c:\windows\SetWallPaper\SetWallPaper.exe -чистый (вирустотал)
повторите логи ...
c:\windows\SetWallPaper\SetWallPaper.exe -чистый (вирустотал)
повторите логи ...
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вот, посмотрите пожалуйста.
Странно, ни одного просмотра вложений...
мы вас логи не научим делать никогда ?
- логи сделать запустив от имени администратора ...
Исправляюсь.
Нашли у меня что-нибудь?
скрипт из поста 12 выполнить от имени администратора ...
сделать новые логи начиная с пункта 10 правил .... (от имени администратора )
Сделал все, как просили.
в логах ничего подозрительного ....
какие-то проблемы остались ?
Хм. Если ни чего подозрительного, тогда успокойте меня по нескольким пунктам.
1. csrss.exe и winlogon.exe по прежднему работают (см. первый пост)
2. что такое winbom и почему его процессы отображаются бессмысленным набором символов ([Unattend0000000001{FABF7ECC-A462-4210-AFD9-7BE89478CE8E}])?
3. При выполнении avz стандартного скрипта (первого) несколько дней назад исправилось несколько процессов. Сегодня ситуация повторилась - те же процессы, то же исправление. Это нормально? Не установлено ли у меня восстановление системы (back up) и не запускается ли оно при каждой новой перезагрузке системы? Кстати нечто подобное стало происходить с запуском словарей Lingvo. Изначально, программа открывалась на слове, которое я искал последним до выключения или перезагрузки компьютера. Несколько дней назад (может неделю) я заметил, что она открывается на слове, которое я искал довольно давно (точно не последним). Ситуация с тех пор повторяется, слово не изменяется, что дает мне основание подозревать возврат к сохраненной версии. Пожалуй все.
Если еще что вспомню или замечу - напишу.
CSRSS.EXE – часть Windows... csrss отвечает за консольные приложения, создание/удаление потоков
WINLOGON.EXE - ответственный за начало \завершение сеанса пользователя...
ds bvttnt ddble Winbom.ini ? - в нем сведения о подключении к сети, форматировании жесткого диска и запуске основных процедур диагностики оборудования ...
c:\windows\winbom.vbs - в логе hijackthis присутствует дважды
csrss и winlogon работают с пустыми пунктами "пользователь" и "описание", что и вызывает подозрение - а не левые ли они?
- скорее чистый , но пришлите на всякий случай согласно приложения 3 правил ...Сообщение от litp
жуть ... но так и должно быть у вас же отключена служба терминалов ...
Круто. "Служба терминалов разрешает пользователям интерактивное подключение к удаленному компьютеру". Это не опасно?
P.S. я ее не отключал...
А что думаете по поводу восстановления системы?
Кстати обнаружил папку с названием back up.
Карантин высылаю.
да это потенциально опасно ... но вам же важно что бы в описании пользователи отображались ...
Раз вы говорите, что так и надо, значит так и надо. Просто прочитал где-то, что не исключена подмена, испугался.
Жду результатов теста.
winbom.vbs - чистый ...
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) litp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
