 03:43

Похоже на червя, у меня тоже на ХР бывало такое, лечилось только полной переустановкой системы и полной проверкой на вирусы...
URL
25.02.2011 в 03:44

Firesong
bet on both sides | do what you must
Арамис, угу, погуглил. Тока они все хором пишут о том, что после SP2 вирус стал неактуален. По идее же на SP3 он тоже тоже неактуален будет? На офсайте мелкомягких то же самое пишут.

В посте на форуме по ссылке ссылки либо не работают (не удивительно, они 2004 года), либо идут на патчи от тех же мелкомягких, которые при SP3 отдельно скачивать не нужно, если я все верно понимаю.

В запущенных процессах msblast тоже не вижу... :nope:

просканировал вот этой штукой, ничего не нашел. Пишет, что

W32/Blaster-A was not found active in memory

No registry keys were affected.

Реестр я также проверил вручную, там ничего похожего нет. У меня там вообще windows auto update нет, отключен нафиг...

прогнал вот этой микрософтовской утилиткой. Ничего не обнаружено.

Так что либо это не оно, либо гугль мне в данном случае не помощник, желательны более четкие рекомендации, чем смотреть/лечить. Или хотя бы где читать.

:ps: поиск "бластера" по сообществу ничего не находит, так что вся надежда на людей ))
URL
25.02.2011 в 03:47

Firesong
bet on both sides | do what you must
Листопад.., хочется менее радикальных средств, чем переустановка, тем более, что оно и жить-то особо не мешает, так что есть время разобраться. Что касается проверки - я ж сказал, что у меня KIS стоит, так что тут явно обычной проверкой не обойдешься. )
URL
25.02.2011 в 07:10

Арамис
Между Бахом и шарманщиком кто-то тоже должен быть. (С)
Тока они все хором пишут о том, что после SP2 вирус стал неактуален. По идее же на SP3 он тоже тоже неактуален будет?

По ходу, бластер модифицировали под SP3...)
URL
25.02.2011 в 10:58

Enkryptor
Файрволл включите.
URL
25.02.2011 в 11:44

Джек из Тени ну когда я свой червь словила, у меня стоял Каспер лицензированный, так что....
URL
25.02.2011 в 13:35

Firesong
bet on both sides | do what you must
Арамис, да, практика недвусмысленно это показывает )) Тока про "как лечить" нигде не пишут, везде пишут, что он устарел вместе с SP2. Ну либо он вместе с этим сменил еще и название...

Enkryptor, то бишь вместе с Касперским надо включать еще и фаервол самой винды? Мдя. Никогда бы не догадался. Спасибо. Я-то привык к хорошему, но хорошего больше не дают... в смысле, с тем, что у меня стояло до каспера, средства винды включать не рекомендовалось - но я с ним и ни разу ничего не поймал, проблемы начались, когда пришлось с него слезать... Блин, что у нас есть такого хорошего, чтобы раз поставил - и напрочь забыл о том, что в интернете водятся вирусы?
А с тем, что уже есть, что делать? Или при включении фаервола оно перестанет пытаться меня отключать?

Листопад.., я к тому, что "полная проверка на вирусы" тут явно не поможет.
URL
25.02.2011 в 13:44

Enkryptor
то бишь вместе с Касперским надо включать еще и фаервол самой винды?

Смотря что вы называете "Касперским". Если KIS — тогда не надо, если в нём будет включен "сетевой экран" и IDS.
URL
25.02.2011 в 14:46

Firesong
bet on both sides | do what you must
Enkryptor, я еще в основном посте указал, что у меня KIS 2011 .

И в нем все включено, то есть вообще все, кроме анти-баннера, ибо предпочитаю внешний. Firewall включен, Network Attack Blocker включен. И был включен с момента установки KISа сразу после установки системы.

То есть получается, наличие фаерволла мою проблему не решает и не предотвращает? А таки что тогда делать?
URL
25.02.2011 в 15:33

Enkryptor
А сеть в KIS при этом настроена как домашняя или публичная? Вообще, как вы подключены к интернету?
URL
25.02.2011 в 15:58

Firesong
bet on both sides | do what you must
Enkryptor, через роутер. Сеть... мгм... на вкладке "Networks" фаервола KIS есть
Internet - public network
[IP другого домашнего компа]/24 (Local area connection) - Local network

Оно? Я больше там ничего про сети не вижу.
URL
25.02.2011 в 16:10

Enkryptor
Хм. А к роутеру другие компьютеры подключены? Если да, то это могут с них идти атаки. Их будет пропускать файрволл КИС, т.к. для него они идут из локальной сети, а не из интернета.
URL
25.02.2011 в 16:20

Firesong
bet on both sides | do what you must
Enkryptor, кроме моего, подключены (физически проводами, вай-фай отключен) еще 2 компьютера, находящиеся тоже в моей квартире. Во внутренней сетке открыт доступ к отдельным папакам без права изменения содержимого. Эти два компа тоже с антивирусами (Dr Web и что-то еще, третьим компом занимаюсь не я, но могу уотчнить) и вроде как чистые.

