Показать полную графическую версию : Окно завершения задачи
Добрый день,
Суть проблемы: при выключении или перезагрузке выскакивает окно завершения задачи с заголовком "TRd ww: C:\WINDOWS\SERVICES.EXE "
и пока не нажмешь "завершить сейчас" не закрывается.
Явно вирь какой-то, т.к. в c:\windows\ services.exe отсутствует. Пожалуйста, подскажите кто-нибудь, где собака зарыта?
На компе ХРюша Pro SP1.
Вирь с далёкого 2004.
Оригинал должен быть в System32 - но для начала, на всякий случай, убедитесь, что оригинал там лежит, а также есть в списке процессов.
В процессах такого файла может быть всего один (легальный). Но это не будет указывать на то, что подозреммаевого файла на диске нет, он может быть просто неактивным в тот момент.
Или процессов от приложения с таким именем может быть два. Разумеется, один будет настоящим, второй засланным.
Почему его нет в папке Виндоус. Три варианта: или антивирус удалил этот файл (но к нему обращается файл-спутник, постоянно пересоздающий его, или система из-за оставшейся записи в реестре), или создаётся временно, или он постоянно там, но скрыт. Можно включить опцию "показывать все файлы" и отключить опцию "скрывать системные файлы", чтобы убедиться в этом.
Также можно посмотреть в файерволле, не обращается ли этот файл на адрес 207.46.xxx.xxx (Microsoft) через порт 80, а также на адрес cruel-intentionz.net.
Если файл SERVICES.EXE присутствует на своём законном месте, и имеется и этот, то удалите этого. Если в процессах и на диске только один с таким именем - тогда следует повременить.
Заодно поищите эти файлы в System32 и скормите антивирусу. Если не распознает, удалите всё равно (для коллекции и на всякий случай можно сохранить в архиве):
fservices.exe
mssyncr.exe
crss.exe
sservices.exe
reginv.dll
winkey.dll
Всех этих файлов не должно быть в реестре в ветках автозапуска:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Также можно поискать следующие ключи (это не критично, если соответственного файла нет)
[HKEY_USERS\S-1-5-21-...........\Software\Microsoft\Search Assistant\ACMru]
[HKEY_USERS\S-1-5-21-............\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="E54DHdLbPahxa"
"001"="mssyncr.exe"
[HKEY_USERS\S-1-5-21-.............\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="wwCwiCw"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44AC6201-B203-10CC-1F32-A0BC12E2014D}]
"StubPath"="C:\\WINDOWS\\System32\\mssyncr.exe"
Напоследок - обновите базы или поставьте нормальный антивирус. :)
Плюс: программа AVZ (http://z-oleg.com). Просканируйте им системный диск, с включенным лечением (и с включением копирования удаляемых файлов в карантин на всякий случай), из остальных опции - "сканировать все файлы", "максимальный уровень эвристики" и "расширенный анализ"; а "блокировать работу RootKit" включать просто так не стоит.
Erekle
Спасибо. Сейчас все проверю и отпишусь.
Erekle
Юзаю KAV 5.0151. Базы обновляю ежедневно.
Все проверил - вручную все чисто. И реестр и папки.
А вот AVZ - respect!!! Нашел этот Services.exe Заточен под NTFS-поток (если честно, не знаю, что это такое).
Вроде бы все зачистил.
Спасибо.
smckey
Антивирус Касперского не лечит от целого класса червей, троянов и прочей гадости. В нем нет смысла без какого-либо антишпиона, например, Ad-Aware SE.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.