-
Junior Member
- Вес репутации
- 55
недостаточно системных ресурсов, подозрение на банковский троян
Добрый день!
Система Windows XP pro SP3
Использовался логин Администратор (встроенный)
Установлены 1с:бухгалтерия, банк-клиенты (несколько разных, все работают как плагины к IE6)
из защит esetSmartSecurity 4, USB Disk Security, 2ipStartGuard
В какой-то момент стал проситься в автозагрузку неизвестный файл, а при нажатии "Запретить", просился снова. Никакой возможности делать что-то не было (компьютер был блокирован программой для защиты автозагрузки - согласитесь, забавно), поэтому пришлось выключать вручную (кнопкой power).
После отключения от локальной сети и включения безопасного режима, попытался запустить CURE-it(ничего не произошло), AVZ ("Недостаточно системных ресурсов") и HiJackThis("Недостаточно системных ресурсов").
Тоже сообщение при попытке что-то скопировать (невозможно сделать бекап!), что на локальный диск, что на флешку. Проверка обновленным NOD запустилась, но ничего не обнарижилось.
Как поступить? есть возможность подключить диск к другому компьютеру, но не сломает ли это и вторую систему? Бекап делать придется инструментами вроде акрониса или есть решение попроще (данные очень важные)?
Возможно, надо запускать утилиты через WinPE или подобными? Посоветуйте, пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В безопасном режиме та же картина?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
так точно, пробовал все тоже самое в безопасном. есть ли возможность сделать карантин через live-CD?
-
1.скачайте Live CD с возможностью поиска и исправления в реестре. Например, ERD Commander.
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - erdregedit
4.Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр
параметр
Содержимое этих параметров напишите в своем сообщении
-
-
Junior Member
- Вес репутации
- 55
polword, ещё до Вашего сообщения запустил проверку с DrWeb LiveCD, нашлось очень много малвари, все очистил, теперь система работает нормально, но хотелось бы провести более детальную проверку.
То, что Вы просили (regedit запустился из обычного режима):
параметр userinit
C:\WINDOWS\system32\userinit.exe
параметр shell
Explorer.exe
-
логи сделайте по правилам
-
-
Junior Member
- Вес репутации
- 55
логи сделать не успел, компьютер сломался (блок питания), диск отформатировали. Тему можно забыть, спасибо за помощь