С месяц наверное завелась какаято гадость на компьютере. NAV с периодичностью гдето раз в неделю начинает выдавать сообщения о том, что заблокировал огромное количество e-mail'ов которыя я пытаюсь послать. Письма эти похоже делает процесс spoolsvv. когда я его убиваю, сообщения прекращаются. Полный скан системы(из защищенного режима) нортон антивирусом, ничего не находит. CureIt находит практически каждый раз пару зараженных trojan.spambot'ом файлов в дирректории WINNT/Temp. Файлы называются примерно 00AD.Tmp. В реестре стандартный регедит не находит записей о spoolsvv. Нестандартный находит в ветке HKLM/...../Run. Удаляю. Через некторое время запись снова появляется.
В один прекрасный момент кто-то запретил запускать файлы с именем explorer.exe. Когда его запускаю Windows сообщает "File not found". Переименовал в Explorer1.exe - запускается.
В защищенном режиме моргает курсор с часиками. Помотрел в процесс експлорере - ктото запускает и убивает процесс IEXPLORE. Методом тыка нашел, что запускает его процесс winlogon, а точнее поток "winsys2f.dll", запускаемый из C:\Documents and Settings\All Users\Documents\Settings.
Кажется симптомы всё.
Компьютер боевой, поэтому удалять(переименовывать) всякие системные dll'ки боюсь. А антивирусы не находят ничего подозрительного.
Надеюсь на Вашу помощь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сегодня ставил на ночь проверку CureIt. Вот лог:
spoolsvv.exe;C:\Documents and Settings\Ivan1\Local Settings\Temp;Trojan.Spambot;Удален.;
spoolsvv.exe;C:\WINNT\system32;Trojan.Spambot;Удал ен.;
win1E76.tmp;C:\WINNT\Temp;Trojan.Spambot;Удален.;
win6ADB.tmp;C:\WINNT\Temp;Trojan.Spambot;Удален.;
раньше такое делал. Результат был примерно темже. Сейчас впервые нашел spoolsvv.exe;C:\Documents and Settings\Ivan1\Local Settings\Temp
Раньше находил только в C:\WINNT
проблемма все еще актуальна. За 2 дня NAV не замечал никакого спама. Но Explorer.exe по прежнему не открывается.
Заметил такую особенность: в незащищенном режиме висит процесс IEXPLORE. Занимает 1 МB памяти. Стандартный таск менеджер, говорит, что убить его нельзя. нестандартный убивает, но тутже появляется новый IEXPLORE. После того, как в процессе winlogon убил поток winsys2f.dll+1818 IEXPLORE появляться перестал.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: