Вообщем был на машине вирус Sality, вроде бы модификации NAT, но точно не помню (тот который блокирует диспетчер задач и редактирование реестра, ну и безопасны режим само собой).
Так вот после лечения вроде бы всё нормально, но перечитывая ветки про этого падонка вычитал что он оставляет код в Ring0. Решил проверить (AVZ -> вкладка сервис>модули пространства ядра), и действительно висит с именем .sys.
Внимание вопрос: как его оттуда выковырять, а то спиться неспокойно?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=53521).
Установите правильную системную дату.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Подозрительны (а точнее явно вредоносны) были те два файла, что упоминаются в скрипте. Хотя возможно, это были только ссылки в реестре, а файлы когда-то раньше были удалены. Поскольку карантина нет, этого мы уже не узнаем.
Скрипт делается индивидуально на основании логов и предназначен только для данного конкретного случая.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: