@incognito

Доброго времени суток. В последнее время стал замечать некие странные процессы в диспетчере. Хотелось бы услышать совет, если что-то обнаружится.
Подозрительно, что svchost.exe встречается по несколько раз.

Миниатюры

 

0

Sanya

простите. просто привык что под такой аббревиатурой любят прятаться вири

1

@incognito

Бдительность. Хорошо.

2

Sanya

1

@incognito

0

Памирыч

Ничего себе, это с какого, я извиняюсь, похмелья надо быть, чтобы так назвать файл.
Я бы проследил путь к этому файлу, и автору советую.
Еще - судить только по процессам о заражении системы, ИМХО, не слишком верно. Должны быть симптомы, например, заражение флешек - это уж самый простой способ.
Далее - проверить ветки Winlogon и не мешало бы Image File Execution Options
Нет ли подозрительных записей в них. По крайней мере, это одни из самых лакомых мест для экзешничков.

1

Sanya

klwtblfs.exe
это процесс от KIS ( ответ с форума касперского и VirusInfo)

но проверить конечно не мешает... так как любят вирусы себя вместо полезных прог запускать

1

@incognito

Было такое. USB-плеер неправильно отображался в "Мой компьютер". Открывался только через графический "плеер".

Добавлено через 4 минуты
Как это сделать?

0

Sanya

Найдите в реестре и проверьте:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

Правильное значения для Userinit это:

C:\WINDOWS\system32\userinit.exe,

Видимо так

1

@incognito

Вопрос: Как попасть в реестр ?

0

Sanya

пуск - выполнить - regedit

0

Памирыч

Был случай. На работу принесли комп с баннером. Гружусь с ERD-Commander'а (рекомендую, с ним я сворачиваю головы и баннерам и троям, как гусятам) захожу в реестр, вижу, вместо Explorer галимые буквы:
C:\Documents And Settings\Uzver\Application Data\ftehsf.exe
Вот он, потираю руки и чикаю это.
Довольный перезагружаю тачку и что бы вы думали? Баннер опять тут как тут!
Ничего не понимаю, захожу опять в реестр, чикаю все с обычной автозагрузки, снова удаляю этот аппликейшен, ставлю блок на Винлогон, чтобы никто не мог его переписать больше, Файл вредоносный удаляю, вместо него создаю папку ftehsf.exe, чтобы файл не записался.
Ну все, больше нечего ковырять, перезагружаюсь.
Хлоп - Снова наш друг!!! Да быть того не может. Снова влез - уже психую - сроду такого не было - 5 минут и комп чист. И совершенно случайно замечаю что иконки у диспетчера, Userinit - не их.
Так вот оно в чем дело! Со здоровой машины краду эти запчасти, прикручиваю к этому драбагану, и вуа-ля - все заработало.
Так что иногда мы имея вполне внятные записи в реестре имеем нездоровую модификацию системы!

1

Sanya

а еще эти новые разновидности научились себя дублировать... сейчас в C:\Documents And Settings\Uzver\Application Data\ сидит не один файл заразы ... а два. при удалении одного...второй восстанавливает его

1

@incognito

Explorer.exe на месте.

0

Sanya

обычно что то любит прописываться после userenit"а

1

@incognito

Userinit тоже на месте.

0

Sanya

incognito, тогда можно спать спокойно

0

Памирыч

+1, для этого мне приходилось писать мелкую утилиту, где в окна я вписывал имена процессов, и в цикле они убивались, файлы удалялись, и на их место создавались одноименные папки. Помогало.

Но так или иначе, все они где-то стартуют, их надо в корне рубить.

0

@incognito

Ок. Пошел спать.

Добавлено через 4 минуты
В последнее время проблемы с программой-клиентом от местного поставщика Интернета. После нажатия на крестик она виснет. Пробую через Диспетчер - бесполезно. Причем изображения всех папок, которые я открывал поверх, оставались - как бы получался слепок.

0

Sanya

0

@incognito

0