Dmitry

Последствия после smss.exe

В этой теме 21 сообщений

Уважаемые! Поймал зверя по имени smss.exe, стоял антивирусник McAfee VirusScan Enterprise 8 + PATCH 11A+ ANTISPYWARE MODULE + ENGINE 5000+ НОВЕЙШАЯ НА СЕГОДНЯ АНТИВИРУСНАЯ БАЗА + Desktop Firewall McAfee, Антивирусник даже не дернулся, сказал, всё чисто, можно. Проверил файл Dr.Web Cure, тоже - Чисто! В общем после этого я кликнул, ничего не открылось, только Desktop спросил открывать-не открывать, так как файл пришел как флеш-ролик, и вроде как от знакомого, сказал - да. Далее, понял, что заразился, сделал полную проверку(сказал что - чисто) снес McAfee, поставил Dr.Web 4.33 проверил - чисто, снес, поставил Касперского 6, он нашел, вылечил. Но стал безумно тормозить комп, в защищенном режиме проверял 13 часов! После мучений переустановил всё! Поставил сразу Касперского, Проверил полностью комп - чисто. Вышел в интернет, и он стал кричать, процесс svchost.exe изменен(!!) разрешить-не разрешить? Стал смотреть в настройках Касперского, а там при установке прописалось, в настройках Веб-Антивируса, в доверенных адресах следующие строки: -

*/bin/tail.cgi?*

*/f_body?id=*

*ircnet/irc.cgi?item=fmain*

(h)ttp://chat.mail.ru/cgi-xml/irc*

Скобки добавил, чтобы не определялась ссылка.

Пришлось снова форматировать диск С и устанавливать по-новой. И опять при установке Это все прописалось в Касперском. У меня ноут и физический диск разбит на два диска. Скажите, что это может быть и где находится, если проверка не определяет? Как избавиться от этого???

Забыл про AVZ4 - тоже промолчал....

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

После установки Касперского сразу же производилось его обновление?

Могло так получиться, что зараза садилась из сети как раз в тот момент, когда базы еще не были обновлены.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А я устанавливал не подключаясь к сетке! То есть, установил винду, поставил Касперского, а только потом подключился к сетке! Так вот, даже в этом случае, эта беда прописывается.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я удалил исключения в настройках веб-антивируса, обновился и проверил все критические области (чтобы быстрее было) еще раз.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Хм!! А тоже были исключения?

Нет, я имел ввиду я бы удалил. У меня такой проблемы не было, хотя сегодня приду домой, посмотрю, если ли что-то у меня в исключениях.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да и я удалил! Но это в реестре Винды прописано, и в реестре не удаляется! Вот!

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пришлось снова форматировать диск С ... И опять при установке Это все прописалось в Касперском

Новая Bios-хитрость?Если остался,отошли этот файл по АВ-фирмам и которая быстрее разберётся - будешь иметь лечение.Может быть даже и ответят лично,в чём там дело.Даже может быть уже сегодня.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dmitry

Простите, я так и не понял - что нашёл Касперский? smss.exe это файл Windows. А вирус у Вас в нём какой был?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dmitry

Если остался образец, то попробуй пошли на:

http://ru.trendmicro-europe.com/enterprise...av_service.php/ в категории File to verify, остальное можно заполнять в свободной форме, главное обратный e-mail укажи правильный.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Друзья мои! Я два раза Винду с форматом Диска С переустановил, где бы он у меня остался... Касперский сначала нашел Trojan-Downloader.Win32.Delf.alf, после переустановки винды - not-a-virus DownloaderWin32PopCap.a две штуки, сейчас ничего не находит, но Анти-хакер при подключении к Интернету говорит про

ALG.EXE

ID процеса: 772

Производитель: Microsoft Corporation

Версия: 5. 1.2600...

Исполняемый файл был изменен.

Разрешить сетевой доступ для данного файла или нет.

Такие же сообщения для файла SVCHOST.exe

ID: 1448

IEXPLORE.exe

ID: 1800

Значит ли это, что данные файлы следует блокировать? И есть ли возможность их восстановить?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
smss.exe это файл Windows.

Да.Но начальные данные - это "приходит"

W32.Dalbug.Worm http://securityresponse.symantec.com/avcen...albug.worm.html

Adware.DreamAd http://securityresponse.symantec.com/avcen...re.dreamad.html

W32.Resdoc http://securityresponse.symantec.com/avcen...w32.resdoc.html

Adware.Advision http://securityresponse.symantec.com/avcen...e.advision.html

Backdoor.IRC.Flood.F http://securityresponse.symantec.com/avcen...rc.flood.f.html

Backdoor.IRC.Aladinz.O http://securityresponse.symantec.com/avcen....aladinz.o.html

Добавлено спустя 26 минут 6 секунд:

Dmitry,Как я читал,в bios много не войдёт.Можно представить,что там только запускающяя команда,а функционал инсталлировался на вторую партицион.Форматирование С: тогда ничего не принесёт,если оно при старте компа всё заново записывается на С:.Форматни все партиционы,записав до этого нужное куда-нибудь - потом разберёшся.Сама команда без функционала тоже ничего не сделает.Если перезаражения не будет,то так и есть.Антивирусы инталлировать потом из тех,которые уже сейчас сгружены,тоже ненадёжно.Попробуй после полного формата и переинсталла после антивирус заново сгрузить,а что с возможно заражённой партицион сохранил - назад не перезаписывай,а то опять загрузит при старте.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Значит ли это, что данные файлы следует блокировать? И есть ли возможность их восстановить?

