XP Pro SP2. Обновления после SP2 почти не загружал. Брэндмауэр отключен. Файрвола нет.
Предистория
Стоял у меня резидентный сторож реестра AnVir. Хранил от бед. Понадобилось мне один серийный номер надыбать на варезном сайте (забыл на работе легальный серийник), и сдуру ума я зачем то (не помню уже) отключил AnVir. Словил целый букет троянов и adware с всплывающими окнами и ещё бог знает чего. Лечился: SpyWare Doctor, SpyBot, AVZ. Первые мало что нашли. AVZ нашёл кроме всего прочего Look2Me. С помощью AVZGuard руками (по шпаргалке) снёс Look2Me. Но... остались странные симптомы. Вот они:
раньше список процессов показываемых AnVir-м выглядел иначе, чем теперь (у меня остался снимок, могу выслать), сейчас приоритет большинства процессов N/A, у некоторых процессов (alg.exe, csrss.exe, svchost.exe) теперь не указаны имя-путь исполняемого файла и его размер и теперь не видна иконка файла;
процессы с приоритетом N/A стало невозможно удалить ни Anvir-ом ни Tasк Manadger-ом, сообщение: "Невозможно удалить процесс. Отказано в доступе."
Запуск команды меню IE Сервис|Свойства Обозревания... приводит к сообщению об ошибке: "Операция отменена вследствии действующих для компьютера ограницений. Абратитесь к администратору сети" =)). Однако, запуск Свойств обозревателя из панели управления и ещё откуда то (не помню точно, со страницы хелпа кажется) - возможен!
Недавно был невозможен запуск команды Свойства экрана. Но сейчас всё норм. Возможно DrWeb Cure It помог.
Перестали запускаться java-аплеты на страницах: "You browser d'not support java..." Возможно что-случилось с настройками IE =(
Общее ощущение того что комп стал медленнее, возможно - параноя.
В [Управление компьютером - Общие ресурсы] появились ресурсы Admin$, C$, D$, IPC$. ИМХО раньше их не было. Я не создавал точно. Новых юзеров нет.
Система регулярно выдаёт сообщения, что у меня не хватает прав, в самых разных местах (уже и не вспомню).
Выполнил всё лечение описанное в правилах (DrWebCureIt + AVZ), но без особых успехов, видимо AVZ уже почти всё почикал ранее.
Насколько всё это серьёзно? Надо ли грузить все обновления для XP? Нужно ли включать брэндмауэр? Где почитать на эту тему?
Вот ещё... Накануне этих событий поставил Daemon Tools, он там как то круто внедряется в систему. Когда стал лечиться - снёс его от греха подальше, в том числе и фалы, которые от него остаются...
Простите за многословность. Потерял уже кучу времени. Работа стоит. Помогите.
Последний раз редактировалось A4'; 08.10.2006 в 04:31.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Брэндмауэр нужно включать (если нет другого файрвола).
Обновления для XP лучше устанавливать все. Критические в обязательном порядке.
Пришлите, как сказано в приложении 2 Правил следующие файлы:
D:\WINDOWS\system32\ksdmac.dll
D:\WINDOWS\system32\tabhook.dll
D:\Program Files\GLOBEtrotter Software Inc\GLOBEtrotter FLEXid Drivers\flexid8\dallas_inst.exe
Указанные файлы выслал.
Позволю себе несколько комментариев по ним
Subst_P.bat - мэппит папку на логический диск, мне нужно, состоит из одной команды "subst p: c:\games\gt"
D:\WINDOWS\system32\tabhook.dll и D:\WINDOWS\system32\Tablet.exe - драйвера планшета от Wacom. Он действительно не имеет видимых окон
и перехватыват мышь и клаву, ему нужно =)
D:\Program Files\GLOBEtrotter Software Inc\GLOBEtrotter FLEXid Drivers\flexid8\dallas_inst.exe - какая то загадочная структуры файлов, в которой храниться якобы несколько вариантов драйверов (под разные Win OS) для якобы hardware security key, USB или Parallel port... Весят все эти файлы 4,35 Мб, дата создания от 14 июля 2005 года (гы, день взятия Бастилиии? ) Именует оно себя: Sentinel System Drivers from Rainbow Technologies! Внутри папки D:\Program Files\GLOBEtrotter Software Inc\GLOBEtrotter FLEXid Drivers лежат папки flexid6,... flexid9, внутри которых совершенно разнотипный странного вида софт. в фалйах readme написан какой-то бред... (например flexid8\readme.txt)
INSTALLING THE VSAUTHD.VXD DRIVER FOR WINDOWS 95.
The Vsauthd.vxd device driver is required for communication to the
the DS1410D, the DS1410E, and Buttons in Windows 95. The device driver is used for native 32-bit Windows 95 applications.
To install the Vsauthd.vxd device driver please perform the following steps:
1. Copy the file \Win95\Driver\Vsauthd.vxd to the \Windows\System directory.
2. Place the DS1410E and Button(s) on the parallel port.
3. Run Lmtools -> hostid, or lmutil lmhostid -flexid
You can also use the Vsauthd.vxd driver with the Setup.exe program in the winntdrv
directory, it will autodetect the operating system and install the proper driver
Вопросы:
В чём была суть моих фиксов в HijackThis? Хочется знать...
Не будет ли у меня проблем с обновлениями от Майкрософта? Винда неленцензионная, хитроавторизованая, ну как у всех в обсчем то )). Помнится в своё время с SP1 набегался.
Как, откуда правильно грузить обновления?
Логи прилагаю.
Последний раз редактировалось A4'; 08.10.2006 в 14:56.
файл D:\WINDOWS\system32\ksdmac.dll в карантин добавиться отказался, возможно он и есть корень всех проблем. попробуйте повторить его добавление в карантин при включенном противодействии руткитам
А я его (D:\WINDOWS\system32\ksdmac.dll) ща вообще на наблюдаю. Видимо он "переехал" =)). После отправки первого лога и длбавлением в карантим прошло много перезагрузок. Слинял гад. Как его грамотно поймать? В один присест... С включённым AVZGuard?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: