24.09.2018, 07:46 [+3 UTC]
в нашей команде: 2 973 чел. | участники онлайн: 2 (рекорд: 21)

:: РЕГИСТРАЦИЯ

:: задать вопрос

:: все разделы

:: правила

:: новости

:: участники

:: доска почёта

:: форум

:: блоги

:: поиск

:: статистика

:: наш журнал

:: наши встречи

:: наша галерея

:: отзывы о нас

:: поддержка

:: руководство

Версия системы:
7.50 (13.09.2018)

Общие новости:
13.04.2018, 10:33

Форум:
21.09.2018, 12:18

Последний вопрос:
23.09.2018, 21:57

Последний ответ:
24.09.2018, 06:27

Последняя рассылка:
23.09.2018, 18:15

Писем в очереди:
0

Мы в соцсетях:

Наша кнопка:

RFpro.ru - здесь вам помогут!

Отзывы о нас:
02.04.2010, 10:53 »
Лысенков Антон Анатольевич
Спасибо, вроде ясно... [вопрос № 177603, ответ № 260529]
13.01.2010, 06:40 »
Arkadiy
Спасибо Евгений за направление в поиске, буду искать [вопрос № 176005, ответ № 258571]

РАЗДЕЛ • Другие программы

Установка, настройка и работа в компьютерных программах.

[администратор рассылки: Цикалов Игорь Константинович (Модератор)]

Лучшие эксперты в этом разделе

FOXhunter
Статус: Профессионал
Рейтинг: 44
Valery N
Статус: Мастер-Эксперт
Рейтинг: 43
Sergey V. Gornostaev
Статус: Специалист
Рейтинг: 33

Перейти к консультации №:
 

Консультация онлайн # 140226
Раздел: • Другие программы
Автор вопроса: Шифман Яков Ильич
Отправлена: 18.07.2008, 20:07
Поступило ответов: 0

Уважаемые эксперты, пожалуйста подскажите.
Я включил Process Explorer и обнаружил среди прочих следующую строку:
Process: sp_rsser.exe
Description: Spyware Terminator Realtime Shielder Service
Company: Name: Crawler.com

Программу Spyware Terminator я не ставил. У меня Win XP SP2 Pro со всеми последними заплатками.
Что мне с этим процессом делать, убивать или оставлять?
Заранее благодарю.

Состояние: Консультация закрыта

Oтветов пока не поступило.

Мини-форум консультации № 140226

Посетитель

ID: 120136

# 1

= общий = | 18.07.2008, 20:21 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Включите поиск на компьютере (Пуск-поиск) и ищите файл wincom32.sys. Сообщите результат. У Вас явно троян, типа BackDoor.Groan. Если это так, то "убивать" процесс бесполезно. Неблагодарное это занятие.


Посетитель

ID: 178842

# 2

= общий = | 18.07.2008, 20:36 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

wincom32.sys у меня нет, поиск не дал результатов.


Посетитель

ID: 120136

# 3

= общий = | 18.07.2008, 20:44 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

На всякий случай ознакомьтесь. В длинном списке найдете свой процесс sp_rsser.exe. А также поймете почему я спросил насчет wimcom32.sys. Для подстраховки не мешало-бы выполнить рекомендации. Буду признателен, если сообщите результат.

PsySex
Профессионал

ID: 848

# 4

= общий = | 18.07.2008, 21:58 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

2 Janpit
В приведенном вашей сцылке говорится, что BackDoor.Groan блокирует sp_rsser.exe
>>для блокировки запуска файлов, принадлежащих различным производителям антивирусной и других средств защиты
Т.е. никаким образом не связан с возможным существованием BackDoor.Groan в системе:-)
==========
2 Шифман Яков Ильич
Возможно кто-то установил без вас. Скорее всего можете найти данное ПО в разделе "Установка и удаление программ". Оставить его или удалить(Spyware Terminator) это решать вам насколько он вам полезен:-)


Посетитель

ID: 178842

# 5

= общий = | 18.07.2008, 22:54 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Записи HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswincom32 в моем ситемном риестре нет.
На моей машине стоит DrWeb и непрерывно сканирует, и я провел ещё полную прверку.
Кроме меня никто к моему компу не подходит и ничего не стовит. в " Установка и удаление программ" программы Spyware Terminator нет.
ЧТО ЖЕ МНЕ ДЕЛАТЬ С ЭТИМ ПРОЦЕССОМ?

PsySex
Профессионал

ID: 848

# 6

= общий = | 18.07.2008, 23:11 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

откуда(путь) запущен процесс?


Посетитель

ID: 178842

# 7

= общий = | 18.07.2008, 23:18 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

как увидеть путь?

