здравствуйте! у меня проблема после борьбы от вируса отправте sms (kaspersky lab)
где то месяц назад я скачал архив, распаковал его (во время распаковки комп завис) ноут сам перезагрузился... потом сообщение - отправте sms бла бла бла, я с кпк погуглил, почитал про эту бяку... под рукой не оказалось диска с sp2, пришлось идти к соседу за пиратской сп2... переустановил (без форматирования... 20гигов очень важных документов) вроде все стало хорошо... но в этой винде не оказалось службы проверки подлинности, wupdater и еще какой то службы!
первым делом я удалил drweb'а который находил только одни автораны и два трояна за 2 года использования... поставил nod32
через неделю комп стал тупить очень сильно... опытным путем выявил что svchost жрет 95% цп
погуглил - с помощью trojan remover и hijack вылечил бяку... через неделю снова!
я понакачал всяких антишпионов/антитроянов и нашел 15 троянов, 3 вируса и 1 роткита! там были trojan-ы - agent, facealert и еще помоему win32.small чета там не помню... установил sp3 и у меня стало две винды... запустил второю - летает! перезагрузил на первую - виснет! опять на сп3 - виснет! удалил винду... (после установки сп3 почему то заработали wupdate и службы 3 которые до этого не работали)
проверял в безопасном режиме drweb cureit - не фига не находит! в procesexplorer показывает что cureit при загрузки создает 2xxxxx.exe и распаковывается в windows/temp - это так надо? загрузился с live cd drweb - потратил 4 часа зря!!! не че не нашел... поставил avats - он после перезагрузки при полной проверки нашел еще 3 трояна... и после их удаления комп вроде воскрес! все норм, только почему то грузиться ноут дольше... грузиться сначала раб стол, потом иконка звука (кароче все кроме подлючения к нэту) потом звучит ту ду ду ту... тишина на 30сек, и только потом все путем! причем во время этих 30 сек в процессах бездействие системы и сним рядом подписано что это SYSTEM а остальные процессы не определены!? грузятся 22 процесса, а 4-е догружаются через 30 сек!
проверил на всякий пожарный солитикилером - находит только один скрипт и все! причем скока не проверяй - скрипт и все! самое интересное - я уже собрался форматировать - переписал папку мои документы на чистый ноут acer - там McAfee обнаружил 6 аттак... откуда? хрен знает... проверил на новом солитикилером - тоже находит один скрипт и все!
ноут офисный - там дофига флешек с вирями авторанами...
еще интересно то - что если отключить службу веб клиент, то комп летает! я удалил много ненужных сервисов и реест почистил, но какая то бяка осталось! в принцепе скора прогаммист будет реанимировать ноут... но мне вот лично для себя интересно вычислить эту бяку!
еще добавлю - вчера на старом ноуте вылезло - ваш ip атакован... но avast вроде справился с атакой...
ноут не мой... был бы мой, я бы изначально следил за заплатками и свежими базами
а чуть не забыл - также есть подозрения что сидит вирус скрывающий свое присутствие! я вычислил что во время загрузки создается 1.tmp и 2.tmp в папке windows/system32 но это уже я выличил... также интересная штука - во время загрузки антивирь (любой) сначала отключается на 5 сек, а потом выключается! также сам загружается ctfmon... я его убираю из автозагрузки, а он грузиться! онлайн проверкой проверил - файл чист... еще были NOTEPAD.EXE и TASKMAN.EXE в папке вин, я их удалил - появились "чистые" npad.exe и tman.exe
ЕЩЕ иногда пропадает пуск - подключение
с уважением Владислав... надеюсь на вашу помощь
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
хм - да толку от баз... сча попробую... заметил что если после перезагрузки запустить hijack - то оно находит первые 10 ключей и вылетает ошибка! а если подождать эти 30 сек то все норм
Добавлено через 2 минуты
ctfmon
я это знаю... просто подозрительно что он запускается если я его из рееста убираю!
у меня подозрение на sptd - на этом ноуте никогда deamon tools не устанавливался
Последний раз редактировалось URBANUTS; 21.08.2009 в 10:27.
Причина: Добавлено
походу вирус тут не причем... сделал я логи с вашими базами, все тоже самое! (логи дурень не сохранил) попозже еще сделаю... теперь при загрузке вылазиет ошибка svchost.exe мол не может быть read в принципе это мне не мешает... ноут то все ровно не мой
уже нет... мне оказываеться просто нужны были обновления! на сайт wupdater ноут не хочит заходить... я скачал вручную пакет заплаток и вроде ошибка исчезла... тут видимо не вирусы, а уже "виндовые проблемы" выключил службу windows drive foundation - все пучком...
а может это rootkit какой нибудь, тк gmer обнаружил перехватчики
в принципе тему можно закрывать
подозрение одно - gmer обнаружил sppy.sys хотя у меня его нет в папке drivers... я думаю вы мне не поможете
хотя... вот лог gmer: (подозрения на левые ключи в реесте)
Последний раз редактировалось URBANUTS; 21.08.2009 в 12:52.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: