[myhouse_1991]

Цитата skelet2394:

Тогда, вероятно, моя версия отпадает, хотя не полностью

Версия о том, что запускается поддельный explorer.exe? Вполне может быть - заразил explorer.exe вот он тебе и чужой. Хотя обычно любят внедрятся в него через какой-нибудь плагин для explorer.exe.

Needspeed
Также если есть загрузочный диск - используйте его и запустите сканеры, например Kaspersky Virus Removal Tool, CureIT, NOD32 On-Demand Scanner.

Или использовать жесткий вариант - переустановка Windows. Только проблема в том, что я не знаю, через что вы подхватили это, так что если дырка не будет закрыта - вы снова испытаете это на себе.

[pankraty]

myhouse_1991, Я посмотрел у меня этот exe-шный файл там и находится

Цитата myhouse_1991:

C:\WINDOWS\system32\lsass.exe »

Да и вообще какой тогда смысл отказывать себе во всем, собирать деньги на антивирус , чтобы он потом заразу всякую на компьютер запускал.

[xoxmodav]

Цитата pankraty:

Да и вообще какой тогда смысл отказывать себе во всем, собирать деньги на антивирус , чтобы он потом заразу всякую на компьютер запускал. »

Какой антивирус у тебя стоит? Обновлял его регулярно? Не баловался регулярным отключением самого антивируса или части его функционала?

Предлагаю также обратиться за помощью в раздел Лечение систем от вредоносных программ, в котором помогут проверить - насколько полноценно ты избавился от зловредов.

[myhouse_1991]

Цитата pankraty:

Я посмотрел у меня этот exe-шный файл там и находится

Так это сервис, он всегда есть. Просто никто не запрещает запустить lsass.exe из другой пути с тем же именем. Process Explorer может показать из какой директории он был запущен, но это работает если нет руткита (он может перехватить запрос и дать ложный результат) и вирусописатель не использовал трюки с переименованием папки.

[pankraty]

У меня Касперский 9.0.0.459 ,базы раз пять в день обновляет.xoxmodav, Вы лучше вот что

обьясните:я поставил IDM, скорость у меня очень маленькая : через USB - модем связь

идет,хотел чуть увеличить,начал скачивать и вижу что у меня все также осталось 20-30 Kb/s,

а в сеть фиг его знает куда что-то большие обьемы информации какой-то стали уходить. Я

удалил конечно от греха подальше этот загрузчик. Касперский ничего не заподозрил .Может

вопрос не по теме конечно но все же интересно было бы узнать ваше мнение?

[xoxmodav]

pankraty, надо было мониторить трафик, чтобы понять что откуда, куда, зачем и почему тянет.

Если я правильно понимаю, то IDM - это "Internet Download Manager", который далеко не бесплатный? Ставили триал-версию или "вылеченную"? Каким образом определили объёмы исходящего трафика?

[pankraty]

Я не знаю как мониторить.Версия "вылеченная" конечно. А узнал очень просто : вместе с модемом программа идет и там все показатели сколько ушло,сколько пришло. FDM легальный позже установил там нормально все.Но я не сказал что это в торенте происходило , может IDM интегрировался, и на радостях дул и нашим и вашим по максимуму.

[pankraty]

xoxmodav, Вы оказались правы Касперский кое-что все таки пропускает.Я на досуге решил почитать информацию которую вы

посоветовали.Про Cureit слышал давно от знакомого программера , вот решил опробировать и вот что имею вам сообщить : в

усиленном режиме он сразу обнаружил объект cmdcow.exe который сидел в C:\Windows\System32 , статус:Tool Process

Kill.18 ,также вывалилось сообщение что модифицирован какой-то файл Hosts мне это ничего не говорит ну раз нашел значит

надо ,предложил то ли поменять то ли восстановить

точно не помню, а тот cmdcow.exe я ничего ни придумал больше как его удалить.Cureit
распознал его как программу взлома(что это и насколько опасно?)

В карантине после ребута файл hosts и descript.ion, я в информатике ни силен но так понял что они связаны как-то. В связи с

вышеизложенным жду вашей оценки проведенных мной мероприятий.C уваженим pankraty,

[vvvyg]

Цитата pankraty:

в усиленном режиме он сразу обнаружил объект cmdcow.exe который сидел в C:\Windows\System32 , статус:Tool Process Kill.18 ,также вывалилось сообщение что модифицирован какой-то файл Hosts »

Ничего особо страшного CureIt! не обнаружил. cmdcow.exe - утилита для изменения/закрытия.убиения и т.п. окон программю Ей, конечно, могут воспользоваться зловреды, но они и сами неплохо справляются. Что касается hosts - CureIt! реагирует на любые записи в нём, кроме стандартной:

HTML код:

127.0.0.1    localhost

Покажите закарантиненый файл hosts, может в нем ничего страшного. В общем, Касперский вполне на уровне Вас защищает. Другое дело - от всей заразы не защитит никто, к сожалению...

[pankraty]

Как же не обнаружил батенька?

C:\WINDOWS\system32\cmdow.exe является программой взлома Tool.ProcessKill.18

Да и стал бы просто так я проверять, подозрения у меня были.

А файлик я не знаю чем его просмотреть. Сейчас запакую и приложу изучайте.

А про Kaspersky скажу: не надо забывать что у меня всего лишь обычная урезанная версия KAV

в KIS в половину больше оборона.