В общем-то уже известная проблема. Нод с последним обновлением не берет эту дрянь. Пробовал выкорчевывать ее руками в безопастном режиме, фиксил реестр (тоже ручками), но по-видимому я перебираю не все места, где она может прятаться, т.к. рано или поздно она все равно появляется.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Карантин отправил. Автозагрузку чистил руками, но перед тем как написать сюда, скачал Хиджак и пофиксил им еще пару строчек.(там же много мест, куда можно прописать себя для автозапуска). Автозапуск флешек и сд-ром отключил. У меня еще вопрос - где можно взять заплатки для sp3? (может кто знает точные линки)
вот еще один момент - я почитал форумы касперского, там не меньше народу с такой же проблемой. Интересно, что большинство из них использует беспроводный usb-модем, и проблема возникает как раз при подключении. У меня модем скай-линк usb. Комп может работать пол дня нормально, но как только подключаюсь к интернет - в течении 5 минут сброс даты и т.д. Может модем и не при чем, но чувствуется что активное подключение как-то "активизирует" вирус.
Добавлено через 8 часов 28 минут
Судя по всему я решил проблему. На всякий случай опишу как я это сделал, вдруг кому будет полезно, т.к. пока этого вируса нет ни в одной антивирусной базе, насколько я знаю.
1. Скачал и записал на диск EPD Commander 2005 (один из вариантов аппаратно независимой винды с набором полезных инструментов), естественно загрузился с этого диска.
2. Пофиксил реестр. В regedit (прилагается к EPD) Правка/Найти, удалял все ключи, ссылающиеся на mwau, spuo, spge, system.exe (кроме HKLM\.....\winlogon, там строчку со ссылкой на userinit.exe оставить, остальное вытереть). Помимо этого в HKU\default\software\microsoft\windows\shellnoroam прописываются файлы sysmgr, xxx.exe (где ххх - произвольный набор цифр). Эти ключи я тоже удалил. (возможно, что они еще где-то прячутся)
3. Провел чистку. На всех разделах очистил папки Recycled (Recycler), System Volume Information. Затем конкретно в разделе, на котором стоит винда: в папке documents and settings\admin\local settings почистил папку Temp и Temporary Internet Files (и так для каждой учетной записи). Очистил папку windows\temp. В папке windows\system32 удалил system.exe, sysmgr.exe и ххх.exe (где ххх - произвольный набор цифр). На флешках могут находиться файлы autorun.inf и папка Restore, их тоже следует удалить, иначе вирус опять перепрыгнет на комп.
4. Загрузил винду с диска C:\ и скачал последние обновления Windows, касающиеся безопасности (около 24 Мб). Тем, у кого еще SP2, рекомендуют сначала обновиться до SP3, потом ставить заплатки. Вот собственно и все.
Часть инфы взята с форумов Dr.Web.
P.S. Судя по инфе, которую я прочитал здесь, а также на форумах Касперского и Др.Веб, в некоторых случаях вирус проявляет себя иначе, т.е. помимо system32 лезет еще и в system32\drivers и т.д., но основа одна и та же.
Последний раз редактировалось Rene-gad; 01.03.2009 в 11:52.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: