Здравствуйте.
Кажется, подхватил заразу.
Здравствуйте.
Кажется, подхватил заразу.
Последний раз редактировалось blackcat72; 01.08.2010 в 20:45.
Лучше день потерять, зато потом за пять минут долететь.
А что конкретно кажется?
Ну во первых, много процессов rundll32.exe Снимаю их. Через время опять много.
Какой-то процесс logon.scr, dimadmin.exe, tssdis.exe, vssvc.exe..., которых раньше не было.
Мягко говоря, двоятся процессы например csrss.exe, winlogon.exe (и другие), а то и по 4-5 раз.
Последний раз редактировалось blackcat72; 02.02.2010 в 13:52.
Лучше день потерять, зато потом за пять минут долететь.
Похоже, кто-то в терминальном сервере у вас работает. Там на каждый сеанс свой набор процессов окружающей среды запускается. Как раз csrss.exe, winlogon.exe, ctfmon.exe...
Администратор хорошо запаролен?
В терминальном то много работают. Но на тот момент просто никого не было.
Администратор запаролен нормально (больше 10 символов).
А в логах ничего подозрительного не обнаружили?
Ну ладно тогда. Дальнейшее покажет.
Спасибо.
Лучше день потерять, зато потом за пять минут долететь.
Сделайте логи на момент появления этих многочисленных процессов.
Вот, пожалуйста (новые логи). 21.00 вечера. Никого в сети нету (см. вложения скринов диспетчера задач).
Последний раз редактировалось blackcat72; 01.08.2010 в 20:45.
Лучше день потерять, зато потом за пять минут долететь.
А что у вас за двадцать шесть заданий в планировщике? AVZ их считает безопасными, но, может, как раз из-за того, что там rundll32.exe прописана?
Ну вот об этом я и говорю - непонятные процессы откудато берутся. Я их снимаю. Через какоето время они опять появляются. И это без активности пользователей.
И непонятно, что за процесс логон.сцр - раньше его не замечал.
Ждать пока както проявится? Или пока антивирусы не определятся с этим? Как бы не оказалось поздно
Лучше день потерять, зато потом за пять минут долететь.
Так вы в планировщике посмотрели? Мне, к сожалению, через Сумрак не видно ничего.
Если имеется ввиду это... во вложении. Чтото вложение не получается. В общем все задания такие:
C:\WINDOWS\system32\rundll32.exe At10.job The task is currently running. Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\rundll32.exe At11.job The task is currently running. Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\rundll32.exe At12.job The task is currently running. Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\rundll32.exe At13.job The task is currently running. Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\rundll32.exe At14.job The task is currently running. Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\rundll32.exe At15.job The task is currently running. Запуск библиотеки DLL как приложения © Корпорация Майкрософт. Все права защищены.
C:\WINDOWS\system32\rundll32.exe At16.job...........
Лучше день потерять, зато потом за пять минут долететь.
Вот это они, родимые, и есть. Ошмётки от Kido aka Conficker. Само тело прибито, а задания-запускалки остались. Мочите.
Хм.... А как мочить то? Из заданий? В АВЗ? Ну вроде удалил (понажимал крестик). Только особого смысла не понял, что сделал
И кажется не то сделал
Пока что не перегружался (люди работают). Новые логи еще раз даю. Хотя не думаю, что что-то изменилось.
Ошметки ошметками... А откуда они взялись? Всмысле что - чем-то лечил и остатки получились? Кто лечил? АВЗ? Тогда понятно. Что нужно дальше делать тогда?
Последний раз редактировалось blackcat72; 01.08.2010 в 20:45.
Лучше день потерять, зато потом за пять минут долететь.
В папке Назначенные задания выделить и удалить, потом корзину почистить.
Задания пока не возродились. Это обнадёживает.
У вас НОД стоит, вот он телеса и прибивал.
Обновления безопасности на систему все стоят? Kido через незакрытые дыры приходит.
Папку такую не знаю, где найти. Удалил в АВЗ через меню Сервис - Менеджер планировщика заданий. Надеюсь, оно.
Насчет "невозродились" еще не известно. Перегружусь - видно будет.
В НОДе в журнале событий никаких упоминаний не нашел по лечению, почему и непонятно, что происходит.
Обновления ставлю регулярно. Другой вопрос, что не все ставятся почемуто
Сейчас перегружаюсь
Лучше день потерять, зато потом за пять минут долететь.
После перезагрузки новые логи и диспетчер задач с непонятными процессами.
Последний раз редактировалось blackcat72; 01.08.2010 в 20:45.
Лучше день потерять, зато потом за пять минут долететь.
Просто както раньше не замечал данные процессы. И некоторые так и остались непонятными. Куреит Запускал, но он промолчал тоже. Короче, ктото из антивирусов молча вылечил чтото и не сказал )))))
Ладно. Пока что спасибо. Дальше видно будет.
Лучше день потерять, зато потом за пять минут долететь.
Уважаемый(ая) blackcat72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.