Мусорный процесс WinMail.exe забивает Физическую память.
В Windows Vista 64 bit после выбора аккаунта и входа появляется фоновое изображение Рабочего стола, и система висит в таком виде с работающим HDD. Сначала не понял, в чём дело, потом запустил Диспетчер задач (ДЗ), в котором оказалось больше 3200 процессов WinMail.exe размерами от 152 КБ до 1500 КБ. При этом ДЗ показывает загрузку Физической памяти (ФП) на уровне 90-93%%. Соответственно, все остальные процессы тормозят, и панель управления Рабочего стола не загружается. Решил убить несколько процессов WinMail.exe – убились, к тому же остальные процессы WinMail.exe начали убиваться самостоятельно, очищая ФП. Процесс очистки ускоряется, когда вручную помогаешь удалением процессов. Затем загрузился Рабочий стол, и начали выводиться сообщения об ошибках:
Плюс ещё была ошибка о “Неверно загруженном аккаунте пользователя”.
Точнее, профиль пользователя временный загрузился из-за ошибки:
При этом процессы WinMail.exe выгрузились полностью и исчезли из ДЗ. Перезагрузился, из другой системы удалил папку Windows Mail, загрузил Vista 64 - процессы на месте. Решил начать убивать процессы WinMail, не дожидаясь, когда процессы забьют всю ФП – убивались, но потом снова появлялись, но для других процессов хватало ресурсов работать. При убийстве процессов WinMail.exe ФП освобождалась, а Загрузка процессора возрастала, при клонировании процессов WinMail.exe - наоборот.
Запустил AVZ, из стандартных скриптов заработал только №2, при запуске №1 и №3 AVZ вылетала.
На большинство процессов в ДЗ (если не все) AVZ вывел следующее: “Опасно! Обнаружена маскировка процессов”
Из замеченных дополнительных симптомов: Не загружается IE (не найден файл), пропала Языковая панель, иконки программ на Рабочем столе изменились на одну “стандартную”.
Последний раз редактировалось Bash; 08.06.2008 в 09:54.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пункты 2 и 3.
А) Запустил скрипт из-под Vista 64, после перезагрузки файл из папки не удалился, процессы на месте, как и полагается, грузят систему. Соответственно, скрипты 1 и 3 не работают, только второй снова сделал (лог прикреплён к посту).
Из Менеджера Active Setup указанная строка не удаляется, в карантин ничего не помещается: при попытке удаления AVZ пишет следующее:
“Ошибка карантина файла, попытка прямого чтения (%ProgramFiles(x86)%\Windows Mail\WinMail.exe)
Карантин с использованием прямого чтения – ошибка”
Б) Запустил скрипт из-под рабочей Vista 32, в карантин поместились два файла WinMail.exe.
В Менеджере Active Setup строка %ProgramFiles(x86)%\Windows Mail\WinMail.exe отсутствует.
Кроме этого в карантине оказался файл PhysX.cpl (к сожалению, не засёк, при запуске скрипта из-под какой Vista).
После всего в Vista 64 процессы WinMail.exe так и остались на месте.
4. Отправлен.
Последний раз редактировалось Bash; 08.06.2008 в 09:54.
Под зараженной Vista 64 скрипт вызывает вылет AVZ: http://virusinfo.info/attachment.php...1&d=1212904528 Соответственно, до перезагрузки из AVZ дело не дошло. При нажатии правой кнопкой мыши на один из процессов WinMail.exe в ДЗ -> Свойства: http://virusinfo.info/attachment.php...1&d=1212904528 Раньше, если мне память не изменяет, здесь была буква “D:”, потому и удалил в первую очередь эту папку (D:\Program Files\Windows Mail\WinMail.exe). Теперь, как видим, буква поменялась. Вообще, у меня на диске “C:” стоит Vista 32, а на “D:” – Vista 64. При загрузке и той и другой буквы не меняются.
Под Vista 32 в карантин снова летят, как я понял, два пустых WinMail.exe
На данный момент на диске “D:” с Vista 64 отсутствуют папки “\Program Files\Windows Mail\” и “\Program Files (x86)\Windows Mail\” – убиты из-под Vista 32 вручную. Под Vista 64 процессы WinMail.exe на месте, вешают систему.
Последний раз редактировалось Bash; 08.06.2008 в 10:26.
Из Vista 32 переименовал папку "C:\Program Files\Windows Mail\", в Vista 64 процессы WinMail.exe перестали загружаться. Все остальные проблемы остались. AVZ также вылетает при выполнении скриптов.
Может, это конфликт версий Vista? Например, Vista 64 пытается загрузить файлы с диска "C:", где установлена Vista 32. Могу удалить Vista 64 без проблем, если дальше смысл искать вирусы отсутствует. На всякий случай прикрепил лог второго скрипта AVZ после переименования папки с WinMail.exe.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: