Окно завершения задачи
Добрый день,
Суть проблемы: при выключении или перезагрузке выскакивает окно завершения задачи с заголовком "TRd ww: C:\WINDOWS\SERVICES.EXE " и пока не нажмешь "завершить сейчас" не закрывается. Явно вирь какой-то, т.к. в c:\windows\ services.exe отсутствует. Пожалуйста, подскажите кто-нибудь, где собака зарыта? На компе ХРюша Pro SP1. |
Вирь с далёкого 2004.
Оригинал должен быть в System32 - но для начала, на всякий случай, убедитесь, что оригинал там лежит, а также есть в списке процессов. В процессах такого файла может быть всего один (легальный). Но это не будет указывать на то, что подозреммаевого файла на диске нет, он может быть просто неактивным в тот момент. Или процессов от приложения с таким именем может быть два. Разумеется, один будет настоящим, второй засланным. Почему его нет в папке Виндоус. Три варианта: или антивирус удалил этот файл (но к нему обращается файл-спутник, постоянно пересоздающий его, или система из-за оставшейся записи в реестре), или создаётся временно, или он постоянно там, но скрыт. Можно включить опцию "показывать все файлы" и отключить опцию "скрывать системные файлы", чтобы убедиться в этом. Также можно посмотреть в файерволле, не обращается ли этот файл на адрес 207.46.xxx.xxx (Microsoft) через порт 80, а также на адрес cruel-intentionz.net. Если файл SERVICES.EXE присутствует на своём законном месте, и имеется и этот, то удалите этого. Если в процессах и на диске только один с таким именем - тогда следует повременить. Заодно поищите эти файлы в System32 и скормите антивирусу. Если не распознает, удалите всё равно (для коллекции и на всякий случай можно сохранить в архиве): fservices.exe mssyncr.exe crss.exe sservices.exe reginv.dll winkey.dll Всех этих файлов не должно быть в реестре в ветках автозапуска: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Также можно поискать следующие ключи (это не критично, если соответственного файла нет) [HKEY_USERS\S-1-5-21-...........\Software\Microsoft\Search Assistant\ACMru] [HKEY_USERS\S-1-5-21-............\Software\Microsoft\Search Assistant\ACMru\5603] "000"="E54DHdLbPahxa" "001"="mssyncr.exe" [HKEY_USERS\S-1-5-21-.............\Software\Microsoft\Search Assistant\ACMru\5604] "000"="wwCwiCw" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44AC6201-B203-10CC-1F32-A0BC12E2014D}] "StubPath"="C:\\WINDOWS\\System32\\mssyncr.exe" Напоследок - обновите базы или поставьте нормальный антивирус. :) Плюс: программа AVZ. Просканируйте им системный диск, с включенным лечением (и с включением копирования удаляемых файлов в карантин на всякий случай), из остальных опции - "сканировать все файлы", "максимальный уровень эвристики" и "расширенный анализ"; а "блокировать работу RootKit" включать просто так не стоит. |
Erekle
Спасибо. Сейчас все проверю и отпишусь. Erekle Юзаю KAV 5.0151. Базы обновляю ежедневно. Все проверил - вручную все чисто. И реестр и папки. А вот AVZ - respect!!! Нашел этот Services.exe Заточен под NTFS-поток (если честно, не знаю, что это такое). Вроде бы все зачистил. Спасибо. |
smckey
Антивирус Касперского не лечит от целого класса червей, троянов и прочей гадости. В нем нет смысла без какого-либо антишпиона, например, Ad-Aware SE. |
Время: 23:27. |
Время: 23:27.
© OSzone.net 2001-