Доброго времени суток всем)Помогите советом! Сегодня установил программу (назовем qwe.exe), запускаться она не захотела, после релога компа запустилась сама, что меня и не устроило. Начал ковыряться, что за процесс сидит у меня, оказывается в дисп. задач сидит lsass.exe (которого раньше не было 100%)и закрыть его нельзя Качнул procexp.exe, закрыл процесс. Через 5-10 секунд появляется процесс explorer.exe (из директории C:\program files\uninstall information), за собой грузит qwe.exe и lsass.exe и благополучно закрывается. qwe.exe закрывается свободно, а lsass.exe висит. В реестре 3 новых записи HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run грузится explorer.exe из C:\program files\uninstall information HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run тот же файл из той же директории HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components n\a тот же файл та же директория P.S. Форматировать диск и сносить винду не собираюсь.
Пробовал прогонять антивирусным софтом на наличие руткитов? Судя по всему... получил ты какой то RAT и очистить его просто так будет трудно... Насколько я помню они даже в ActiveX прописываются.... Скинь отчет AVZ сюда. Да кстати не увидел, lsass системный, но возможно уже имеет ветки на DLL вируса.
у тебя не могло его не быть раньше, для сведения так что будь уверен, что это не вирус, но не исключено что был инжект в dll этого процесса если антивирусные утилиты не помогают - скинь этот файл саппорту этих утилит и дождись обновления сигнатур с твоей заразой
Читал, знаю. В ДЗ его небыло 100%, в procexp он есть, в ветке проца winlogon.exe.А это еще один появился, в чистом виде На борту стоит MSE, щас прогоняю им. Отчет будет через пару минут. upd. AVZ кричит что отчет будет через ~2ч.
априори не может быть что не было, это фантастика)) а MSE не айс антивир, заюзай нод или каспера больше пользы будет
Была болванка, 25 лет 6 каспера на халяву Потом надоело, и вот решил mse заюзать, пока что не подводил, и когда я ту прогу ставил, он запищал, но я разрешил запуск Да я тебе говорю, в ветке проца winlogon есть такой lsass.exe но в ДЗ не видно)А теперь видно, но не оригинал. upd. Kasper KVRT ничего не нашел.
Сори за ап, вирус отрубил все права, немогу открыть любой тип файлов, от ярлычка или екзешника, до текст. докумета(ДЗ и командная срока не открываются) По пути C:\program files\uninstall information больше ничего нету
Сделай мне скриншот веток реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run + cmd.exe: attrib "C:\program files\uninstall information\explorer.exe" -h -s ren "C:\program files\uninstall information\explorer.exe" "xxx.exe" + restart computer
Грузанулся с внешнего харда) |qbz| В реестре было чисто, в консоле писать не стал, т.к. файл уже отсутствует. Думаю на этом можно успокоится)Реестр чист, комп чист. Всем огромное спасибо за помощь)! upd. Таки и не понял как так произошло Я чистил реестр через AVZ,(файла уже не было),удалил 2 значения связанных с этим файлом, закрыл. После этого у меня отрубились права. Как, если в ДЗ не было лишних процессов???
Я так посмотрел: C:\Program Files\Dexpot\hooxpot.dll Вроде на вирус не похож, если конечно у тебя присутствует данный софт на PC....Но, рейтинг опасности 76%, если уже удалил его не волнуйся. C:\Program Files\Uninstall Information\explorer.exe Ну тут я думаю все итак понятно? Так же советую временно установить KIS 2012, включить максимальные параметры, сделать проверку полную. Почему именно KIS? Потому как ты сможешь отследить активность сети(какие программы и куда рвутся) Если нужен будет конфиг на максимальную конфигурацию, напиши в ЛС
Декспорт это тулза для нескольких рабочих столов, балуюсь) Експлорер он самый)Кис поставлю посмотрим че и как, если что отпишусь) Спасибо!)