В процессе чистки автозагрузки компьтера от всякого хлама (не вирусов но редкоиспользуемых программ, норовящих записать себя в автозагрузку) был обнаружен 'подозрительный' процесс wintems.exe. Не удалось найти ни одного ключа в реестре содержащего его имя. Да и сам файл на диске тоже обнаружить не удалось. Понимаю, что подхватил какую то заразу. Проверка свеженьким CureIt ничего не дала Смотрю в интернете про этот файл, в энциклопедии Касперского написано, что это Trojan-Downloader.Win32.Bagle.aj Но должен быть файл на диске в system32 и запись в реестре в Run. Решаю, что зараза хорошо шифруется (странно, что процесс в ТаскМенеджере не скрыла, я бы и не забеспокоился). Перезагружаюсь в безопасном режиме, и вот сюрприз - Синий экран:
Не грузится ни в каком виде (с сетью/без сети/командная строка).
Загружаюсь в обычном режиме. Лезу в интернет смотреть как победить эту заразу без безопасного режима. Ничего толком не нашел, но наткнулся на этот форум. Сделал почти все как описано в правилах. Позволил себе немного лишнего: после шага 8 на диске стал виден искомый файл и не только он, а в реестре соответствующие ключи на запуск. И я все что точно идентифицировал как заразу переименовал, а соответствующие записи из реестра удалил. А именно:
hldrrr.exe, wintems.exe, m_hook.sys, hidr.exe.
После повторного запуска AVZ у меня вызывает подозрение следующие вещи:
Странный процесс "C:\WINNT\System"
Странный автозапуск "autocheck autochk *"
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "hplun.dll"
Да и система при попытке загрузиться в безопасном режиме продалжает падать.
sptd.sys который много чего перехватывает это вроде как DaemonTools (виртуальный CD/DVD привод)
Про модули пространства ядра и драйверы ничего определенного сказать не могу. Остальные списки различных надстроек над системой вроде как соответствую действительности.
Владимир
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл сохранён как 070111_164920_virus_7428_45a6bef0ba2a3.zip
moh.SYS, mhk.SYS, а при более внимательном просмотре и hplun.dll в которой я изначально засомневался относятся к программе BestCrypt от Jetico, Inc. и на 99.9% являются вполне нормальными. Это программа для создания виртуальных шифрованных жестких дисков, эпизодически использую ее уже несколько лет и никаких претензий не было.
Бог с ним с вирусом, он вроде как пофиксен, а что делать с виндой, чтобы в безопасном режиме грузилась? Я не раз сталкивался с этим на чужих компах и при наличии десятка и более разных вредителей, там было проще винду переставить, чем все глюки послевирусные ловить, но сейчас очень не хочется переставлять винду, ведь все остальное норамально работает.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: