Подскажите, сегодня обратил внимание - закрываются окна notepad, powershell
фокус потерял с него, в броузере пишешь и опа - окошка нет.
Вирус ? OfficeScan запущен без возможности выгрузить...

(0) Инопланетяне!!!

из процессов тоже пропадают?

(1) это фантастика! =)

Alt+F4 может зажат книгой Хрусталевой :)

браузер, видимо, тоже закрылся

удаленное управление? :)

Посмотрика в папке Application Data в катиалоге пользователя. Есть exe-ки?

sky.NET  пришел
http://demotivators.ru/media/posters/469862_microsoft-kupila-skype.jpg

1)Панель Управления- Администрирование- Просмотр событий.
2)Почистите:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
3) РЕГ-файл (для отмены автозапуска флэш и комп. диска):
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=-
"NoDriveAutoRun"=-

4)Похоже, что у Вас трояны runauto.. (папки , а также файлы autorun.inf)

(9)+ Настройка служб

А ни у кого в последнее время не было попыток заражения компом вирусами которые включают удаленное управление

(9) от куда у тебя такие шаблоны?

(12) из инета, вестимо

(12) У меня всё протоколируется по файлам, если проблемы удается решить. Всё записываю:Что и КАК ...

(13) Плюс учебники

(9)это все AVZ умеет делать

(16) Или Касперский

(17)восстанавливать ключи реестра?

(18) ну вроде бы в 2011 добавили, не прошло и 10 лет :-)

Мне вот вовсе непонятно, откуда берутся вирусы???
И зачем антивирусы ставить, от которых потом одни проблемы:)

У меня на компе все службы левые(аля сервер) отключены, работаю в нете через прокси, ничего нового не инсталю на рабочий комп уже давно, автораны все отключены, работаю не под админом, откуда может взяться вирус???

"работаю не под админом" - ИМХО это главное

(21) при дырявой оси - нет

(21) +100, то сразу вопрос и ответ на (0), как комп один раз настроишь так он и "полетит"

(22)XP дырявая?

(0) комп болеет

где же автор

Переустанавливает/восстанавливает ось)

антивирусом пройтись и ручками

(27)Это последнее что надо делать в таких случаях.
Хотя есть "специалисты" переустанавливающие винду раз в квартал

(6) его тоже закрыли, сразу после блокнота )

(30) к (26)

Установил новый catalyst пока не закрывается

(32) А этот тут при чём?

(33) ну, мало ли. у меня на новом компе кривые дрова от нвидии периодически валили систему в БСОД. качнул новую версию, поставил - уже 1,5 мес без инцидентов

(33) а в логах каталюста было много ошибок

Вот зараза - пока ходил, notepad закрылся в процессах нету

Анализатор - изучается процесс 3672 C:\WINDOWS\TEMP\KK28FA.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке

Анализатор - изучается процесс 3352 C:\WINDOWS\System32\dmadmin.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!

Анализатор - изучается процесс 3528 C:\WINDOWS\system32\wbem\wmiapsrv.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке

Анализатор - изучается процесс 3432 C:\WINDOWS\System32\vssvc.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!

какие то подозрительные процессы

Анализатор - изучается процесс 3040 C:\WINDOWS\system32\tlntsvr.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!

Анализатор - изучается процесс 1180 C:\WINDOWS\system32\netdde.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты, применяемые протоколом HTTP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?

это чьи логи?

подозрительный тут только C:\WINDOWS\TEMP\KK28FA.EXE
(если конечно не подменены сист файлы)

а вот что это за анализатор такой, который про системные файлы не в курсе?

AVZ4 свежий

вот из журнала:
Регистрация сервера {29131401-2EED-1069-BF5D-00DD011186B7} DCOM не прошла за отведенное время ожидания.

(47) поищи в реестре, какая длл-ка соответствует этому интерфейсу
(46) а, это ты на нём анализатор процессов запустил?

(48) Полное сканирование делаю

C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\devenv.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
Файл успешно помещен в карантин (C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\devenv.com)

(47) C:\Program Files\lotus\notes\notes.exe /Automation

на (7) ответь

KK28FA.EXE смотрел?

а вообще, можешь полный лог сохранить и выложить

и всё-таки какой режим сканирования ты запускаешь, у меня avz не ругается на упомянутые системные файлы

и какой уровень эвристики ставишь?

и кстати, какая ось?

