Здравствуйте коллеги.
Взываю к помощи по двум причинам: искреннему уважению к проекту AVZ и собственной проверки на параноидальность. Суть.
Три дня назад практически одновременно упали три компа в обычной MS-локалке - Symantek молча слетел из трея, а потом обычно деинсталлировался; McAfee 8.7i пал смертью храбрых, но на последнем издыхании чото крикнул и впоследствии снести его из системы было невозможно; Каспер заржал, получил на всё "Да" и после ресета получен BSOD...Здесь и далее - были всегда новые базы, обновление минимум ежедневно.
Сейчас один комп с наиважнейшей инфой (бывший Symantek) до:сих:пор стоит выключенным, на двух других была переставлена винда - комп с бывшим McAfee вычищен и работает с Trend-Micro, и в его карантине сидят шесть чертей, их трендмикровские имена не могу написать, забыл и не видно их, корявых...На компе, где стоял Каспер, проводяца эксперименты, напишу ниже, а мне запомнились черти Win32.HLLW.Autoraner.771 и Win32.Sector.17 (так, кажеца, шептали отечественные суперсофты). Далее эксперименты.
Ставились нижеперичисленные легально-триальные анвири, конечно, с последними базами. Вот результат:
Dr.Web - CureIt и его LiveCd - ничо не видит;
Каспер - аналогично;
Avira Premium -...- тоже;
BitDefender - тоже...а я так надеялся;
McAfee 8.5i (именно 8.5i, а не тот 8.7i, хотя движки везде одинаковые - 5300) - ругнулся на корневой авторанер.инф и немедленно убил его;
Trend-Micro - не ставил, оставил на закуску... но мой друг, сидящий на БитДефендере и получивший от меня мыло с машины с нонешним Trend-Micro, сейчас поднимает винду после плясок с чортиком "Mozillla-system.exe". Может, cовпадение?
AVZ - логи прилагаюца.
Интересный факт. После установки всех вышеперисленных бандерлогов процессы в диспетчере задач написаны капсом, а при McAfee только два: CSRSS и SMSS (см. скриншот).
Собственно вопрос - что это и почему так? Спасибо.
Добавлено через 12 минут
Что-то не вижу вложений, хотя отсылал точно. Модераторы, помогите...Или как повторить?
Последний раз редактировалось More; 05.03.2009 в 11:18.
Причина: Добавлено
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Коллега, обращаюсь к Вам, ибо остальным эскулапам данная проблема неинтересна.
Почему при одном юзвере, да на чистой винде, практически все процессы (включая ATI-шные дрова) сидят капсом?
AVAST тоже ничо не обнаружил.
См. скриншот.
Небольшой отчот.
После выключения службы "Запуска серверных процессов DCOM+" (служба одного из svhost) половина процессов в диспетчере задач становица нормальной, low-case. Та-ак, думаю, будем пасматреть ширше...
Т.к. последовательность процессов от "дочерних" к "родителям" на 100% незаражонном компе:
svhost-->services-->winlogon-->smss-->system, а
explorer поднимаеца непосредственно ядром и уже ctfmon --> explorer-ом;
то на заражонной (или вогнавшей меня в паранойю) машине:
EXPLORER --> WINLOGON;
SMSS --> WINLOGON;
CTFMON -->system.
Причом пристреливание SMSS не ребутит машину, то...
Неужели winlogon? Успел посмотреть, что размеры одинаковы, завтра буду разбираца дальше...
Уважаемый(ая) More, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: