Вложений: 3
Помогите с вирусом! это что-то новое похоже...
Началось все на бухгалтерском компьютере, при запуске любого приложения выскакивало требование вставить ключевой носитель от CryptoPro, перед этим от Каспера 6 , были такие сообщения:
21.01.2009 15:42:16 Карантин: Файл C:\Documents and Settings\Filippova.USTAV-COURT\Local Settings\Temp\winSstcNR.exe, обнаружено: троянская программа 'Trojan-Spy.Win32.Zbot.ksb'.
21.01.2009 10:28:05 Процесс C:\WINDOWS\system32\rundll32.exe, обнаружено: потенциально опасное ПО 'Private data and passwords access' (модификация).
нашел файлик, который приписывался к userinit в реестре, называется twext.exe, после удаления из реестра он тут же появлялся, даже редактор не нужно было удалять, в системе файл не виделся, проверил в безопасном режиме CureIt, ничего, Каспер естественно то же ничего не дал, но все же ухитрился обмануть и в безопасном режиме как-то получилось убить процесс, запись в реестре и сам файл, но уже после перезагрузки в норм. режиме, запрос на CriptoPro сразу пропал, но сразу после загрузки наблюдается сетевая активность, особенно исходящий трафик, несколько раз появлялось аналогичное сообщение
21.01.2009 15:42:16 Карантин: Файл C:\Documents and Settings\Filippova.USTAV-COURT\Local Settings\Temp\winSstcNR.exe, обнаружено: троянская программа 'Trojan-Spy.Win32.Zbot.ksb'
через какое-то время трафик прекращается, но возможно потом опять возобновляется, не знаю пока где и копать, буду благодарен за помощь!!! переустановить систему крайне нежелательно, слишком много софта и настроек, а копии нет чистой....
да еще было сообщение от Каспера о вирусе Trojan.Win32.Burus.utb, вообщем подгружает все помаленьку...
