Боремся с вирусами (autorun'ом, и пр. гадостью)
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Уже пробовала "поверх". Пишет, что невозможно. Даже в Recovery Console не получается, ходит по кругу. Ставлю запуск с CD. Спрашивает, не хочу ли я переписать поверх старой Винды новую, я жму "R", указываю, что хочу переписать Винду на диске С, он запрашивает пароль админа, я ввожу, далее снова пояляется строка С:\WINDOWS. Жму exit, выходит на перезагруз. И снова тоже самое. Установка не продолжается.
Кстати, откат системы в самой Винде тоже не работает, какую точку не выбирай, пишет, мол, изменений не было, поэтому восстановить систему не удалось.
Кстати, откат системы в самой Винде тоже не работает, какую точку не выбирай, пишет, мол, изменений не было, поэтому восстановить систему не удалось.
Зачем консоль? Просто установку винды, аналогичной своей, запускаете с загрузочного CD..Лидия писал(а):Даже в Recovery Console не получается
После выбора "Установить винду" и последующего скана дисков инсталлятор должно спросить "Не хотите ли попытаться восстановить выделенную копию винды". Вот тут "R" и нажимаем.Лидия писал(а):Спрашивает, не хочу ли я переписать поверх старой Винды новую, я жму "R"
Скорее всего спрашивает пароль встроенной учётки Администратор, которая доступна только из безопасного режима. Если у вас на ней пароль не стоит, то просто Enter давите ...Лидия писал(а):он запрашивает пароль админа
Глупый пингвин робко прячет, умный - смело достаёт...
2 Vose
Я и с диска в самой Винде пробовала - пишет, мол у вас версия установлена более свежая 3-ий сервис пак, поэтому, дескать, нельзя из Винды установить. А на диске-то у меня 2-ой пак.
Насчет второго поста. Так все и делаю, только комп по кругу ходит, установка не начинается.
Спасибо за желание помочь!
Я и с диска в самой Винде пробовала - пишет, мол у вас версия установлена более свежая 3-ий сервис пак, поэтому, дескать, нельзя из Винды установить. А на диске-то у меня 2-ой пак.
Насчет второго поста. Так все и делаю, только комп по кругу ходит, установка не начинается.
Спасибо за желание помочь!
Лидия
Cканировали и лечили компьютер загрузившись с внешнего носителя? Или из под "больной" системы?
Категорически рекомендую к приобретению acronis true image. Стоял бы - возврат к работоспособной системе занял бы минут 15 ...
Cканировали и лечили компьютер загрузившись с внешнего носителя? Или из под "больной" системы?
Категорически рекомендую к приобретению acronis true image. Стоял бы - возврат к работоспособной системе занял бы минут 15 ...
Три пути ведут к знанию: путь размышления - это путь самый благородный, путь подражания - это путь самый легкий и путь опыта - это путь самый горький. - Конфуций
Я не очень внимательно читал все сообщения, времени нет, но есть хорошая программа USB flash security. Для авторанеров - незаменима. Она делает на всех жестких дисках свой файл autorun.inf, который невозможно удалить, пока эта программка установлена на машине. В сети ссылок на нее много. Лично мне она очень помогла. Я что-то вроде внештатного сисадмина в офисе, поставил на все машины и эпидемии прекратились. Да, еще программка позволяет удалять вирусы на флэшке сразу, даже без установленного антивируса.
Вот по поводу этого autorun.inf.
Идея простая и гениальная - создаёшь везде такие папочки и не паришься! Но ... Каспер без "родного" для вируса файла автозапуска НЕ РАСПОЗНАЁТ тело трояна (см. выше http://conf.computery.ru/viewtopic.php? ... &start=120 ). Нет, он конечно, показывает, что файл дважды упакован, но пишет "ОК". А я ради эксперимента удалил папку autorun.inf из корня ЖД, воткнул заражённую этим трояном флэху, открыл-закрыл Проводником (троян успешно залетел на диск), а потом просканил Каспером - и троян успешно нашёлся по своему файлу autorun.inf!!! А после этого был успешно прибит файл с телом вируса. Вот так.
Идея простая и гениальная - создаёшь везде такие папочки и не паришься! Но ... Каспер без "родного" для вируса файла автозапуска НЕ РАСПОЗНАЁТ тело трояна (см. выше http://conf.computery.ru/viewtopic.php? ... &start=120 ). Нет, он конечно, показывает, что файл дважды упакован, но пишет "ОК". А я ради эксперимента удалил папку autorun.inf из корня ЖД, воткнул заражённую этим трояном флэху, открыл-закрыл Проводником (троян успешно залетел на диск), а потом просканил Каспером - и троян успешно нашёлся по своему файлу autorun.inf!!! А после этого был успешно прибит файл с телом вируса. Вот так.
Я не знаю, за что мне платят деньги. Но я удивляюсь, почему так мало?..