А может их именение связано с обновлением винды автоматом, не может такого быть? Может вирусы тут и не причем.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Значит ли это' date=' что данные файлы следует блокировать? И есть ли возможность их восстановить?[/quote']

А может их именение связано с обновлением винды автоматом, не может такого быть? Может вирусы тут и не причем.

Загрузил Обновления с включенным антивирусом, установил, сделал полный анинстал антивирусника, с чисткой. Установил по новой антивирусник. Он теперь должен воспринимать все файлы как новые. Или нет?

Добавлено спустя 10 минут 19 секунд:

Dmitry,Как я читал,в bios много не войдёт.Можно представить,что там только запускающяя команда,а функционал инсталлировался на вторую партицион.Форматирование С: тогда ничего не принесёт,если оно при старте компа всё заново записывается на С:.Форматни все партиционы,записав до этого нужное куда-нибудь - потом разберёшся.Сама команда без функционала тоже ничего не сделает.Если перезаражения не будет,то так и есть.Антивирусы инталлировать потом из тех,которые уже сейчас сгружены,тоже ненадёжно.Попробуй после полного формата и переинсталла после антивирус заново сгрузить,а что с возможно заражённой партицион сохранил - назад не перезаписывай,а то опять загрузит при старте.

Это очень грустно... Третий раз в пятидневку переустановить винду и закачать все обновления на нее, на Офис, на кучу программ.... Может, какой то есть продукт который это может выявить?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Он теперь должен воспринимать все файлы как новые. Или нет?

Я думаю что да, если при новой установке не были наследованы данные с предыдущей установки, обычно 6-ка при устновке спрашивает об этом.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Он теперь должен воспринимать все файлы как новые. Или нет?

Я думаю что да, если при новой установке не были наследованы данные с предыдущей установки, обычно 6-ка при устновке спрашивает об этом.

Вот я и говорю, а 6-ка заново установлена тут же и говорит: - Был изменен...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Dmitry,Виндовс CD для форматирования брать не очень удобно.Я раз перед новой инталляцией стёр С:,форматировал и знаешь что вышло?До сих пор не знаю,что я сделал неправильно и повторять не хочу,но оказалось,что старый боотсектор остался неформатированый и,если я теперь правильно вспоминаю,без буквы.Почему Виндовс инсталлировался,я не знаю,но после этого раза,как и до этого,для форматирования С: использую одну прогу,которая сразу сначала пальцем на будущие даже мелкие изменения и какие они будут показывает.Ошибочное недоформатирование у тебя исключено?

Может, какой то есть продукт который это может выявить?

Если это новый вирус,то только ждать,пока детектить полностью и лечить начнут.До тех пор - только полный формат с сохранением куда-нибудь данных.Потом вылечишь.А если это не классический стирающий вирь (или ещё кто),а по другому вредящий,то смотри сам,можешь и дальше.

Да и под старые тоже подходит http://www.f-secure.com/v-descs/sober_c.shtml

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry,Виндовс CD для форматирования брать не очень удобно.Я раз перед новой инталляцией стёр С:,форматировал и знаешь что вышло?До сих пор не знаю,что я сделал неправильно и повторять не хочу,но оказалось,что старый боотсектор остался неформатированый и,если я теперь правильно вспоминаю,без буквы.Почему Виндовс инсталлировался,я не знаю,но после этого раза,как и до этого,для форматирования С: использую одну прогу,которая сразу сначала пальцем на будущие даже мелкие изменения и какие они будут показывает.Ошибочное недоформатирование у тебя исключено?
Может, какой то есть продукт который это может выявить?

Если это новый вирус,то только ждать,пока детектить полностью и лечить начнут.До тех пор - только полный формат с сохранением куда-нибудь данных.Потом вылечишь.А если это не классический стирающий вирь (или ещё кто),а по другому вредящий,то смотри сам,можешь и дальше.

Да и под старые тоже подходит http://www.f-secure.com/v-descs/sober_c.shtml

Можно сообщить имя этой чудо проги?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Попробуй это http://www.microsoft.com/downloads/details...b3-75b8eb148356 сгрузи,только язык измени,если не русский надо..Во всяком случае узнаешь по-быстрому.А не поможет - попробуй онляйнскан http://safety.live.com/site/en-US/center/howsafe.htm

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уважаемые друзья!

Спасибо, что откликнулись и предложили помощь! В конце концов я сделал следующее: с сайта производителя буки качнул обновление на bios. Была версия родная 1.2, стала 1.5. установил и думаю, даже если была беда в bios, то теперь ее там нет. Не парюсь больше.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • По информации американской телекомпании CNN, у российских банков, счета которых находились в Центробанке, хакеры похитили 2 миллиарда рублей. В ЦБ эту информацию подтвердили. Читать далее
    • В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы. Читать далее
    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.