Делайте логи как указано здесьА как реестр запустить? regedit и regedit.exe из Пуск--Выполнить ничего не запускают
http://forum.drweb.com/index.php?showtopic=277652
Отправлено 26 Март 2009 - 03:31
Делайте логи как указано здесьА как реестр запустить? regedit и regedit.exe из Пуск--Выполнить ничего не запускают
Отправлено 27 Март 2009 - 16:34
О! Совсем интересно. А еслиА как реестр запустить? regedit и regedit.exe из Пуск--Выполнить ничего не запускают
dir C:\WINDOWS\regedit.exe
?И окна не интересуют. Что говоритТоже самое. При попытке запустить, виснет окно на несколько минут, потом появляется окошко Невозможно запустить службу.RPC не интересует. Что со службой планировщика?После перезагрузки
C:\>sc query RpcSs
sc query Schedule
?
Отправлено 27 Март 2009 - 17:13
Отправлено 27 Март 2009 - 17:19
Отправлено 27 Март 2009 - 17:24
Отправлено 27 Март 2009 - 17:36
Отправлено 27 Март 2009 - 17:41
Отправлено 27 Март 2009 - 18:00
Проверяю папку system32 - ничего не находит, а вот SpIDer Guard в фоновом режиме вскоре после перезагрузки находит такую гадость.Логи не все!
Проверьте:
c:\windows\system32\1042j.exe
Явно что-то сидит:
Driver:
Address: 0xF853A000
Size: 98304 bytes
Отправлено 27 Март 2009 - 18:02
Логи не все!
Отправлено 27 Март 2009 - 18:10
Логи не все!
Какие ещё логи я не предоставил?
spidernt.log 6,85К 82 Скачано раз
Logs.rar 132,95К 62 Скачано раз
Отправлено 27 Март 2009 - 18:16
Это вы про что?Удаленное администрирование сознательно стоит?
Отправлено 27 Март 2009 - 18:20
Это вы про что?Удаленное администрирование сознательно стоит?
Отправлено 27 Март 2009 - 18:22
Да, я его специально в исключения добавил.Это вы про что?Удаленное администрирование сознательно стоит?
C:\WINDOWS\system32\admdll.dll является потенциально опасной программой Program.RemoteAdmin.21 - проигнорирован
Отправлено 27 Март 2009 - 18:26
Отправлено 27 Март 2009 - 18:29
А если вот так http://wiki.drweb.com/index.php/Скрытые_процессыМеня больше беспокоит c:\windows\system32\1042j.exe
Но я не могу найти этот файл, даже включил отображение скрытых файлов и папок.
Сообщение было изменено mrbelyash: 27 Март 2009 - 18:32
Отправлено 27 Март 2009 - 21:43
Отправлено 27 Март 2009 - 21:48
В этом Ваша ошибка. Файл нужно было отправить в вирлаб. Они бы сделали лечение системыТыкс, вроде удалил я этот c:\windows\system32\1042j.exe
точнее не я, а Spyware Terminator
Отправлено 27 Март 2009 - 21:59
Я бы всё равно его вряд ли смог послать. Дело в том, что когда я запустил процесс сканирования Терминатора, он вывел несколько по его мнению вирусов и там был этот 1040j.exe, я нажал удалить, он ругнулся что удалить невозможно, надо перезагрузить или перезагрузитесь в безопасном режиме и запустите сканирование. Я перезагрузился в безопасном режиме, запустил сканирование и ничего не нашел. Потом в нормальный режим загрузился, посмотрел в процессах svchost.exe cтало 7 штук, а было 9!!! и комп перестал виснуть при загрузке и интернет летает, а раньше такое ощущение, что его что-то тормозило (как на модеме в 98ом )В этом Ваша ошибка. Файл нужно было отправить в вирлаб. Они бы сделали лечение системыТыкс, вроде удалил я этот c:\windows\system32\1042j.exe
точнее не я, а Spyware Terminator
На спайваретерминатор я кинул ссылку как на подозреваемый файл и там был md5 хеш файла.
А теперь фиг знает все ли спайваретерминатор подчистил или нет
Отправлено 27 Март 2009 - 22:59
Нет, это не в фоновом режиме, а в самом настоящем. То есть при записи на диск процессами с PID = 1084 и PID = 2280. Нужно смотреть в момент срабатывания спайдера, какие процессы записывают троянов.Проверяю папку system32 - ничего не находит, а вот SpIDer Guard в фоновом режиме вскоре после перезагрузки находит такую гадость.
27-03-2009 17:34:05 [CL] (PID = 1084) C:\WINDOWS\TEMP\BN2.tmp - инфицирован Trojan.Fakealert.4089
27-03-2009 17:34:05 [CL] (PID = 1084) C:\WINDOWS\TEMP\BN2.tmp - удален
27-03-2009 17:34:43 [CL] (PID = 2280) C:\WINDOWS\system32\mmmpkzcn.dll - инфицирован Trojan.Click.origin
27-03-2009 17:34:43 [CL] (PID = 2280) C:\WINDOWS\system32\mmmpkzcn.dll - удален
и так каждый раз после перезагрузки
Почистите темпы.Причем файлы BN2.tmp, BN3.tmp, BN4.tmp,... BN10.tmp, BN11.tmp итд сидят спокойно в C:\WINDOWS\TEMP\ и Др.Веб их не считает за вирусы. т.е получается что они становятся вирусами в определённый момент по указанию "сверху" ))))
А файлы типа mmmpkzcn.dll имеют каждый раз разное название, но общее у них (их маска) mmm*****.dll
0 пользователей, 1 гостей, 0 скрытых