2012 - Упал RDP. Служба Shell Software Detection.

Petya V4sechkin · Конфигурация компьютера

AleckNW, точно вирус.
Удалите параметр DependOnService в ветках:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssmbios
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swenum

А эту ветку удалите целиком:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\shellsd

Советую создать тему в разделе форума Лечение систем от вредоносных программ, выполнив эти инструкции.

iluffka · Конфигурация компьютера

вывод: касперский - шляпа.

Petya V4sechkin · Конфигурация компьютера

iluffka, Касперский тут ни при чем, если даже VirusTotal его не определяет.
Потому что вирус свежий (вчера/сегодня скомпилирован и выпущен "в свободное плавание").
А как, вы думаете, пополняются антивирусные базы? Так и пополняются: пользователи сообщают о проблеме в тех. поддержку, например в Лабораторию Касперского, там анализируют код и добавляют сигнатуру в базу.

AleckNW · Отправлено: **19:49, 21-01-2014** | #14

Оно вернулось. Создал тему про вирус http://forum.oszone.net/showthread.php?p=2293579
На голом сервере такого файла и службы нет.

mwz · Отправлено: **22:36, 21-01-2014** | #15

Цитата AleckNW:

Создал тему про вирус »

Цитата AleckNW:

Вчера появилось опять. shellSD.exe. Касперский молчит »

Я такие вещи отсылаю или через Личный кабинет на сайте Касперского, или на newvirus[собака]kaspersky.com -- упаковав в архив с паролем virus (в сопроводиловке указать только признаки вирусной активности, либо вообще почему файл заинтересовал; при этом пароле файл сначала проходит автоматическую обработку; вроде бы желательно чтобы в теме письма упоминалось слово "троян").

Они принимают образчики подозрительных программ и от пользователей, не являющихся пользователями продуктов Касперского -- но если у вас есть там есть личный кабинет, тем более от фирмы, то обработка происходит быстрее (из практики: при отправке через личный кабинет бывает что уже через час зловред попадает в антивирусные базы -- при анонимной же отправке до суток не считая выходных).

Как-то раз отправил им анонимно дюжину подозрительных файлов, предположительно частей одного трояна -- оставив эти образцы у себя в отдельном каталоге. Половина файлов из этого каталога была почикана на следующий же день -- а остальные в итоге тоже были почиканы, но через месяц: периодически по одному-два. Возможно что при отправке через кабинет отнеслись бы повнимательней сразу.

AleckNW · Отправлено: **00:01, 22-01-2014** | #16

mwz, отправил на newvirus еще 18 января. Пришел автоответ These files are in process и все.
Личного кабинета нет, сервак не мой, я помогаю людям разобраться с ситуацией.

mwz · Отправлено: **01:00, 22-01-2014** | #17

Как правило, по результатам анализа приходит ответ: да или нет.
Ну а пока подождём, что скажут в теме по лечению.