Я уж напишу сюда, авось ещё кто-то столкнется с незадачей этакой...
Итак как показали признаки налицо заражение системы, одной из разновидностей Win32/Sality вируса. На деструктивной деятельности останавливаться не буду, почитать можно, например,
тут
Из приятных моментов хочу отметить, что он достаточно просто лечиться, после лечения все "пациенты" на 100% жизнеспособны и что особенно приятно мне как "поклоннику" лаборатории Касперского данный вирус KAV/KIS (версии 7) вирус не ловит (однозначно могу утверждать только о его модификации NAU), более того вирус напрочь "убивает" софтину, не позволяя даже заходить пользователю на сайт каспера.
Теперь по существу. Вирус заражает исполняемые файлы EXE и только их. Правда есть ещё его атозапускной(ые) INF, который(е) и произвели его запуск с заражённой флехи (как правило). Поскольку как я уже сказал заражаются исполняемые файлы, ни о какой речи о лечении под рабочей системой не может быть и речи. Вам понадобится любой liveCD диск (на портале я выкладывал ни один) и программа Dr.Web CureIt! бесплатный аналог Dr.Web качать можно
тут если религия качать из Инета не позволяет могу выложить, но вечерком.
1. Образ liveCD (должен быть в формате ISO) прожигаем на болванку. В широко распространённом Nero пишем (это важно) через Файл - Открыть - указать расположение образа.
2. Скачанный CureIt! уже лежит в любом месте на винте (не додумайтесь пихать его на свою вероятно заражённую флешку).
3. Загрузившись с диска (это ведь не вызовет вопросов как) запускаем CureIt! - launch.exe. Ах да, предположительно заражённую флешку, подключите до загрузки с диска. Как только он заканчивает проверку памяти - останавливаем его работу (кнопка Остановить проверку). Идём в настройки с целью сократить время на лечение сканирование. Настройки - Изменить настройки. Типы файлов - Выбранные типы - Удаляем
всё кроме EXE и INF. Если вирус "прописался" у вас недавно - убираем чекбокс Файлы в архивах. Чекбокс Проверка - Эвристический анализ тоже можно убрать ради скорости. Применяем настройки. Устанавливаем Полную проверку и наблюдаем за лечением. Dr.Web называет данный вирус как бла-бла-бла (не помню) но точно название оканчивается на 16.
Собственно, с лечением всё. Если всё по инструкции, то проблем быть не должно.
Для профилактики рекомендую установить (пусть временно) NOD32 2.7 (данная версия "ловит" точно это вирус, необходимую "свежесть" базы не знаю). Каспер как уже упомянул тут будет бесполезен, как и существующие в природе (а они есть) утилиты по лечению данного вируса.
Всё вышеизложенное мною проверено лично на нескольких машин пострадавших, использующих неправильный антивирус или включённый автозапуск (чаще и то и другое).
Кстати, вот твики по отключению автозапуска дисков (нужный параметр !один на выбор! раскомментируйте - убрать перед строкой ; )
; Запрет автозапуска дисков
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
; "NoDriveTypeAutoRun"=dword:00000020
; Отключение автозапуска USB/Floppy
; "NoDriveTypeAutoRun"=dword:00000004
; Отключение автозапуска HDD
; "NoDriveTypeAutoRun"=dword:00000008
; Отключение автозапуска RAM-дисков
; "NoDriveTypeAutoRun"=dword:00000040
; Отключение автозапуска сетевых дисков
; "NoDriveTypeAutoRun"=dword:00000010
; Отключение автозапуска USB/Floppy + HDD + RAM-дисков + CD/DVD-ROM
; "NoDriveTypeAutoRun"=dword:0000006C
; Отключение автозапуска всех дисков
; "NoDriveTypeAutoRun"=dword:000000ff
Mr.L добавил 08.01.2009 в 16:01
Цитата:
Сообщение от BenQ
неважно как я его принес.
|
да нет... это крайне важно... чтобы, как минимум, сделать выводы и не повторять ошибок...