полное сканирование Nod32 ничего не дало.
ad-aware вирус обнаружил, но лечить не смог.
spyBot обнаружил; начал лечить; потом сказал, что нужно ребутнуться,
чтобы вылечить; после ребута снова начал лечить; снова захотел
ребутнуться и далее по кругу.
пришлось второй системой накатить windows xp и уже из под чистой пробовать вылечить.
в "чистой" системе антивирус Nod32 сказали, что все чисто.
причина такой мороки - вирус глубоко цепляется в системе.
цепляется к Winlogon (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify)
цепляется в Internet Explorer как BHO (HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects)
и в простой explorer.exe тоже цепляется (HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks) к сожалению файлы сразу после загрузки уже заблокированы. причем один заблокирован и от перемещения ("кто-то" держит его открытым и поэтому "переименовать и удалить после перезагрузки" тут не поможет) имена dll файлов, которые вирус записывает, генерируются случайным образом. в чистую систему поставил Dr. Web - dll-ки он он вычистил .... по крайней мере штуки 3 обнаружил и удалил (в минусы Dr. Web можно записать ложное срабатывание на некоторые файлы из Sun Java Wireless Toolkit) перезагрузка в старую систему показала, что вирус таки остался, но похоже в некой неактивной форме - свежие dll файлы с вирусом в system32 появились; explorer.exe их подгрузил, но перемещать или удалять их еще можно. записи в реестре тоже есть. чистим ad-aware; ключи в реестре проверяем черех HiJack This; попутно мониторим автозагрузчку с помощью AnVir Task Manager
итоговый набор для лечения: - чистая операционка - SpyBot для удаления вируса в неактивном виде - AnVir Task Manager для ручного удаления из автозапуска; определения имен вирусных dll, подгружаемых explorer.exe - drweb для вычисления и удаления вирусных dll из под чистой системы - far и regedit для ручных операций
RSS подписка
