Адавары эти всякие... посредственные... качай http://beam.to/spybotsd и будет тебе щасте!

Ответить

da i spybod s & d est`, i on ne pomogaet tozhe

Ответить

Ну, начнем с того, что:

csrss.exe - Client/Server Runtime Server Subsystem (Windows client server run-time subsystem handles Windows and graphics functions for all subsystems.)

services.exe - Windows Service Controller (Application that is used only in Windows NT 4, 2000, and XP for starting, stopping, and interacting with system services.)

smss.exe - Session Manager Subsystem (Application that is used to start, manage, and delete user sessions or client sessions under Terminal Server.)

То есть все это РОДНЫЕ службы винды. И, если ты в их чистоплотности не уверен, то пройдись по ним парой антивирей, и SpyBot'ом. Если они молчат - забей и спи спокойно.

Ответить

Если ты не уверен в их чистоплотности, сравни их с оригиналами в system32

Ответить

Ответить

аутоупдате. Мож он твои исходники в МС отправляет, может справку обновляет... может... короче ставь фаерволл

Ответить

2Sharp i User Unknown:

Oni vse tri OBSOLYUTNO NE TAKIE KAK V SYSTEM32!!!!!

plyus esli ya dazhe snimayu s nih atrbuty read-only, system , hidden, ili lyuboj iz nih, oni vozvrashayutsya na mesto!nu, ne veyu ya chto eto ot Windows'a! plyus oni zapuskayutsya ne kak SYSTEM process, a ot User's pod kotorym v Windows zaloginivayus`....

mda-a-a-a-a-a-a-a-a....nikto ne znaet vidimo che ono tako......da ische i papka takaya...

c:\winnt\system32\WWW

!!!!!!! nu etozh vopshe ne po MelkoMyagkomu......i ne odin antivirus ih ne beret. ladno, budut stavut` kogda systemu zanovo, togda i posmotim, postavit ono ih ili net, a to ne pomnyu chtob oni byli vmeste s Windows'om kogda ya ego stavil....

Da, kstati, sovsem zabyl!esli cherez AdAware6.0 smootret` kakie v nih moduli zapusheny, tak tam vo vsek 3'eh est MSVBVM60.dll!!!!!!!ved` eto uzhe nepravil`no, M$ ved` ne sdelal WinXP na VB6.0??????

ladno, ktoto eshe cheve nibud` znaet?

pasibki zaranee.

Ответить

> Oni vse tri OBSOLYUTNO NE TAKIE KAK V SYSTEM32!!!!!

Значит вирусы или трояны. Грохни папку, посмотри в процессах, в автозагрузке всяку гадость, грохни, в целях общего образования можешь посмотреть exeScope, что эти файлы импортируют. У моего соседа я, кажется, видел такую папку, а у него вирей всегда было выше крыши.

Ответить

2AASoft, 1)Попробуй загрузиться с другой системы или с дискеты. Если NTFS, то с прогой под дос для НТФС. Просто перенеси их куда-нить в папку, что бы в случае чего можно было восстановить. А на их место положи файлы с другой живой системы.

2)Ещё посмотри на свойства этих файлов. В них должна быть обязательно вкладка "Версия" и в ней: © Корпорация Майкрософт. Все права защищены. Ну или тоже самое на английском. Просто есть ещё вариант, что это какой-нить патч их заменил на более новые версии (поэтому они не совпадают).

3)А как они себя проявляют? То, что они запускаются не от имени системы - это тревожный признак, и молодец, что на это обратил внимание.Тут можно взять некоторые утилитки... например на нашем сайте лежат RegMon и FileMon. Если что-то они будут ковырять в интеренте, то можно поставить любой фаерволл, и посмотреть куда они лезут.

4) Засунуть эти файлы в зип и отправить на id@drweb.ru для анализа.

2Sharp,Честно говоря не могу поверить, что services может кто-то просто так переписать под себя... хотя, с недавно обнаженными кодами винды...кто знает?

Ответить

2UU: Лучше просто грохнуть Зачем переписывать сервисы? Просто сделать такое имя, чтобы в "Процессы" не грохнули. Полагаю, ни один патч не станет бэкапиться в папку с именем www, обычно МС-патчи бэкапятся в что-то типа $NtUninstallKB828035$.

А послать на id@drweb.ru - хорошая идея, я искал в вирусной энциклопедии Касперского, там про такое нету...

Ответить

ehh, bylo by vse tak prosto...odin ya iz nih udalit` smog vrode, dyk on cherex pol-sekundy na mesto vlez!!!vo kak!...shas poprobuyu na DrWeb ih otpravit`, posmotrim.....plyus oni DOS'ovskie!!!!!!

Ответить

Что значит ДОСовские? Рядом с ними pif-файлы лежат? Или ты считаешь, что если иконка в виде окошка, то это ДОС-приложение?!

Ответить

Самый простой способ определить, ДОСовское приложение или нет - посмотреть на стуб. Если в начале программы строка типа "This program cannot run in DOS mode" или "This program must be run under Win32" etc, значит под Винду. А вообще же, возьми FileMon, грохни эти файлы, а потом посмотри в логе, что за процесс его заново создал. Грохни процесс и его файл. И обязательно проверь автозагрузку

Ответить

2Sharp, хорошо, если ему удастся сделать так, как ты предложил... но вот у меня например недаве5ча на одном компе в конторе завелась бяка. Рекламная.. в общем ничего стршного, но вот только ресурсы кушает, да на рекламу пытается показывать где ни попадя. Да и вообще противно, согласись. Так вот эта дрянь мало того, что родны библиотечки переписала ip[чего-то там].dll и прочие, так эта дрянь сама прописалась как библиотека, и загружается на уровне системы. Причем ее выкурить было очень сложно, так как эта дрянь запускалась даже в безопасном режиме, и с периодичностью раз в 10-12 секунд обновляла реестр (сверялась со своей регистрацией), и запускала дочерние процессы (собсно рекламу). Руками я ее не победил, хотя точно знал, ЧТО надо делать. Просто не успевал перезагрузить комп, без того, что бы она снова не прописалась.Короче помог мне тогда только S&D.

Ответить

Есть вот такие идеи, мож помогут:

-грузи в безопасном режиме и стерай

-удаляй в досе

-сотри их из авторана, хотя вряд ли этот метод покатит, но всё же

Ответить