На ноутбуке Acer5623 был выполнен вредоносный код, который привел к следующему:
1. KIS2009,HiJackThis,AVZ,IceSword перестали быть "приложением win32"
2. Попытка загрузки в безопасный режим = синий экран смерти
3. Запуск CureIt c флешки или копирование этого дистриба через Bluetooth привел к удалению всех драйверов USB и Bluetooth, в том числе и мыши (хорошо хоть тачпад спас)
4. При перезагрузке ноута автоматически стартует браузер по умолчанию и с частотой 0.5Гц начинает грузить страницы. Это решилось позже с помощью удаления некоего процесса с именем SiteVacuumClient.exe
Запароленный архив со зловредом могу предоставить при необходимости.
Что сделано для лечения:
1. Система проверена диском резервного копирования KIS2009, найдено 18 зловредов и несколько троянских программ. Все удалены.
2. При перезагрузке опять все появилось заново пока я снова не загрузился с диска резерв копирования и удалил этот SiteVacuumClient.exe
3. KIS2009 пришлось переустановить, а все прочие EXE файлы спец утилит начали нормально запускаться только после того, как были заново разархивированы из архивов.
4. KIS2009 проверил систему в режиме "полной проверки" и ничего не нашел.
Что тревожит:
1. Ноут загружается очень долго, более 3 минут, во время загрузки судя по индикатору работы диска заметны паузы до 30 сек
2. KIS2009 загружается последним и до тех пор все сетевые программы ждут
3. Надпись "Protected by Kaspersky Lab" на экране приветствия не отображается, только при завершении работы.
4. Запуск всех программ стал долгим, вообще реакция системы на средства ввода стала заметно более долгой.
Прошу специалистов посмотреть логи.
Лог virusinfo_cure.zip имеет размер 42Мб - куда его выложить?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проделано:
1. Пофиксил указанное в HijackThis
2. Выполнил указанный скрипт (без ошибок)
3. Выгрузил KIS2009
4. Повторил логи. Лог virusinfo_cure.zip имеет размер чуть более лимита
5. Высылаю карантин. SiteVacuumClient.exe к сожалению удалил сразу, выслать не могу... Но он появился после запуска исходного зловреда, последнего заархивировал сразу с паролем newvirus, сейчас переделывать побоялся....
Базы обновил, проверку сделал. Вирусов нет. Все чисто.
Но такая долгая загрузка системы меня не устраивает, ноут еще и греется сильно, вентиляторы раньше так активно не работали при нулевой нагрузке...
Пробовал использовать Bootvis в режиме оптимизации загрузки, ноут простоял несколько часов с окном "optimazing...", винт при этом активно работал... Пришлось остановить эту "оптимизацию" перезагрузкой.
Когда система загружается очень много пауз, поддержка сети и каспер грузятся последними, что раньше не наблюдалось.
Вообщем, что-то не так...
Произвел переустановку WinXP SP3 в режиме обновления. Проблемы с загрузкой исчезли, теперь компоненты загружаются правильно и быстро. Но на последнем этапе установки ноут завис (когда на экране эмблема Windows c надписью под ней "Пожалуйста, подождите"). Вообщем, единственное оптимальное решение, наверное, как всегда - чистая переустановка WinXP...
Ccleaner оказалась очень неплохой программой - почистил хорошо. Но дело в том, что после удаления вируса и продуктов его жизнедеятельности не всегда возможно восстановить систему на 100%. В моем случае зловред отключил некоторые службы WinXP, связанные с безопасностью (я это случайно заметил) - думаю именно это и нарушило "нормальность" загрузки системы. Вопрос на будущее - как можно вернуть дефолтные настройки служб без переустановки WinXP? Снова использовать сторонние программы или в системе есть другие возможности?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: