[Mike777]

Наконец-то по приезду дошли руки обновить патю. Неожиданно, сразу после установки, фаерволл выдал сообщение что некий процесс "13565" пытается получить доступ в инет. Так как это было после традиционных окошек с просьбами Пати о доступе в интернет, то это слегка насторожило. Полез искать это загадочное нечто. Оказалось что это "13565" лежит в системном каталоге system32, весит 7,5К и не имеет расширения. В доступе я ему отказал, после чего решил депнуть на Патю денежку. Открылось окошко моего ИЕ6.0 и... ЗАКРЫЛОСЬ!!!! Само! Я повторил процедуру. Закрывается! Отрыл about:blank, через 10 секунд окно схлопывается. Скачал последнюю базу к антивирусу avast!. Всё просканил. Не помогло, да и на эти файлы он не среагировал. :?
Решил посмотреть что висит в памяти, и.... по кнопкам Ctrl+Alt+Del в меня кинулось сообщение что "Диспетчер задач отключен администратором"!!! 8O При том, что я единственный юзер на своем компе. Винда ХР.

Решил загрузиться в Безопасном режиме. Диспетчер задач работает, ничего экстремального не висит, но ИЕ по-прежнему самопроизвольно закрывается, но уже с ошибкой 0хс000007b в iedw.exe.

Вопрос: что это и как это побороть?

ЗЫ РАН, кстати, 1.15i не хочет нормально отображать статы на игроков в кэше. Руки импортируются нормально, в СнГ проблем нет. Вопрос тот же: где копать?

[Профи]

Поиск в Яндексе по названию "13565" ничего не дает, значит оно само генерит себе такое имя. Если есть возможность восстановить образ системы, то лучше это сделать. System Restore скорее всего не поможет, т.к. ты не знаешь, когда это проникло в систему, да и оно могло себя внести в какой-нибудь список, чтобы System Restore ее не вычищал. Если возможности восстановить систему нет, то я бы ее переставил, т.к. всегда может оказаться, что это только одна видимая часть, а что-то еще осталось незамеченным. На будущее могу посоветовать:
а) никогда не работать, не читать почту, не ходить в интернет под пользователем с администраторскими правами. В system32 мог что-то записать только вирус/троян, работающий с правами администратора;
б) иметь образ системы с максимумом используемых тобой программ, с которого систему можно будет быстро восстановить (10-15 минут). Для этой цели вероятно придется иметь отдельный диск (D для документов, бэкапа покерных заметок и прочих мелочей, чтобы в критический момент не париться с их спасением, а просто скопировать туда с C: недостающее этого типа и восстановить старый системный диск C: из образа, а диск с документами останется незатронутым. Потом после достановки нужных программ на C: нужные файлы с D: можно будет вернуть на место.

[Gnome]

в)
если нет образа, можно делать так:
стоит у тебя винда на диске С, если с ней что-то случилось, то ставим ещё одну на диск D, когда опять что-то случится, то на Е ставишь итд, этот способ удобен тем, что ты ничего не удаляешь и имеешь доступ к старой, пусть и убитой винде, а так же всему тому, что там было, типа кошельков вебмани с ключами итд.

по конкретному случаю, я рекомендую как можно быстрее сделать или пункт б или пункт в, после чего на всякий случай сменить все важные пароли, там от покеррумов, платёжных систем, icq итд, потому что вдург это ты трояна поймал

[Профи]

Сейчас весь алфавит переберем г) очень нужно ставить последние заплатки на Windows и IE - т.е. иметь включенным автоматическое обновление. Обычно важные заплатки выходят каждую неделю, иногда и чаще. Прямо сейчас это для тебя не актуально, но когда справишься с проблемой, то нужно не забыть этот пункт.

[Mike777]

Т.е. сейчас кроме снести всё/поставить всё заново вариантов нет? Или есть возможность "мягкой перестановки" без "формат цэ комплит"? Просто волосы на голове шевелятся от ужаса как представлю, сколько всего переставлять.

[Gudini]

вероятно троян это
1)смотри рееестр что грузит у тебя винда при запуске
Run и Run once

2)найди все связанное с эти файлом

3)если есть откат откатись на месяц назад и глянь что будет с виндой

[Gnome]

Цитата:

Сообщение от Mike писал чт, 23 ноября 2006 19:09

Т.е. сейчас кроме снести всё/поставить всё заново вариантов нет? Или есть возможность "мягкой перестановки" без "формат цэ комплит"? Просто волосы на голове шевелятся от ужаса как представлю, сколько всего переставлять.

у тебя диски на компе разбиты? или у тебя там только С?

[Mike777]

Цитата:

Сообщение от Gudini писал чт, 23 ноября 2006 20:40

1)смотри рееестр что грузит у тебя винда при запуске
Run и Run once

Чисто. Ничего подозрительного.

Цитата:

Сообщение от Цитата:

у тебя диски на компе разбиты? или у тебя там только С?

Разбиты на 3. Винда на С.

[Профи]

Цитата:

Сообщение от Mike писал пт, 24 ноября 2006 09:25

Цитата:

Чисто. Ничего подозрительного.

Ничего в Current User (HKCU), в Local Machine (HKLM), в Autostart Главного меню, ...? Есть хорошая утилита от Sysinternals, показывает эти места и еще кучу других мест, где может быть прописан автозапуск (я очень удивился, когда увидел, сколько их - пара десятков точно, правда большинство обычно не зайдействовано). Sysinternals недавно купил Microsoft, поэтому прога теперь лежит на их сайте:
[Зарегистрироваться?] uns.mspx
Если что - прямо из нее можно отключить или грохнуть подозрительный объект.

[Mike777]

Знаю. Ей и смотрел. Ибо msconfig оказался куцеватым в этом плане. Если есть спецы - могу дать отчет (из File --> Save as).

PS Разрешил сам себе Диспетчер Задач. Пока работает.