На машине стоял NOD32. Компьютер вдруг начал при загрузке самопроизвольно перезагружатся после окна приветствия Windows.
На данный момент проблемка следующая: в C:\WINDOWS\TEMP\ появляются файлы вида 1.tmp, 2.tmp ... A.tmp... 1.sys 2.sys ... A.sys...
После долгих манипуляций (до того как перенакатили ОС) , система, начала загружатсья с ошибкой файла winlogon.exe, типа, "...память не может быть read...". После перезаливки ОС система почти постоянно вываливает синий экран с дампом памяти с сылкой на один из вышеупомянутых sys-файлов. Кроме всего в процессах постоянно появляется и пропадает парочка запущеных IEXPLORE.EXE при этом растет размер занимаемой памяти файлом winlogon.exe. Через некоторое время загрузка процессора под 100 (пока файл IEXPLORE.EXE был перемещен со своего родного места, тем самым решается проблема загрузки процессора, и можно хоть что-то сделать с системой). Дальше, в корне папки WINDOWS появляется файл T.sys (пока подменен пустым текстовым файлом с атрибутом только для чтения). После проведения пунткта 9 правил, перед этим добившись, чтоб система таки загрузилась, опять имеем синий экран.
После этого для загрузке в обычном режиме приходится в Безопасном Web'ом и руками удалить файлы *.sys *.tmp из папки C:\WINDOWS\TEMP и AVZ почистить кеш.
Много чего делалось. Пока ничего больше умного в голову не пришло.
Заранее благодарю.
З.Ы. При удачной загрузке поставили Каспера 7 персонал. Он именно эти файлы сис и тмп и окрестил Backdoor.Win32.IRCBot.csk, DrWEB же файлы опозноет как Trojan.EmailSpy.133 и 137. Так вот Каспер, после пары попыток вылечить файлы, просто выгрузился.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Большое спасибо. Подсказку нашел http://virusinfo.info/showthread.php...light=SpamTool.
Все стало на свои места. Единственное, папка Settings с файлами arm32.dll и arm64.dll лежала прямо в корне диска С. Я ее принимал как файлы програмки бухучета АРМ, а зря. После удаления папки смог вернуть IEXPLORE.EXE на место. СИС и ТМП файлы больше самопроизвольно не пладились. Файл Т.sys тоже не восстанавливался.
Фалов же
C:\WINDOWS\System32\Drivers\Ryf84.sys С:\WINDOWS\System32\Drivers\Lrw06.sys
нет. Скрипт не выполнял.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: