И снова spyware detected on your computer!

[Ariy]

Доброго времени суток. Ситуация примерно такая же как описывалась раньше. Возникает синий экранчик с надписью Spyware detected и собственно происходит как описано было в нескольких темах. AVZ показывает перехват klif.sys. Началась нездаровая закачка,куча троянов кейлогеров и т.п. Большую часть зловредного по снёс спай доктором. Но оставшиеся куски очень портят жизнь. Ситуация осложняется тем что комп является серваком. Нид хелп

[Rene-gad]

Ситуация осложняется тем что комп является серваком.

Это то меня и печалит: я тут только кнопку Вкл./Выкл. знаю. Вынесу на консилиум, может кто из спецов откликнется.

[pig]

Лично я в предъявленном никаких оставшихся кусков не нахожу.
klif.sys - это от Касперского. Подозрения на маскировку процессов и ошибки в LSP - глюки от работы AVZ/HijackThis на терминальном сервере.
Какие есть нехорошие проявления "здесь и сейчас"?

P.S. В принципе, пора ставить SP2. Хотя пока можно обойтись установкой заплаток безопасности.

P.P.S. Вот это пофиксить бы, но боюсь:

Код:

F2 - REG:system.ini: UserInit=userinit.exe

Безопаснее будет найти эту строку в реестре (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\, параметр Userinit) и дописать в конец запятую.

[Ariy]

Загруз ЦП до 50% в ночное время,сетевая активность нехорошая.

[NickGolovko]

Давайте заберем на исследование один файл.

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить:

Код:

begin
 QuarantineFile('C:\W2K3ENT\gdrv.sys','');
end.

Загрузите полученный карантин, мы проверим, легитимен ли этот файл.

[pig]

Код:

F2 - REG:system.ini: UserInit=userinit.exe

Сюда по правильному надо не только запятую в конец, но и полный путь:

Код:

C:\W2K3ENT\system32\userinit.exe,

Тогда точно левого не зацепит.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены