Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Решено | перестал работать FAR, NORTON.. (http://forum.oszone.net/showthread.php?t=64711)

mash_ 21-04-2006 09:45 430282
перестал работать FAR, NORTON..
 
перестал работать FAR, Norton Commander

запустила случайно один файл - и перестали работать FAR , NORTON, в панели задач постоянно мелькает чтото типа сообщения c:\winnt\sistem32.. - нельзя точно разобрать, быстро мелькает.
-----------------------------------
Злополучный файл наз-ся mult.exe, весит 17,6 кб, посмотрела блокнотом, начинается так:
MZRar! SFX PE L FSG! а ЏЃ  * 6 T
......
заканчивается так:
9~$ Њ$ LoadLibraryA GetProcAddress
-----------------------------------
У меня Виндоуз2000
В безопасном режиме все нормально с 15 процессами, но я не могу разобраться, какие процессы мешают в обычном режиме с 30 процессами..

Blast 21-04-2006 09:47 430284
mash_
Содержимое файлов config.nt и autoexec.nt (лежать в system32) покажите + список процессов в памяти при нормальной загрузке

mash_ 21-04-2006 10:48 430309
Вложений: 1
autoexec.nt:

@echo off
lh %SystemRoot%\system32\mscdexnt.exe
lh %SystemRoot%\system32\redir
lh %SystemRoot%\system32\dosx

path c:\foxsreda

set TEMP=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\Local Settings\Temp
set TMP=C:\TMP

D:\install\DRIVERS\KEYRUS
-------------
config.nt:

dos=high, umb
device=%SystemRoot%\system32\himem.sys
files=60
--------------------
вроде эти файлы не поменялись, они уже у меня года 3 такие...
Процессы при обычной загрузке смогла только в виде картинки сохранить.

ShaddyR 21-04-2006 11:00 430315
с ума сойти... а зачем так много всякого в конфигурационных файлах?
В процессах вроде ничего слишком лишнего нет... Разве что Promon.exe
Попробуй, предварительно сохранив оба конф. файла в другую папочку, очистить их содержимое и перезагрузить машину.

mash_ 21-04-2006 11:15 430324
оказывается, это троян((
http://forum.exler.ru/index.php?show...=0&hle=8581029
теперь бы избавиться от него... (((

ShaddyR 21-04-2006 11:30 430332
отлично)
В смысле, плохо, что, что есть троян, но хорошо, что он найден.
Попробуй найти его физическое месторасположение на ж.д. и в безопасном режиме удалить его оттуда.

Blast 21-04-2006 13:39 430377
ну не знаю, по хорошему ни promon.exe ни csrss.exe не являются изначально вредносными программами, конечно только в том случае если они запускаются из system32 и ниоткуда больше
Первый есть процессом Intel Pro NIC Console, а второй Microsoft Client/Server Runtime Server Subsystem
Не исключено, что троян использует то же имя файла как это нередко бывает, то есть просто необходимо пролечиться антивирусом + антишпионом с последними сигнатурами.
mash_
и мой вам совет: избавьтесь от касперского версии 4.5 в пользу 5.0.* (последний релиз 5.0.527 в случае с Personal)

mash_ 22-04-2006 11:39 430657
да, поставила касперского 5 с последними базами и он сразу определил трояна в c:\winnt\csrss.exe
Всем спасибо за помощь и советы. :))

Blast 22-04-2006 12:05 430664
mash_
мои поздравления :)
надеюсь вас не затруднит отметить тему решенной - нав. меню Настройки темы -> Отметить решенной


Время: 14:37.

Время: 14:37.
© OSzone.net 2001-