-
Junior Member
- Вес репутации
- 56
wmau.exe 2070 год + system.exe (знаю что повтор)
Пожалуйста прочитайте пост!
Доброе утро всем! Я понимаю что тема уже была, но почему-то не могу там добавить свой пост, я бываю там, где компы только с утра 2 часа, так что логи не могу приложить, мне бы узнать где все они сидят и я их в ручную убью
Проблема такая, я приезжающий админ в одной мелкой конторе, смысл 5 комп в сетке, 1 с инетом.
2 дня назад они что-то приняли с инета и понеслось 2070 год + 100% ЦП
Нод32 в начале сканирования вылетает с ошибкой
dr.web ceruit не запускается
Каспер переносной - запустился, проверил, нашел, удалил, ребут, а они опять на месте
Что я сделал, взял Live windows загрузился, выполнил скрипт у меня все удалило (где путь отличался я вручную), залез в автозапуск там сидел wmau.exe был подписан как автообновление системы, удалил все
загружаю систему, а вирусня мне как-то кладет userinit.exe и в учетку не входит.
Захожу обратно в live, прописываю путь в реестре для userinit.exe , и смотрю опять wmau вылезли, + spoolsv.exe
ребята помогите, я на грани
извиняйте на ошибки, глава дымиться)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ссылку на тему дай, туда передвину эту.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
PavelA
Ссылку на тему дай, туда передвину эту.
боюсь если мне там ответят, то я опять не смогу ответить, может можно ее тут оставить ?
очень нужна помощь
За помощь обещаю вознаграждение 200р на мобилу ^_^
-
Тогда скажу так: нужны логи по Правилам.
Если AVZ будет вылетать, возьми другую из моей подписи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 56
2PavelA
Опять же объясню, думал что сегодня с утра с ним разберусь до конца, а он откуда-то вылезает сволочь Х), логи смогу сделать только завтра (и то 5 компов, 5 логов ? ) а там уже выходные и опять оставлять бухгалтерию на половину работающую не хочется
Находят же правила по вирусу
он находиться там и там, делает то и то, или нет
Добавлено через 44 минуты
up
Последний раз редактировалось w1red; 26.02.2009 в 12:23.
Причина: Добавлено
-
Как доберетесь до компов делайте логи без них разговора нет...
-
-
Junior Member
- Вес репутации
- 56
хотя бы можно примерные название дряни ?
и еще spoolsv.exe я так понял еще какая-то отдельная дрянь
Добавлено через 1 час 6 минут
или она совсем новая ?
Последний раз редактировалось w1red; 26.02.2009 в 14:37.
Причина: Добавлено
-
Сообщение от
w1red
spoolsv.exe я так понял еще какая-то отдельная дрянь
Обычно это диспетчер очереди печати...
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
да я тоже читал в ресстре про это)
но обычно он не грузит проц на 99%
Добавлено через 6 минут
Тогда думаю тему не надо закрывать
завтра выложу логи 5 компов
Последний раз редактировалось w1red; 26.02.2009 в 15:31.
Причина: Добавлено
-
Сообщение от
w1red
завтра выложу логи 5 компов
Каждый комп - в отдельную тему, чтобы не путаться.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
хорошо ))
главное мне не запутаться )
как я понял открываю AVZ и выбираю в скриптах сделать логи для virusinfo?
-
угу. в правилах написано.
-