Обязательно оформлю вопрос по правилам, как только разберусь как добратся до отключения систем ресторе без explorer.exe
Проблем такой:
1.банальное письмо с "флэш мультиком".
2.Скачал, проверил нортоном2006 + мелкософт антиспайваре = опасности нет.
3.Запустил - распаковалось 4-е файла и быстренько исчезли.
4.Стал просится к установке csrss.exe (из дериктории windows корень)
я его пробовал удалять но он тутже появлялся снова.
5.Полное сканирование на вирусы (база от вчерашнего дня) и на спайваре (база тоже вчерашняя) - результат : все в норме. (помимо просьб к установке еще выскакивала табличка с просьбой вставить дистрибутив винХПсп2.
6. Перегрузился а вин2000 (на другом винте) проверил искомый диск касперским 5.0.5 - нашел все карантинные файлы NAV и MASW + csrss.exe в корне Windows обозвав его что-то типа Trojan-Spy.Win32.Agent.jq (точно не помню (позже обясню отчего).
7. Перегрузился WinXP - после логона только десктопная картинка и боле ничего. Через cmd запустил тоталкомандер и вижу отсуттсвие csrss.exe - всё... и тишина. Перезагрузки результатов не дали, explorer.exe не запускается (пишет нет его).
8. Перегрузился в win2000 восстановил все удаленные вирусы (подумал - вдруг каспер чиво лишнего удалил).
9.Прегрузка в winXP - результат см. п.7.
10. Пришел к вам скачал инструкцию по запросу и споткнулся о подводные камни. 1. База AVZ не обновляется (пишет ошибка в названии файла обновления). 2. Не могу выключить ресторе систем ибо не знаю как туда попасть.
Может проще фрмат сэ сделать??
Подскажите умным советом плиз:-)
upd:
отключил автостарт систем ресторе через приблуду к тоталкомандеру и обновил AVZ из Win2000
вот логи (только сканирование системы в обоич случаях закончилось самозакрытием AVZ , так и должно быть??..или это троян себя так проявляет?).
Последний раз редактировалось lompad; 12.04.2006 в 17:18.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. csrss.exe скачивает себе Trojan.PWS.LDPinch.852(по DrWeb) попробуйте воспользоваться пунктом 2 правил обращения.
2. В AVZ есть набор восттановления (файл - восстановление настроек системы)
2.Скачал, проверил нортоном2006 + мелкософт антиспайваре = опасности нет.
Нет не так, нортон2006 + мелкософт антиспайваре = доверия нет.
3.Запустил - распаковалось 4-е файла и быстренько исчезли.
4.Стал просится к установке csrss.exe (из дериктории windows корень)
я его пробовал удалять но он тутже появлялся снова.
5.Полное сканирование на вирусы (база от вчерашнего дня) и на спайваре (база тоже вчерашняя) - результат : все в норме. (помимо просьб к установке еще выскакивала табличка с просьбой вставить дистрибутив винХПсп2.
6. Перегрузился а вин2000 (на другом винте) проверил искомый диск касперским 5.0.5 - нашел все карантинные файлы NAV и MASW + csrss.exe в корне Windows обозвав его что-то типа Trojan-Spy.Win32.Agent.jq (точно не помню (позже обясню отчего).
7. Перегрузился WinXP - после логона только десктопная картинка и боле ничего. Через cmd запустил тоталкомандер и вижу отсуттсвие csrss.exe - всё... и тишина. Перезагрузки результатов не дали, explorer.exe не запускается (пишет нет его).
8. Перегрузился в win2000 восстановил все удаленные вирусы (подумал - вдруг каспер чиво лишнего удалил).
9.Прегрузка в winXP - результат см. п.7.
10. Пришел к вам скачал инструкцию по запросу и споткнулся о подводные камни. 1. База AVZ не обновляется (пишет ошибка в названии файла обновления). 2. Не могу выключить ресторе систем ибо не знаю как туда попасть.
1. "Правила! Читать перед запросом о помощи!" (от буквы до буквы)
2. п.2 Правил "Др.Вэб, Каспер5.0.5, Каспер6"
3. Востановление системы AVZ (каждая галочка в отдельности и как вариант всё сразу).
п.с. пришлось снести нортон интернет секьюрити...ка следствие думаю все мои пароли ушли.....ибо каспер не хотел работать при установленом нортоне... :-((
Проверьте что в реестре по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Есть Запись Shell с параметром - explorer.exe
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
В других темах ответить не могу и потому скажу тут.
Всем чайниковатым как я, необходимо обяснить, что если в качестве антиспайваер стоит мелкософтавая приблуда, нивкоем случае нельзя перегружацца...ибо эта гадость опережает в загрузке MASW и блин таки инсталируецца. :-((
p.s.
Как ремарка, думаю всем в этой ситуации понятно, что загрузка в режиме защиты от сбоев невозможна и восстановление контрольной точки результатов не дает.
p.p.s.
оторвать бы детородный орган тем умельцам или направить энергию в мирное русло:-)
p.p.s.
таких идиотов как я еще поискать...сам всю жизнь супругу учу....." никаких непонятных писем и темболее вложений - ни в коем случае не открывать!!!" :-))))
Последний раз редактировалось lompad; 12.04.2006 в 22:54.
Олег, а конкретно можешь сказать, какие параметры были изменены? У меня пока руки до полного трейса не дошли =(
Да, могу - он регистрирует в реестре дебаггер для процесса explorer.exe Если забить зверя, то в ходе загрузки дебаггер не находится и все падает. Дебашшеры регистрятся в ключе реестра Image File Execution Options
Проверьте что в реестре по адресу - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Есть Запись Shell с параметром - explorer.exe
есть такая запись
с трепетом ожидаю обновления AVZ, ибо реинсталл грозит повторными настройками всего софта....пару дней убью не менььше
еще забыл добавить, в ходе заражения (пока эта зараза не проинсталилась окончательно и спайваре ей мешал) постоянно выскакивал (но без логики) проводник windows (я им вообще не пользуюсь) и в нем была открыта папка учетной записи администратора + создавался файл с трояном 1.exe прям в корне папки administrator
Последний раз редактировалось lompad; 13.04.2006 в 10:40.
Уважаемые гаспада, подскажите, что можно поставить в плане фаервала в добавку к касперскому шестому (я решил на нем остановитсья)? И нужен ли дополнительный антиспайваре или касперский с этим справляется?
Уважаемые гаспада, подскажите, что можно поставить в плане фаервала в добавку к касперскому шестому (я решил на нем остановитсья)? И нужен ли дополнительный антиспайваре или касперский с этим справляется?
Если ставить КИС, то больше ничего не нужно. АХ в нём вполне достойный. В общем его и советую. Никаких антиспайварей дополнительно не нужно. Можно АВЗ использовать для ручного контроля.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: