c:\windows\SetWallPaper\SetWallPaper.exe -чистый (вирустотал)
повторите логи ...
Printable View
c:\windows\SetWallPaper\SetWallPaper.exe -чистый (вирустотал)
повторите логи ...
Вот, посмотрите пожалуйста.
Странно, ни одного просмотра вложений...
мы вас логи не научим делать никогда ?
- логи сделать запустив от имени администратора ...
Исправляюсь. :blush:
Нашли у меня что-нибудь?
скрипт из поста 12 [B]выполнить от имени администратора[/B] ...
сделать новые логи начиная с пункта 10 правил .... ([B]от имени администратора [/B])
Сделал все, как просили.:)
в логах ничего подозрительного ....
какие-то проблемы остались ?
Хм. Если ни чего подозрительного, тогда успокойте меня по нескольким пунктам.
1. csrss.exe и winlogon.exe по прежднему работают (см. первый пост)
2. что такое winbom и почему его процессы отображаются бессмысленным набором символов ([Unattend0000000001{FABF7ECC-A462-4210-AFD9-7BE89478CE8E}])?
3. При выполнении avz стандартного скрипта (первого) несколько дней назад исправилось несколько процессов. Сегодня ситуация повторилась - те же процессы, то же исправление. Это нормально? Не установлено ли у меня восстановление системы (back up) и не запускается ли оно при каждой новой перезагрузке системы? Кстати нечто подобное стало происходить с запуском словарей Lingvo. Изначально, программа открывалась на слове, которое я искал последним до выключения или перезагрузки компьютера. Несколько дней назад (может неделю) я заметил, что она открывается на слове, которое я искал довольно давно (точно не последним). Ситуация с тех пор повторяется, слово не изменяется, что дает мне основание подозревать возврат к сохраненной версии. Пожалуй все.
Если еще что вспомню или замечу - напишу.
CSRSS.EXE – часть Windows... csrss отвечает за консольные приложения, создание/удаление потоков
WINLOGON.EXE - ответственный за начало \завершение сеанса пользователя...
ds bvttnt ddble Winbom.ini ? - в нем сведения о подключении к сети, форматировании жесткого диска и запуске основных процедур диагностики оборудования ...
c:\windows\winbom.vbs - в логе hijackthis присутствует дважды
csrss и winlogon работают с пустыми пунктами "пользователь" и "описание", что и вызывает подозрение - а не левые ли они?
[QUOTE=litp;208368]c:\windows\winbom.vbs - в логе hijackthis присутствует дважды
[/QUOTE] - скорее чистый , но пришлите на всякий случай согласно приложения 3 правил ...
[QUOTE=litp;208368]
csrss и winlogon работают с пустыми пунктами "пользователь" и "описание", что и вызывает подозрение - а не левые ли они?[/QUOTE]
жуть ... [B]но так и должно быть [/B]у вас же отключена служба терминалов ... ;)
Круто. "Служба терминалов разрешает пользователям интерактивное подключение к удаленному компьютеру". Это не опасно?
P.S. я ее не отключал... :O
А что думаете по поводу восстановления системы?
Кстати обнаружил папку с названием back up.
Карантин высылаю.
[QUOTE=litp;208508]Круто. "Служба терминалов разрешает пользователям интерактивное подключение к удаленному компьютеру". Это не опасно?
[/QUOTE]
да это потенциально опасно ... но вам же важно что бы в описании пользователи отображались ... ;)
Раз вы говорите, что так и надо, значит так и надо. Просто прочитал где-то, что не исключена подмена, испугался.
Жду результатов теста.
winbom.vbs - чистый ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]