проблема така-встановив вінду (хр) і все гальмує! (нічим не навантажую) просто наприклад хачу відкрити браузер (IE) і сторінка (саме вікно) відкривається струму секунд через 5-7, хоча інші вікна відкриваються нормально. може у кого була така праблєми. підкажіть
Народ хтось скаже мені що таке WmiAdapter?
Ось яка проблема: після перезавантаження (після перевірки DrWeb'ом - він знайшов 2 трояна якихось і запропонував перезавантажитися) перестав запускатися explorer! Виводиться просто синій екран. При цьому taskmanager запускається, і через нього можна запустити будь-яку програму (що я і зробив - заспустіл iexplore). Захищений режим нічим не допоміг (там те ж саме). Відновлення системи відключено на всіх дисках. Не хочеться перевстановлювати вінду - довго програми потрібні налаштовувати. Що робити-то?
Ось яка проблема: після перезавантаження (після перевірки DrWeb'ом - він знайшов 2 трояна якихось і запропонував перезавантажитися) перестав запускатися explorer! Виводиться просто синій екран. При цьому taskmanager запускається, і через нього можна запустити будь-яку програму (що я і зробив - заспустіл iexplore). Захищений режим нічим не допоміг (там те ж саме). Відновлення системи відключено на всіх дисках. Не хочеться перевстановлювати вінду - довго програми потрібні налаштовувати. Що робити-то?
Ага, останнім часом багато жертв цього черв'ячка зустрічаю. Перепробував багато, але допомогло тільки перевстановлення системи на чисту. Зберігаю на знімний гвинт документи, вбиваю розділ, створюю знову, формат і ставлю все заново. Касперський його обзиває Mail Worm твк що роби висновки на майбутнє.
Ага, останнім часом багато жертв цього черв'ячка зустрічаю. Перепробував багато, але допомогло тільки перевстановлення системи на чисту. Зберігаю на знімний гвинт документи, вбиваю розділ, створюю знову, формат і ставлю все заново. Касперський його обзиває Mail Worm твк що роби висновки на майбутнє.
А хіба касперский його не вбиває, черв'яка? І які шляхи зараження?
Народ де в реєстрі перебувають дані про ім'я поточного користувача а так само дані про місцезнаходження папки Мої документи поточного користувача.
Допоможіть плз.
ОФФ! Розібрався :-) Все ж дуже не хотілося переустонавлівать. Це вірус сімейства trojan.downloader
Прямо якась епідемія - судячи з даних лабораторії Касперського.
Рішення ось яке: видалити файли вірусу (в моєму випадку антивирусник їх сам знайшов і видалив)
Видалити гілки в реєстрі:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ UserInit = clsrvs.exe, Userinit.exe
HKLM \ System \ CintrolSet001 \ Services \ SharedAccess \ Pa rameters \ FirewallPolicy \ StandartProfile \ AuthorizeA pplications \ List \ C: \ Windows \ clsrvs.exe = C: \ Windows \ clsrvs.exe: *: Enabled: clsrvs
HKLM \ System \ CintrolSet002 \ Services \ SharedAccess \ Pa rameters \ FirewallPolicy \ StandartProfile \ AuthorizeA pplications \ List \ C: \ Windows \ clsrvs.exe = C: \ Windows \ clsrvs.exe: *: Enabled: clsrvs
Замість clsrvs у мене був csrss.exe
Не зрозуміло тільки де я його підчепив - не подивився що за файл. Тільки 100% він прийшов з нашої осілості - тому що файл знаходився в папці завантаження (крім створених ним самим в системних папках)
Будьте обережні!
А хіба касперский його не вбиває, черв'яка? І які шляхи зараження?
Ні, якщо вінда активна. Касперський його видаляє, а вінда його через 2 секунди відновлює. І так нескінченно. Весело це спостерігати. Видалив я його завантажившись з LiveCD з вбудованим Каспером, але система після читки не працювала.
Можливо це допоможе:
ОФФ! Розібрався :-) Все ж дуже не хотілося переустонавлівать. Це вірус сімейства trojan.downloader
Прямо якась епідемія - судячи з даних лабораторії Касперського.
Рішення ось яке: видалити файли вірусу (в моєму випадку антивирусник їх сам знайшов і видалив)
Видалити гілки в реєстрі:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ UserInit = clsrvs.exe, Userinit.exe
HKLM \ System \ CintrolSet001 \ Services \ SharedAccess \ Pa rameters \ FirewallPolicy \ StandartProfile \ AuthorizeA pplications \ List \ C: \ Windows \ clsrvs.exe = C: \ Windows \ clsrvs.exe: *: Enabled: clsrvs
HKLM \ System \ CintrolSet002 \ Services \ SharedAccess \ Pa rameters \ FirewallPolicy \ StandartProfile \ AuthorizeA pplications \ List \ C: \ Windows \ clsrvs.exe = C: \ Windows \ clsrvs.exe: *: Enabled: clsrvs
Замість clsrvs у мене був csrss.exe
Не зрозуміло тільки де я його підчепив - не подивився що за файл. Тільки 100% він прийшов з нашої осілості - тому що файл знаходився в папці завантаження (крім створених ним самим в системних папках)
Будьте обережні!
Обов'язково візьму на озброєння і випробую на наступному пацієнта
А хіба касперский його не вбиває, черв'яка? І які шляхи зараження?
Не знаю точно про касперского, але Dr.Web вбиває - але це і виявляється проблемою: вірус при завантаженні посилається на дебагер, який в свою чергу замість explorer завантажує інший файл вірусу, який в свою чергу запускає explorer. Так що просто видаливши файл, проблема не знімається, а тільки стає актуальною: explorer перестає завантажуватися (дебагер посилається на файл вірусу, якого вже немає.) Потрібно видалити вищевказані гілки в реєстрі.
Замість clsrvs у мене був csrss.exe
Не зрозуміло тільки де я його підчепив - не подивився що за файл. Тільки 100% він прийшов з нашої осілості - тому що файл знаходився в папці завантаження (крім створених ним самим в системних папках)
Будьте обережні!
csrss.exe - файл вірусу?
csrss.exe - файл вірусу?
Так, якщо цей файл лежить деінде, окрім диск: \ Windows \ System32 \
Так, якщо цей файл лежить деінде, окрім диск: \ Windows \ System32 \
І там він той же заражений і саме там його касперский видаляє, а вінда відновлює. А якщо вінда не запущено то і відновлювати не може. Вірус схоже замінює собою цей файл. І винда, схоже, це знає бо просить CD з діструбутівом вінди що б відновити змінений файл. Але і CD тут не допомагає.
Судячи з усього, це не вірус. Взагалі файл з однойменною назвою - це нормальний системний процес, просто деякі віруси маскуються під него.Но вони не псують оригінальний файл, а називаються так само, поміщаючись в якийсь інший каталог.