Соответственно, вопрос: если это таки внутренние атаки, как это проверить и вылечить?
URL
25.02.2011 в 16:25

Enkryptor
Отключите эти компьютеры от сети физически и посмотрите, прекратятся ли симптомы.
URL
25.02.2011 в 16:34

Firesong
bet on both sides | do what you must
Enkryptor, пока симптомы проявляются раз в две недели - вчера оно случилось один раз и больше не повторялось. :nope: Все компьютеры (и мой, и другие) все это время включены.
У нас тут четыре человека на три компа, интернет нужен для работы всем и постоянно, поэтому отключить два компьютера из трех на две недели - нереально, нас работодатели не поймут...
URL
25.02.2011 в 16:35

Enkryptor
Спросите, возможно, на каком-то из подключенных компьютеров была зараза, и её уже вылечили.

В КИС поменяйте статус локальной сети с Local на Public (но тогда вы не сможете расшаривать папки).


принтскрин я не успеваю сохранить

есть удобная утилита в эпиграфе 8)
URL
25.02.2011 в 16:51

Firesong
bet on both sides | do what you must
Enkryptor, совершенно точно не было больше ни у кого заразы. Наличие вируса сразу же громко озвучивается на всех, а за последний месяц все тревоги были только мои.

Мгм... приберегу как крайнюю меру, если проблема начнет выскакивать чаще или несколько раз подряд, опять же - без расшаривания работать неудобно, с флэшкой тут не набегаешься...

За утилиту спасибо )) Фотошоп за минуту не успевает. )
URL
25.02.2011 в 17:13

Enkryptor
Опять же, надо бы глянуть, как настроен роутер. А то может ваш компьютер по недосмотру в DMZ высунут.
URL
25.02.2011 в 17:13

Enkryptor
совершенно точно не было больше ни у кого заразы. Наличие вируса сразу же громко озвучивается на всех

Не всегда. Только если его увидел антивирус.
URL
25.02.2011 в 17:30

Firesong
bet on both sides | do what you must
Enkryptor, в настройках роутера DMZ Disabled.

Не всегда. Только если его увидел антивирус.
Так речь же шла о том, что возможно, на каком-то из подключенных компьютеров была зараза, и её уже вылечили. Об этом бы я знал, так что если где зараза и есть - об этом никто не знает и имеющиеся антивирусники ее не видят. CureItом прогнать оба? Или какой-нибудь более специфической утилиткой для этого типа вирусов?
URL
25.02.2011 в 18:11

Enkryptor
Так а проблема единожды воспроизвелась? Я имею в виду, сейчас, а не три недели назад.
URL
25.02.2011 в 18:18

Firesong
bet on both sides | do what you must
Enkryptor, да, сейчас - единожды.
URL
27.02.2011 в 18:32

Усипусечный мимимишка
А список процессов из диспетчера задач вывесьте пожалуйста.
Если окошко снова выскочит, попробуйте выполнить команду "shutdown -a" (без кавычек).
Есть ли какие-либо намеки на приложение/службу/драйвер, которые могли бы инициализировать выключение?
URL
27.02.2011 в 18:48

Enkryptor
Я так понял, окошко уже не выскакивает.
URL
27.02.2011 в 18:52

Firesong
bet on both sides | do what you must
Инчи, список процессов вот (кликабельно)


Процессы с затертым юзером - мои, принадлежность остальных видна.

Про команду знаю, да, главное не забыть, когда выскочит, лезть в шпаргалки будет некогда :D

Есть ли какие-либо намеки на приложение/службу/драйвер, которые могли бы инициализировать выключение?
За исключением службы, о которой говорится на скриншоте в посте (RPC Service), никаких других намеков мне найти не удалось... :nope: Ничего нового в момент возникновения проблемы не открывал, в том числе - никаких новых сайтов (были открыты дайри, вики, гугль). Нового софта не ставил как минимум недели две до появления проблемы в первый раз.
URL
27.02.2011 в 18:58

Firesong
bet on both sides | do what you must
Enkryptor, я на всякий случай это формулирую "пока не выскакивает", мало ли.. )) Но с тех пор это не повторялось, да.
URL
27.02.2011 в 20:04

Усипусечный мимимишка
Про команду знаю, да, главное не забыть, когда выскочит, лезть в шпаргалки будет некогда
Батник с этой командой и с названием "Антишатдаун" на рабочем столе поможет не забыть эту команду :)

Что за процессы:
EvJOWall.exe
CALMAIN.exe


Если нетрудно, то скачайте AVZ, выполните стандартный скрипт №2 и архив из папки LOG скиньте на файлообменник, а ссылку сюда бросьте пожалуйста.
URL
27.02.2011 в 20:28

Firesong
bet on both sides | do what you must
Инчи, ага, спасибо за мысль ))

EvJOWall.exe - програмка смены обоев на рабочем столе (поставлена довольно давно)
CALMAIN.exe - гугль говорит, что это Canon Camera Access Library, значит все законно: кэноновские утилиты с диска я ставил, уже больше года тому как.

Проверку AVZ сделал, лог здесь.
URL
27.02.2011 в 20:49

Enkryptor
Чё-та я не понял, зачем имя на скриншоте затирали..
URL