Добрый день.Извиняюсь что открываю новую тему т.к похожая проблема была рассмотрена пару дней назад,но меня смутило несоответствие в названии одного файла в скрипте.В правилах сказано "не запускайте скрипты написанные не для вас..." вот я и решил перестраховаться.
А суть проблемы та жа c:\windows\smss.exe >>> подозрение на Trojan-PSW.Win32.Maran.bp ( 0A722F58 0348A933 001EEEFD 001F3F5C 34816)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O8 - Extra context menu item: Bookshelf - C:\Program Files\Bookshelf\TRBookshelf_.dll.button.js
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - C:\Program Files\Bookshelf\TRBookshelf_.dll.button.js
O9 - Extra 'Tools' menuitem: TR Bookshelf - {E50767CC-F1D8-41ef-A325-AD079064C0D2} - C:\Program Files\Bookshelf\TRBookshelf_.dll.button.js
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe (file missing)
Файлы из папки AVZ - Quarantine - сегодняшнее число пришлите нам по правилам форума. После всех действий повторите логи. Коллеги посоветовали не много изменить концепцию скрипта. Прошу прощение за допущенную ошибку.
Последний раз редактировалось Max_Novak; 29.01.2007 в 18:58.
Причина: Редактирование скриптов
Добрый день.Ситуация следующая:
В прошлый раз я выполнил скрипт в его оригинальном виде(т.е. не изменённый)и как оказалось поторопился - Виндовс сдох.Пришлось форматировать диск.Несколько дней назад я установил Виндовс снова и до сегодняшнего утра всё было Ок.Компьютер работает три дня без выключения (emule ) а сегодня утром я обнаружил что в диспетчере задач вместо обычных 23 процессов 24.Думаю опаа,неужели...и действительно - зверюка вернулся,на то же самое место в том же самом виде.Просканировал программой Dr.Web CurIt! - C:\WINDOWS\smss.exe - оказался Trojan.PWS.Ran.
1.Можно узнать что же это такое,откуда берётся и как с этим бороться?
2.Стоит ли выполнить написанный ранее изменённый скрипт или нужно сделать новые логи и отправить вам?
Geser - Компьютер загружался минут 15-20,т.е. появился рабочий стол без ярлыков без панели пуск просто картинка и висел так в течении этого времени.Потом всё таки рабочий стол появился полностью,но несколько програм и игр невозможно было запустить жаловались на сбой в системе..да и интернет не работал.Примерно так.
PavelA - В компьютерах я не очень силён,как мне установили Виндовс таким он и стоит сам ничего не менял.Про пароль администратора ничего не могу сказать - не сталкивался с этим.Если под "встроенный фаерволл" подразумевается Брандмаузер Виндовс то да,включён без исключений.Расшаренные директории - что это?Логи сделаю,пришлю.
P.S. Пока это писал второй процесс smss.exe изчез из дичпетчера задач хотя в папке Виндовс он попрежнему присутствует.Может это из-за того что в программе Dr.Web curIt! я включил лечить этот файл после перезагрузки...
J.Mack При входе в систему пароль набираете? Если да, то значит пароль есть.
Расшаренные папки - директории, к которым имеют доступ на запись другие пользователи сети.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
PavelA - Нет,пароль не набираю.
Хм,сам лично ни одну папку я не расшаривал(если можно так выразиться),единственная папка которая может быть доступна кому нибудь кроме меня это папка emule incoming.
P.S. Сейчас попытался удалить файл из C:\WINDOWS\smss.exe вручную и он как ни странно полетел в корзину...может удалить его и дело с концом?
J.Mack - Файл может заново возродиться, удалять надо по всем правилам со всеми его потрохами. Кстати, именно в e-mule incoming он и может прилетать.
Пароль надо поставить. Оффтопик: Дверь дома на ключ закрываете? Так вот пароль это тот же замок на двери.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
PavelA - Я не против поставить пароль...только не знаю как и на что собственно его ставить.И надо ли его ставить если на этом компьютере работаю только я?
Только что запустил программу avz данного зверя она не обнаружила(что неудивительно так как он сам почему то отключился и затаился),зато появилось следующее - Подозрение на скрытую загрузку библиотек через AppInit_DLLs: ""C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" "
PavelA - Я не против поставить пароль...только не знаю как и на что собственно его ставить.И надо ли его ставить если на этом компьютере работаю только я?
То, что с чем Вы боритесь, занимается ворованием паролей (преффикс PSW). Следовательно, пароли на аську, почту, e-mule вполне возможно уже известны злоумышленникам. Пароли в этих программах также необходимо сменить.
Пароль на вход в видовз не дает им получать свободный доступ к вашему диску.
Этот же пароль не даст уборщикам в офисе лазать по Инету после окончания рабочего дня.
Поставить пароль гораздо быстрее, чем написать данное сообщение.
Надо зайти в панель управления. Выбрать "Учетные записи пользователей" и в этом меню "Сменить пароль". Желательно чтобы пароль состоял из букв и цифр. Первая д.б. буква.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Уважаемый(ая) J.Mack, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: