-
Junior Member
- Вес репутации
- 60
Подмена Explorer.exe
Добрый день!
Не успел завершить лечение одной машинки, а уже попросили помочь вылечить еще одну. ОС Vista.
Вирус произвел подмену ключа Shell банером о блокировании системы.
Загрузился с LiveCD и поменял значение на explorer.exe
На машине не стояло никакого антивируса. (Установлю после лечения).
CureIt обнаружил и удалил заразу в папке Темр.
Собрал логи согласно правил. Прошу помощи в анализе и лечении.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 60
Странно. Во время сканирования AVZ было очень много сообщений "прямое чтение" файла tmp. И даже не верится, что вирус отработав поместил ссылку на самого себя в реестре. Честно - первый раз с таким встречаюсь )
...\Application Data\Temp\~DFCCD6.tmp
Есть какие-нибудь рекомендации? Я просто с Вистой по лечению пока не работал ...
Последний раз редактировалось -Алексей-; 04.12.2010 в 17:01.
Причина: уточнено имя файла
-
Прямое чтение говорит лишь о том, что файл в момент сканирования был занят другой программой. Признаком зловредства это не является.
I am not young enough to know everything...
-