1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

dcom.dll. Вирь?

Тема в разделе "Компьютеры", создана пользователем Negative, 29.07.05.

  1. Negative

    Negative Активный участник

    1.417
    0
    Первое окно ! (Причем приложение может быть совершенно любое - как Explorer , таки любое другое ! )

    ---------------------------
    Explorer.EXE - Ошибка приложения
    ---------------------------
    Инструкция по адресу "0xff640174" обратилась к памяти по адресу "0xff640174". Память не может быть "read".


    "ОК" -- завершение приложения
    "Отмена" -- отладка приложения
    ---------------------------
    Второе окно , после нажатия ОК в первом !

    ---------------------------
    ---------------------------
    Application Error
    ---------------------------
    Exception EAccessViolation in module dcom.dll at FF63F112.

    Access violation at address FF640112. Read of address FF640112.


    ---------------------------
    ОК
    ---------------------------


    Есть стойкое очучение что это либо вирь, либо троян... Антивирусник пока молчит. Кто с таким встречался? Что делать?
     
  2. Alexs

    Alexs Активный участник

    9.156
    5
  3. Bob

    Bob Активный

    21.804
    0
    Negative
    очень похоже на аппаратный сбой. Повреждения памяти, диска, материнки.
     
  4. смей горыныч!

    смей горыныч! Активный участник

    1.157
    0
    Даа, Експлорер это излюбленная мишень всех вирусописателей. Прицепился к какому нибудь потоку и сиди, кровь порть пользователю.
    А вообще то Bob может быть очень прав
     
  5. Negative

    Negative Активный участник

    1.417
    0
    Bob
    Все проверил, до трусов!!!
    Память чиста, Диск в норме! Мать визуально в порядке.

    Другая система на другом диске с подключенным данным работает без сбоев.
    После переименования dcom.dll в dcom.dll.something все работет нормально, НО! Этот файл появляется снова.

    Т.е это не аппаратно!
     
  6. смей горыныч!

    смей горыныч! Активный участник

    1.157
    0
    Negative
    Посмотри свойства этого дкома.дэлэлэ. Сведения о производителе (кто и где сделал), дата создания ..., размер.
    Если это не системный файл и размером примерно 50-200К, то запросто может быть трояном.
    Совет такой. поищи в реестре все вхождения dcom.dll (обычно они в HKCR или в ветви Эксплорера) и прибей их (на всякий случай сохрани резервные копии ключей реестра). Перезагружайся и тестируй. Обычно помогает.
     
  7. Negative

    Negative Активный участник

    1.417
    0
    смей горыныч!
    Проидитель и другие сведения неизвестны.
    Размер - 153 КБ (156 672 байт)
    Дата 31.01.05

    Еще вчера проверял в реестре вхождений нет. :(

    После прибивания самого dcom.dll он как птица феникс возраждается. :(

    При загрузке комп через браузер настырно хочет вылезти в инет... Вхзождения адреса по которому хочет вылезти также в реестре нет. Сам адрес: www.blackorder.webhost.ru

    По всей вероятности так оно и есть, но анти вирь - молчит... :(


    смей горыныч! Explorer - как пример. Вообще он так делает на ЛЮБЫХ приложениях. Работать невозможно, постоянно выскакивают эти окна. :(

    К какому потоку цепляется я еще не выяснил.... :(
     
  8. Гость

    Гость Гость

    Троян это. Или backdoor утилита.

    Появляется повторно, потому что у тебя в системе сидит второй компонент - загрузчик
    Его надо найти и убить.
     
  9. смей горыныч!

    смей горыныч! Активный участник

    1.157
    0
    Negative
    Смело посылай этот dcom.dll в антивирусный центр (Касперский, ДрВеб) Они тебе спасибо скажут. (Кстати это еще один способ проверки на вшивость. Если на сайты антивирусов не пускает, тогда точно злая софтина прописалась)
    А может его попробовать в безопасном режиме отловить? Найди файл исполняемый и в блокноте заполни его своим текстом. И в добавок ко всему сделать доступ только на чтение.
    Кстати троян может запросто поставить свой драйвер или запуститься как служба. Попробуй тогда пошерстить по ветке HKLM/System/currentcontrolset/services отсюда запускаются все драйвера и службы виндовса.
    А адреса сайта понятно в файле не найдешь, они ведь самораспаковывающиеся и саморасшифровывающиеся, причем некоторые по 2 3 раза. Был один такой вирь, так он в памяти по 2-5 копий интернет эксплорера держал.
    Кстати, он еще может под один из системных процессов маскироваться svchost например. Поищи файл svchost. Правильный лежит в system32, ну еще может в servicepack быть. Ну или просмотри какой из процессов откуда выполняется (путь к экзешнику).
    Короче много мест, где вирус запрятаться в виндоус может.
     
  10. Negative

    Negative Активный участник

    1.417
    0
    смей горыныч!
    Гуглил немного. Оказалось, что с такой проблеммой люди уже встречались. Причем достаточно давно примерно пол-года назад. Где это видел решилось переустановкой винды. Для меня этот способ не подходит. :(

    В точку!!! Так и есть. Сейчас посмотрел теперь все ясно.
    1. svchost.exe - kежит в корне папки Windows.
    2. там же лежат Html-ник и VB-skript прописывающий в Run этот svchost.exe

    Осталось только выяснить запускается ли и откуда этот html-ник.