Вообщем пока я ходил ту машину уже увалили, но имеется ещё один потерпевший и ситуация там на момент моего прихода была следующая: местные "хакеры" восстановили защищённый режим, пролечили в нём всё CureIt-ом, а в основном режиме установили в автозагрузку утилиту sality_off от Лаборатории Касперского.
Я запустил полную проверку CureIt с CD в защищённом режиме - действительно, диск как будто чист; предварительно обнулённые с загрузочного диска disable-ключи диспечера задач и редактора реестра позволяют их запуск, однако при загрузке в обычном режиме диспечер задач и редактор реестра становятся вновь недоступны а в окне утилиты sality_off регистрируются попытки заражения exe файлов автозапуска
Складывается впечатление, будто какой-то зловред, активный только в основном режиме собирает Sality из отдельных частей, недетектируемых по отдельности, и запускает его...
Логи AVZ(evrika.pif) с машины прилагаю(забыл хайджекзис но обещаю в скорости управится):
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Уважаемый(ая) Shalimov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: