Дорогие,хэлперы!
1) У меня при выходе в интернет winlogon.exe запрашивает соединение, и, если ему разрешить, то что-то активно качает, причём по земле(GPRS),хотя у меня весь вход.траффик выставлен через тарелку.При этом в C:/Windows/Temp образуются и растут на глазах какие-то непонятные файлы и потом на них может сработать Spyder Guard доктора Вэба.Winlogon-у я запретил любую активность, но есть ещё подозрение на svchost.exe. А однажды C:/Windows/Temp вырасла до нескольких гигов.
2) Однажды у меня пропал личный сертификат WM с компьютера(благо на кошельке был 0), пришлось заново заводить кошельки, а сертификат прятать.
3) Система последнее время очень сильно стала тормозить, а подчас и виснуть, хотя проц 2-хядерный.
DrWeb одно время кое-что опасное понаходил и удалил, но мне кажется не до конца...
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Результат поиска АВЗ - 0.
А может выполнить скрипты во время нахождения в интернете и соединения Winlogon?Кстати, забыл упомянуть, раньше в правилах файерволла для winlogon я увидел разрешения на соединение с какими-то странными портами Warcraft lll.Я так понимаю, это игра какая-то? Потом я конечно всё запретил.
Добрый день!Что-то всё замолкло.Мне никак нельзя помочь?Я только что провёл эксперимент: разрешил WINLOGON.exe активность в правилах файерволла, тут же он полез в сеть, накачал в C:\WINDOWS\TEMP\ каких-то маленьких ехе-шников, некоторых из них тут же распознал доктор Вэб как Trojan.MulDrop.12125 и и Trojan.Resun, других не распознал( они так и остались сейчас в /TEMP).Одновременно сообщил о вредоносных объектах Autpost Firewall, но уже в C:\Program Files\Common Files ( я так понял программки, привлечённые ВИНЛОГОНом из инета создали там ещё какую-то шнягу), входящий траффик неумолимо возростал, вновь созданная программуля-вирус из C:\WINDOWS\TEMP, не распознанная доктором Вэбом запросила сетевую активность.И тут я не стал больше испытывать судьбу и блокировал и её и ВИНЛОГОН.Всё действо продолжалось 2 минуты. Я могу выслать вам отрывки из логов доктора Вэба и файерволла за эти 2 минуты.Там видно, что эти твари даже в реестре успели покопашиться. Помогите, пожалуйста.
Последний раз редактировалось pan; 21.03.2008 в 15:10.
Причина: Добавлено
AVPTool скачал самый последний вар-т, пару троянов нашёл, удалил. После решил опять дать волю винлогону, и, увы, то же самое... :-(
А насчёт "9851yt.sys" - был у меня такой драйверок(на пару с ещё одним) где-то месяц назад. Уничтожил их тогда я совместными усилиями с суппортом доктора Вэба, они ещё тогда этот мой вирус в базу добавили, оказался опасный экземпляр. Сейчас проверил по новой - нету...Видимо у меня что-то ещё неизвестное.
Winlogon запускает в C:\WINDOWS\TEMP\ какой-то (из сети) процесс NL40A07D41.EXE (NL всегда прсутствует,а дальше цифры и буквы всегда разные), он в свою очередь запускает процесс C\Windows\system32\regsvr32.exe, потом в C\Program Files\Common Files\CPUSH файерволл детектирует объекты cpush.dll,cpush.tmp,uninst.exe как вредоносные Sogou, в C:\WINDOWS\TEMP\ образуются новые зловреды и уже они просятся в сеть и т.д.
Могу прислать отрывки из логов за эти 2 мин.,гляните на эти процессы, может что-то станет ясно...
Добавлено через 4 часа 34 минуты
Help me please!
Или уже ничего нельзя сделать???
Последний раз редактировалось pan; 22.03.2008 в 19:40.
Причина: Добавлено
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: