-
Junior Member
- Вес репутации
- 61
большой исходящий трафик
шел большой исходящий трафик, невозможно передавать и получать свое.
Проверял хайджаком, др.веб кьюэ, regrun (кажется так называется)
хайджак показал несколько записей ctfmon - это нормально? была запись smscg.exe - снес с помощью regrun, проблема прекратилась, но потом снова возникала. Каспером снес system32.exe, service.exe. Сейчас вроде нормально, но есть ли средства кроме Каспера для чистки такой проблемы? Обычно пользуюсь Нодом и Авирой и Адавэа, а с ними каспер в конфликте. Сам по себе каспер тоже дыра.
Еще периодически появляются вирусы с названием из одной буквы (.o, .i, .e, .f). дрвэб .о убирает, но они видимо грузятся с какого-то дистрибутива? (опять появляются)
Есть еще зараза agl23.exe размером около 1мб в каталоге system32, хайджак опознавал iooyfu.exe (пишут, что agl23 запускается с него), я его iooyfu удалял хайджаком, но он снова появлялся, сейчас его нет, но agl23 есть. Удалил руками, не знаю, будет ли снова появляется.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Поищите при помощи АВЗ Сервис--поиск файлов на диске Partizan.sys и пришлите согласно правил.
Вообще то Ваша проблема это
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Таймаут завершения служб находится за пределами допустимых значений
Если не Вы это делали - тогда - в АВЗ Файл--Мастер поиска и устранения проблем решите.
-
Junior Member
- Вес репутации
- 61
при проверке дрвеб кьюэ был обнаружен 1 файл .txt в рабочих каталогах с вирусом. он не лечился, я сделал перемещение. Файл был нужный, куда он переместился? Можно его вернуть? Наверно вирусы в текстовых файлах не такие опасные?
-
врядли там что -то вроде стихов Вознесенского .... если там не коды ваших программ .... то сомневаюсь что -то полезное ...
так что там ?
-
-
Если это действительно чистый текст (а не документ Word, прикидывающийся текстом), то вирусов там нет. Поищите пропажу в %USERPROFILE%\DoctorWeb\Quarantine\
-
-
Junior Member
- Вес репутации
- 61
Спасибо, нашел карантин, только он в другом месте в Администраторе, файл оказался с одной строкой, зря только восстанавливал. Потом стер и проверил DRWEebCure (он находил вирус в том .txt, но уже больше не было. Кьюэит надо именно в бесопасном режиме проверять? Я проверял в обычном.
-
скажем так - в безопасном лучше ...
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
wise-wistful
Поищите при помощи АВЗ Сервис--поиск файлов на диске Partizan.sys и пришлите согласно правил.
Вообще то Ваша проблема это
Если не Вы это делали - тогда - в АВЗ Файл--Мастер поиска и устранения проблем решите.
Вроде на ваше сайте читал инфу про svchost.exe. При запуске винды каспер дает сообщение что файл svchost.exe изменился - это нормально?
Кажется на вашем сайте была инфа, что под svchost.exe маскируется вирус с признаками, что были у меня (большой исходящий трафик). в инфе указано: закачайте чистый svchost.exe - где его можно взять? У меня сервис пак 1. Когда у меня шел такой трафик, хайджак находил в реестре запись о svchost.exe. Этот файл действительно специально прописывается в реестре или это признак вируса? См. инфу:
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
Этот файл нельзя удалять!!!
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.
Способ запуска
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян
( например Trojan.Win32.Small.yd )
Внешние проявления (со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.
-
Там другой случай, не про Вас
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
rubin
Там другой случай, не про Вас
А как насчет изменения svchost при запуске и его записи в реестре - так должно быть?
-
Сообщение от
tol
А как насчет изменения svchost при запуске и его записи в реестре - так должно быть?
ну скорее там немного не так написано ...
вы собираетесь ставить обновления ?... сразу все пройдет ...
-
-
Сообщение от
tol
Кьюэит надо именно в бесопасном режиме проверять? Я проверял в обычном.
Сообщение от
V_Bond
скажем так - в безопасном лучше ...
По ситуации. Если файловые вирусы гонять - то да, лучше в безопасном.
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
V_Bond
ну скорее там немного не так написано ...
вы собираетесь ставить обновления ?... сразу все пройдет ...
Вот что точно пишется. Само сообщение в рамке синего цвета, красный обычно означает что-то тревожное, Видимо это делает каспер:
(Название сообщения) Анти-Хакер
(название подзаголовка) Файл изменен
Имя процесса SVCHOST.EXE
ID процесса 1100
производитель - Микрософт
версия 5 1 2600 0
(название подзаголовка) Действие
Исполняемый файл был изменен
Разрешит сетевой доступ для нового файла?
Справа два выбора: разрешить или запретить
Я отвечаю разрешить
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-