а в этой конкретной учетке c:\docume~1\9335~1\locals~1\temp\ тоже чистили?Сообщение от als-a
Выполняйте скрипт, грузитесь в безопасном режиме + логин админстратора - он д.б. без пароля, если Вы не поставили, и просмотрите темп-папки во всех учетках. Их там много:
local settings\temp
user data\temp
Скачайте еще это чудо антивирусной техники: http://dnl-eu13.kaspersky-labs.com/d...2008_17-15.exe и пройдитесь в безпасном режиме.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пишу с другого компа (на работе).
Ну вообщем вчера дело развивалось так: 21:30 Выполнил скрипт. Смотрю в ядре вроде ничего нет. Поставил KIS - встал но не запускается (как я и думал), но драйверок свой поставил - ну думаю пусть повисит. Попытался скачать из инета чудо антивирусной техники - не дает. Говорит нет такого адреса (нагло врет в глаза) !!!
Запустил AVZ и диспетчер задач Windows, смотрю процессы там и там. Обнаружился процесс с названием типа kjddhfjd.exe. Диспетчер видит - AVZ нет. Ищу на диске его на HDD - нашелся !!!! C:\WINDOWS\system32.
Попытался остановить процесс из диспетчера задач как и ожидалось - несложилось. Пишу скрипт в AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName(kjddhfjd.exe);
ну и дальше удаление из C:\WINDOWS\system32\
без перезагрузки в конце.
Выполняю скрипт AVZ говорит ОК - все убито. Через пару секунд - синяя смерть. Перезагрузка. О ЧУДО - стартует KIS !!!! Сразу находит активную угрозу Virus.Win32.Sality.aa в автозапуске чего-то там типа NEROCHECK.exe (если память не изменяет) Убивает - перезагрузка.
Ну и тут началось !!!Приблизительно 25% клиентских приложений - Virus.Win32.Sality.aa.
22:45 Оставил комп на ночь пусть KIS разбирается .. Поехал домой спать. Сегодня заеду туда в гости посмотрю как там дела, сниму логи и выложу сюда для контроля..... Думаю все будет хорошо.
Добавлено через 16 минут
Да еще прибитый зловред прекрасно понимал AVZ и KIS. Запустить AVZ удалось только после переименования в 1.bat, ну и KIS не запускался. Короче "классный" наборчик был в этой машинке....
Последний раз редактировалось als-a; 01.08.2008 в 09:54. Причина: Добавлено
мдя, а я так понял, что Вы машину КуреИтом уже прошли... Оказывается нет.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\docume~1\\9335~1\\locals~1\\temp\\windhutl.exe - Trojan-PSW.Win32.Agent.kje (DrWEB: Trojan.PWS.Sector)
- f:\\autorun.inf - Worm.Win32.AutoRun.lks
- f:\\kwxme.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.5)
- f:\\wghwvy.pif - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.5)
- f:\\xrpm.exe - Virus.Win32.Sality.aa (DrWEB: Win32.Sector.5)
Уважаемый(ая) als-a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