PsySex
Профессионал

ID: 848

# 8

= общий = | 18.07.2008, 23:23 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

дважды кликните на процессе в Process Explorer :-)


Посетитель

ID: 178842

# 9

= общий = | 19.07.2008, 00:08 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Путь, если я правильно понял:
Path: C:DOCUME~1JSLOCALS~1TempRarSFX0sp_rsser.exe
Command line: C:DOCUME~1JSLOCALS~1TempRarSFX0sp_rsser.exe
Current directori: C:WINDOWSsystem32


Посетитель

ID: 178842

# 10

= общий = | 19.07.2008, 00:10 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Путь, если я правильно понял:
Path: C:DOCUME~1JSLOCALS~1TempRarSFX0sp_rsser.exe
Command line: C:DOCUME~1JSLOCALS~1TempRarSFX0sp_rsser.exe
Current directori: C:WINDOWSsystem32

deepTeNk
Мастер-Эксперт

ID: 5157

# 11

= общий = | 19.07.2008, 02:44 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

99,9 % - это вредоносная программа, по версии http://www.symantec.com - Trojan.Virantix.B.

© Цитата:
У меня Win XP SP2 Pro со всеми последними заплатками.
последняя заплатка - это SP3!

=====
Детям в интернет нельзя, интернет от них тупеет

PsySex
Профессионал

ID: 848

# 12

= общий = | 19.07.2008, 08:36 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

2 deepTeNk
Прочитайте более внимательно описание!!!!! Там ни слова не написано что данный троян живет с именем sp_rsser.exe в системе!!! Длинный список в котором упоминается это имя файла - это список файлов запуск которых будет блокироваться.
=====
2 Шифман Яков Ильич
Не могу вам объяснить почему данный файл запускается из той директории, а точнее что он там делает вообще:-) Папка RarSFX0 создается при запуске SFX RAR архива, и при временной распаковке архива, скорее всего по сценарию, был запущен sp_rsser.exe, который прописался в автозагрузку. Временная директория не была удалена по окончанию работы самораспаковывающего модуля по причине запущенного sp_rsser.exe.
Вообщем рекомендации следующие.
1.Убиваете процесс в памяти.
2. Заходите в папку C:\Documents and Settings\JS\Local Settings\Temp в ней находите папку RarSFX0 и удаляете ее. По идее она должна удалиться без проблем. Чтоб увидеть папки возможно придется включить отображение скрытых файлов и папок.
3. Запустить утилиту msconfig, на вкладке Автозагрузка снять галочку с sp_rsser.exe
=====
Если папка не удаляется, то проделать тоже самое загрузившись в безопасном режиме.
Если sp_rsser.exe отсутствует в списке автозагрузки значит запуск происходит по другому принципу.


Посетитель

ID: 178842

# 13

= общий = | 19.07.2008, 08:54 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

В каких сценариях (нужных и ненужных) участвует процесс sp_rsser.exe .
В автозагрузке он отсутствует.

PsySex
Профессионал

ID: 848

# 14

= общий = | 19.07.2008, 09:00 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Слово "сценарий" я относил к SFX архиву - сценарий распаковки:-)
Вполне возможно что sp_rsser.exe запускается как служба.
Посмотрите на вкладке Службы утилты msconfig. Там имя ехе не указано, но посмотрите че нить связанное с Crawler.com или Spyware Terminator.


Посетитель

ID: 178842

# 15

= общий = | 19.07.2008, 09:09 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Нашел имя процесса-родителя: C:WINDOWSsystem32services.exe
В службах он есть: работает
Программа Spyware Process Detector обозначает его, как подозрительный.


Посетитель

ID: 178842

# 16

= общий = | 19.07.2008, 09:15 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Тип запуска службы: АВТО

PsySex
Профессионал

ID: 848

# 17

= общий = | 19.07.2008, 09:17 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Родительский процесс не трогайте.
Вообщем останавливаете службу и удаляете его физически с диска. Наверна так....
Сделайте тип запуска -отключен.


Посетитель

ID: 178842

# 18

= общий = | 19.07.2008, 09:34 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

но что это еще может повлиять?


Посетитель

ID: 178842

# 19

= общий = | 19.07.2008, 09:38 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

не очень уверенный ответ, не хочется испортить Вин, т.к. я сам не смогу восстановить.

PsySex
Профессионал

ID: 848

# 20

= общий = | 19.07.2008, 09:44 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

>>но что это еще может повлиять?
Ни на что. Только что данная служба будет остановлена. И удалена из автозапуска. А также удалена с диска - т.к. запуск ее все равно отключен.


Посетитель

ID: 120136

# 21

= общий = | 19.07.2008, 12:08 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

to Шифман Яков Ильич
Я тоже живой человек и, несмотря ни на что, могу ошибаться, да и - в конце-концов - имею на это право . Меня его никто не лишал.
Если Вы его (Path: C:DOCUME~1JSLOCALS~1TempRarSFX0sp_rsser.exe) еще не удалили, то могу посоветовать либо воспользоваться сторонними сканерами, типа AVZ (документация), либо подключить свой винчестер к другому ПК с хорошим антивирусом и свежими базами и проверить. Еще вариант: отправить копию файла на онлайновый сервис virustotal, где файл будет проверен 32-мя антивирусами и дано заключение. Если верите только DrWeb, то отправьте им для анализа.

deepTeNk
Мастер-Эксперт

ID: 5157

# 22

= общий = | 19.07.2008, 14:00 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

© Цитата:
Прочитайте более внимательно описание!!!!!

