Показано с 1 по 10 из 10.

Сидит нечто smss.exe (заявка № 52800)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    50
    Вес репутации
    54

    Exclamation Сидит нечто smss.exe

    Посмотрите плиз логи и помогите дочистить комп.
    Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe','');
      DeleteFile('C:\Documents and Settings\Administrator\Application Data\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    50
    Вес репутации
    54
    Скрипт выполнил. В карантине пусто
    Логи заново сделал.
    Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Обновите базы АВЗ: (Файл/Обновление баз).
    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.

    -Пофиксите:
    Код:
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    F2 - REG:system.ini: UserInit=userinit.exe,C:\Documents and Settings\Administrator\Application Data\ntos.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    -Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\winsys2.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Проверьте и при необходимости очистите файл hosts.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    50
    Вес репутации
    54
    Наконецто снова руки дошли до этого сервера. Еще раз почистил все дрвебом, до кучи нодом. Запустил сценарий АВЗ и... комп перестал пускать под любой учеткой даже в безопасном режиме. Снес в реестре запуск winsys2.exe и почистил ветку с winlogon. Теперь пускает. Вот новые логи:
    Непонятно почему почти все службы и прочие виндовые проги стартуют из профиля админа? Как вернуть в зад? Ручками перерыть реестр?
    П.С. Сервак мне таким достался уже Бывшему админу руки оторвать надо за то что так загадил систему. Уже порываюсь все переустанавливать. Может еще оживить можно?
    Последний раз редактировалось Сергей Ю.; 08.12.2009 в 12:26.

  7. #6
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    50
    Вес репутации
    54
    Неужели никто не поможет

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Цитата Сообщение от Сергей Ю. Посмотреть сообщение
    Непонятно почему почти все службы и прочие виндовые проги стартуют из профиля админа? Как вернуть в зад? Ручками перерыть реестр?
    Боже упаси!
    http://z-oleg.com/secur/avz_doc/faq_14.htm

  9. #8
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    50
    Вес репутации
    54
    О как! Спасибо. Щас локально запущу. На будущее учту

    Добавлено через 5 часов 52 минуты

    Нда... однако там реально в профиле админа есть каталог Windows и в нем system, system32 и прочее
    Но там нет таких файлов для запуска служб
    Логи делал в этот раз через РАдмин, т.к. физического доступа к серверу нет.
    Какойто список процессов без имени еще до кучи?
    Может всетаки "убить" его чтоб не мучился?

    Добавлено через 12 минут

    Пытаюсь этот smss в карантин сунуть для анализа (не нравится мне он чтото), не получается. Пусто там
    Последний раз редактировалось Сергей Ю.; 08.10.2009 в 21:46. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    21.07.2009
    Сообщений
    50
    Вес репутации
    54
    Актуально

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Сергей Ю., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 19.11.2011, 13:26
    2. c:\Recycler\smss.exe/
      От Ekzoter в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 13.09.2011, 17:07
    3. неуловимый smss.exe
      От Kacnep в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 14:44
    4. smss?
      От Beasty в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.02.2009, 21:27
    5. smss.exe
      От EgorovEgor в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.11.2008, 02:47

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00555 seconds with 19 queries