WinXP
уровень эвристики максимальный
щас кстати несколько раз в перезагруз ушел
на ati ругается синий экран смерти

в порядке лазарета:

попробуй вообще снеси дрова для ати, поработай децл  на стандартных виндовых, посмотри, как будет.

и как с (53)?

не иначе кнопка Esc запала )))

Теперь AX982A.EXE
Анализатор - изучается процесс 3916 C:\WINDOWS\TEMP\AX982A.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
OfcDog Application
Trend Micro Common Client

(60) на него есть ссылки в реестре? зазипь его с паролем и выложи куда-нить, позырим

(60) на virustotal.com залить и проверить что за зверь.

File name: YIC613.EXE
Submission date: 2011-05-18 08:46:43 (UTC)
Current status: finished
Result: 0 /41 (0.0%)

Мож автокликер какой?:)

Что такое автокликер и где он есть ?

ищи несуществующий файл в систем32\дриверс, увидишь тока из консоли восстановления

(66)Как можно искать несуществующий файл ? его же нет...

(67) он хотел сказать: невидимый. стелс в смысле. можно с ERD загрузиться и попробовать посмотреть, или курит запустить

(68) не совсем, или совсем не
это дривер файловой системы, включенный в "основной", очень прекрасно сделанный вирус

(69) разверни, плз

пока сталкивался только с гадами, которые заражают собой драйвер, при этом при обычном просмотре делая его "оригинальным" или просто тупо блокируя доступ к нему, или гадами, представляющими собой драйвер, при этом ни в реестре, ни в sys32\drivers не видимого

(0) вирь от миронова

(70) это системная не выгружаемая служба связывается с драйвером файловой системы (так скажем расширяем) - выгрузка ее приведет к краху системы, соответственно она управляет всей файловой системой, антивирусы в лучшем случае могут зреть ее в памяти, но и тут не смогут ее выгрузить.
(По сути почти так же как и ты описал)

+ в контексте (72) "системная не выгружаемая служба" == системный драйвер

(72) ну файлец-то гада при чистой загрузке виден? или где-то в служ области диска хранится?

конечно не факт, что у атора оно и есть, но проверить не сложно - листинг содержимого дриверс и листинг из под консоли восстановления или еще из какого ерд/лайвСД

(74) нет, он обычный файлик, и наличиствует при загрузке из вне

(0) ну чо? победил?

Ааа...понял - надо с линукса загрузиться и посмотреть...

Запустил DRWEB USB
нашел Win32.expiro.22
щас дальше ищем.
Микротренд офисный ничерта не нашел

(79) в какой папке? в drivers?

(80) Не, пока тефайлы  с которыми работал
rar и 7zip в основном
возможно правда эти файлы уже были заражены, когда я их с сервера тянул

(81) т.е. именно вирус, а не троян. понятно

щас самое главное - шобы файлы после лечения не подпортились, а то систему придётся переустанавливать

(82) Матово....Очень матово. Мне систему переустанавливать никак нельзя!

(83) не молчи! жив?

(84) До конца не долечил, но винда загрузилась.
Щас поработаю и опять запущу сканирование

доступ давай

Щас видно базы обновили - теперь и микротренд нашел ругаться
ругается на все системные файлы
и винда постоянно пытается их восстановить из дистрибутива
:)

Щас отключаю восстановление системы на всех дисках
1С зараза не запускается

(87) не факт, что из-за обновления. просто вирус наверно стелсился

В общем полное сканирование вылечило комп.
Все работает вроде

(90) молодец. а теперь самое время поставить нормальный антивирь с файрволом. и накатить все хотфиксы на ось

А еще буквально сегодня одна штука пробегала: Shadow Defender называется. Говорят, антивирь с ней не нужен. Работает по типу Deep Freeze: создает виртуальную копию защищенных областей и все изменения пишутся туда, а при перезагрузке просто забываются.

(92) бредовая фигня, админ один все ею (или подобным) пытался все проблемы решить

И?

самое надёжное - использовать "презерватив", т.е. виртуалку с линем, например, для небезопасного се... зачёркнуто. веб-сёрфинга

все фигня. Если надо вытащить ключи из кейгена с трояном, то приходится отключать корпоративный антивирус :)

(96) ставь виртуалку. и там запускай

(97) Не взлетит. Подумайте почему :)

А не, недостаточно данных для подумать.
Кейген находился в архиве на винте. Его почему то скопировало, но открыть не давало

100%