Согласен, smile
© Цитата: Janpit
несмотря ни на что, могу ошибаться, да и - в конце-концов - имею на это право

=====
Детям в интернет нельзя, интернет от них тупеет

deepTeNk
Мастер-Эксперт

ID: 5157

# 23

= общий = | 19.07.2008, 14:04 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

to Шифман Яков Ильич:
а можно мне этот файлик на почту (deepTeNk@rusfaq.ru) сбросить? smile "sp_rsser.exe" - посмотрим, что за "оно".

=====
Детям в интернет нельзя, интернет от них тупеет


Посетитель

ID: 48029

# 24

= общий = | 19.07.2008, 21:30 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

deepTeNk, spywareterminator.com.


Посетитель

ID: 120136

# 25

= общий = | 19.07.2008, 21:44 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

skrech
Спасибо. На форуме нашел и ответ. (и Здесь>>
RESPECT.
Значит вопрошающему ее кто-то поставил (запустил) без его ведома...


Посетитель

ID: 178842

# 26

= общий = | 19.07.2008, 23:09 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Ну не стоит у меня этой программы.
В " установка и удалениу программ " ее нет . ГДЕ ЕЩЕ ЕЕ НАЙТИ?


Посетитель

ID: 178842

# 27

= общий = | 19.07.2008, 23:21 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

При помощи Win Tools Net Pro сделал поиск в риестре на предмет Spyware Terminator, и он нашел 11 подключей (data, subkey), у которых в графе "Данные" стоит Spyware Terminator Realtime Shielder Service.
Что сними делать? Можно ли удалять все или это опасно?


Посетитель

ID: 178842

# 28

= общий = | 19.07.2008, 23:27 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Забыл. Эти ключи есте в разделе Software , System и ещё начинаются с S-1-5-21-1708537768- ...


Посетитель

ID: 178842

# 29

= общий = | 19.07.2008, 23:39 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Допустим эта программа Spyware Terminator стояла и потом была деинсталирована. Тогд как бороться с последствиями и остатками?


Посетитель

ID: 120136

# 30

= общий = | 20.07.2008, 00:11 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Лично я с ней незнаком. И согласен с мнением drongo >>, просмотрев несколько сайтов и форумов. Но это - мое личное мнение и я его никому не навязываю. Здесь >> - русский форум, можете поискать.
По логике

© Цитата:
Допустим эта программа Spyware Terminator стояла и потом была деинсталирована.

если такое было, то предположительно деинсталляция была некорректна. В таких случаях обычно ставят программу снова и правильно удаляют. Если в "Установке и удалении программ" ее нет (я ее не знаю), то возможен вариант, когда ее собственный деинсталлятор появится в момент новой установки (будут пункты по типу: установить, исправить, удалить).
Ну а при правильном удалении "остатков" быть просто не должно. Во всяком случае это играет далеко не в пользу создателей (говорит о ее качестве, раз остаются непредусмотренные "хвосты")

deepTeNk
Мастер-Эксперт

ID: 5157

# 31

= общий = | 20.07.2008, 01:20 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Антивирусная лаб. Касперского (отослал им файл) в нем ничего страшного не нашла...

=====
Детям в интернет нельзя, интернет от них тупеет


Посетитель

ID: 178842

# 32

= общий = | 20.07.2008, 10:37 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

А что же делать с риестром, о чем я спрашивал выше.


Посетитель

ID: 178842

# 33

= общий = | 20.07.2008, 11:07 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

ОТключил службу Spyware Terminator, процесс пропал. Может быть кто-нибудь посоветует, что же делать с ключами реестра, которые судя по названию к нему относятся.

Нашел на компе дистрибутив Spyware Terminator_portable, но я его не запускал, кажется.

PsySex
Профессионал

ID: 848

# 34

= общий = | 20.07.2008, 11:23 | цитировать цитировать  | профиль профиль  |  отправить письмо в личную почту пейджер

Можно даже вообще ничего не делать....На работу компьютера наличие этих ключей не повлияет.
>>Нашел на компе дистрибутив Spyware Terminator_portable, но я его не запускал
:-))

 

Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Яндекс Rambler's Top100

главная страница | поддержка | задать вопрос

Время генерирования страницы: 0.17452 сек.

© 2001-2018, Портал RFPRO.RU, Россия
Калашников О.А.  |  Гладенюк А.Г.
Версия системы: 7.50 от 13.09.2018