-
Здравствуйте. На мой комп обрушился вирус. Заметил это я, когда очень во многих папках появились ЕХЕ файлы имя которых такое же как и у папки в которой они лежат и иконка папки. Но это еще не все. Убралась опция "показывать расширения для зарегистрированных типов файлов", хотя ранее у меня стояла. В результате этот файл внешне выглядит как папка. Понятное дело, что первый раз я на это купился, так как у меня показываются всегда все расширения я и не мог предположить, что это может быть экзешник. Открыл я эту псевдо-папку. Ничего не произошло. Прошла около минуты, комп перезагрузился. Причем перезагрузка не мгновенная, а все по чину с завершением работы и сохранением параметров (у меня виндовс ХP). Я попытался открыть этот файл блокнотом и глянуть что внутри. При этом комп опять перезагрузился. После этого я обнаружил, что файл не один, а их много во всяких папках. Хотя принцип по которому в одной папке он есть, а в другой нет я не нашел. В каждой папке он соответственно называется как эта папка. Еще ОЧЕНЬ интересный факт, что вернуть расширения файлов я не могу. Из раздела "сервис" исчезла кнопка "свойства папки"! Просто взяла и исчезла! Я давно туда не заходил, но УВЕРЕН, что она БЫЛА раньше. Собственно попать в окно в котором могу менять опции отображения файлов и посмотреть типы я не могу. Более того скрытые файлы у меня тоже перестали отображаться, а поставить эту опцию могу только в меню которое исчезло. К сожалению у меня Касперский не дружит с АДСЛем, поэтому у меня стоит Симантек Антивирус. Обновил базы данных, произвелл full scan, ничего не нашел. Натравил AD-AWARE, тоже не нашел ничего. Попытался зайти в реестр. БАТЮШКИ! "Администратор запретил вам редактировать реестр". Я в пользователе администратора! Позже нашел в msconfig'e в авторзагрузке 2 занятных пункта. 1) ярлык ms-dos под именем "empty" и ссылается в пустоту (находится в пуск-автозагрузка) 2) Запускает E:\Documents and Settings\Администратор.WBPWGUBP6F5UR59\Local Settings\Application Data\smss.exe и находится в реестре. Убрал обе галки, перезагрузился - опять все стоит. Пришло в голову поставить agnitum outpost firewall. Мысль была хорошая, так как теперь он у меня постоянно блокирует некий winlogon.exe который находится все в той же E:\Documents and Settings\Администратор.WBPWGUBP6F5UR59\Local Settings\Application Data и видимо, который перезагружает комп. Полез я в эту папку. Попасть в нее удалось только прописью в ручную, так как скрытые файлы у меня больше не отображаются. Там обнаружил целых 5 ехе файлов замаскированных под папки (с ярлыком папки и без расширения).
inetinfo
lsass
services
smss
winlogon
такие файлы есть и в папке виндовса, но родные. Это видимо под них подделка. В ctrl+alt+del я нашел, что services и lsass запущены раз по 5. Притом по 1 из них "system", а остальные "администратор". Зашел в безопасном режиме, ихпостирал. Загрузился в обычном, они снова появились. Может чего посоветуете? как дальше быть? форматировать хард жалко!!!
А еще там есть файлы
bron.tok и папки! видимо тоже из той оперы!
http://www.viruslist.com/ru/viruses/...?virusid=96428
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А что делать дальше - читать на http://helpme.virusinfo.info