-
[QUOTE=als-a;261964]Temp чистил и раньше НО !!! после установки IE6 в папке C:\Documents and Settings\Администратор\Local Settings\Temp обнаружилась парочка файлов доступ к которым заблокирован[/QUOTE]а в этой конкретной учетке [B]c:\docume~1\9335~1\locals~1\temp\[/B] тоже чистили?
Выполняйте скрипт, грузитесь в безопасном режиме + логин админстратора - он д.б. без пароля, если Вы не поставили, и просмотрите темп-папки во всех учетках. Их там много:
local settings\temp
user data\temp
Скачайте еще это чудо антивирусной техники: [url]http://dnl-eu13.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.223_31.07.2008_17-15.exe[/url] и пройдитесь в безпасном режиме.
-
Пишу с другого компа (на работе).
Ну вообщем вчера дело развивалось так: 21:30 Выполнил скрипт. Смотрю в ядре вроде ничего нет. Поставил KIS - встал но не запускается (как я и думал), но драйверок свой поставил - ну думаю пусть повисит;). Попытался скачать из инета чудо антивирусной техники - не дает. Говорит нет такого адреса (нагло врет в глаза) !!!
Запустил AVZ и диспетчер задач Windows, смотрю процессы там и там. Обнаружился процесс с названием типа kjddhfjd.exe. Диспетчер видит - AVZ нет. Ищу на диске его на HDD - нашелся !!!! C:\WINDOWS\system32.
Попытался остановить процесс из диспетчера задач как и ожидалось - несложилось. Пишу скрипт в AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName(kjddhfjd.exe);
ну и дальше удаление из C:\WINDOWS\system32\
без перезагрузки в конце.
Выполняю скрипт AVZ говорит ОК - все убито. Через пару секунд - синяя смерть:O. Перезагрузка. О ЧУДО - стартует KIS !!!! Сразу находит активную угрозу Virus.Win32.Sality.aa в автозапуске чего-то там типа NEROCHECK.exe (если память не изменяет) Убивает - перезагрузка.
Ну и тут началось !!! 8) Приблизительно 25% клиентских приложений - Virus.Win32.Sality.aa.
22:45 Оставил комп на ночь пусть KIS разбирается .. Поехал домой спать. Сегодня заеду туда в гости посмотрю как там дела, сниму логи и выложу сюда для контроля..... Думаю все будет хорошо.
[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]
Да еще прибитый зловред прекрасно понимал AVZ и KIS. Запустить AVZ удалось только после переименования в 1.bat, ну и KIS не запускался. Короче "классный" наборчик был в этой машинке....
-
мдя, а я так понял, что Вы машину КуреИтом уже прошли... Оказывается нет. 8) Если бы сделали - может мы бы уже и тему закрыли :)
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\9335~1\\locals~1\\temp\\windhutl.exe - [B]Trojan-PSW.Win32.Agent.kje[/B] (DrWEB: Trojan.PWS.Sector)[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.lks[/B][*] f:\\kwxme.pif - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.5)[*] f:\\wghwvy.pif - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.5)[*] f:\\xrpm.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.5)[/LIST][/LIST]
Page generated in 0.00185 seconds with 10 queries