Уже всё ещё проще - создание слегка автоматизировали+предприняли меры, чтобы ламеры удалить её не могли :Abdulla писал(а):Идея простая и гениальная - создаёшь везде такие папочки и не паришься!
Создаёшь вот такой батник:
rem AUTOSTOP.BAT version 1.7 (http://mechanicuss.livejournal.com/195192.html)
rem Script for disabling file Autorun.inf оn your USB flash drive, and protecting it from viruses.
rem Copy script to your USB flash drive ad run it.
rem ----------------------------------------------------------------------------------------------
attrib -s -h -r autorun.*
del autorun.*
mkdir "\\?\%~d0\AUTORUN.INF\LPT3"
attrib +s +h %~d0\AUTORUN.INF
обзываем, как в вверху батника в комментариях написано - AUTOSTOP.BAT, чтобы копирайт не нарушать
Далее, запускаешь этот батник в корне каждого диска - и, вуаля, папочки AUTORUN.INF готовы "неубиваемые". Для шибко любопытных помещаю в них ещё фалик прочти.txt вот такого содержания:
"Эти папки (AUTORUN.INF\LPT3) необходимы в этом месте для защиты
от "авторановых" вирусов.
Не пытайтесь их удалить/переместить/переименовать.
От удаления через Проводник Windows они защищены."
Ещё б его "проапгрэйдить", чтобы сразу, да в корнях всех жёстких дисков, будучи запущенным из любого места создавал папки... И файлик текстовый прочти.txt ... Может возьмётся кто? Кому не в лом
прям реклама. Особенно про незаменимось фраза умиляет!skhab писал(а):но есть хорошая программа USB flash security. Для авторанеров - незаменима.
Уже больше года ручками папки создавал ( часто просто с флэхи копировал), и никаких лишних прог не надо, и проблем с авторанами, где папки созданы, не было.
А про вири, которые могут удалять папки AUTORUN.INF (даже не защищённые ничем) что-то не слышал пока
Добавление от 02.03.09. НОУ-ХАУ!!! (моё) :
----------------------------
В связи с активным "расползанием гадов" kido/confiker различных версий, стало актуальным создание на флэхах файлика recycler, чтобы гады не могли создавать на ней свою папку с аналогичным именем и кидать туда своё тело.
----------------------------
Последний раз редактировалось Vose 02 мар 2009, 10:16, всего редактировалось 4 раза.
-
- Сообщения: 115
- Зарегистрирован: 15 июн 2006, 18:59
- Откуда: Екатеринбург
- Контактная информация:
Доброго времени суток господа форумчане. Глазками просомтрел всю ветку "вирусной темы" чтобы боянов не наплодить - и не нашел даже близко похожего. Потому выскажусь.
Пошла у нас в городе эпидемия вирусная. Началась на 8-мартовский праздник. Значит имеем два ПК и один ноут. Все в разных сетях и у разных провайдеров. На одном ПК полностью залочены все диски кроме диска D с данными. Т.е. и сидиром, и ЮСБ порты и даже диск С просто твикером отключены. На втором ПК и ноуте все попроще. В итоге в один прекрасный день юзвери мне жалуются на то что у них время сменилось на 6-00 и дата 2070 год. Ну сменилось и сменилось... Ясное дело вирус. Везде стоит НОД-32 (второй) - базы обновляются регулярно. Запускаем сканирование - чето тон там понаходил, ну и ладно. Перезагрузка - и оппа! Доходит до диалога ввода пароля - вводим. И снова - логофф и выкидывает в пароль. И так бесконечно. Я заволновался. Гружусь с ЕРД командера. Захожу в реестр. Смотрю параметр userinit.exe. Так и есть - в конце строки прописано C:/WINDOWS/system32/system.exe. Исправляю - загрузка проходит на ура. Лезу исправлять дату. Меняю на текущую. Минуты две все спокойно - потом снова бах! 2070 год. Лезу в реестр - снова систем.ехе. Закачиваю AVZ, закачиваю CureIT - сканирую. Нахожу еще больше бяки чем нашел НОД32. Полазил на форумах - почитал. Выяснилось что эта гадость называется каким-то там трояном и имеет вид в системе system.exe. Маскируется под драйвер. Видна в проводнике. Удаляешь - она через 5 секунд появляется снова. В папке ТЕМР генерятся файлы вида А067125.* расширение не помню... а в папке /систем32/ прямо в корне лежит этот самый system.exe и еще куча файлов с именем из трех цифр с расширением ехе. Пошел дальше - подцепил диск к живой машине. Просканил теми же АВЗ и куритом. Вычистил руками все в системном разделе. Подключаю диск обратно - хватило до первого выхода в инет. Снова этот system.exe. Причем в таскменеджере висит его процесс. В итоге на ноутбуке пришлось переустанавливать винду. На одном из компов тоже... Второй комп почему то вылечился... Сам не пойму как. Но пока дата не меняется, и все нормально. Судя по форумам эта сволочь ничем локально не убивается. Только на другой машине. Распространяется через флэшки (кстати спасибо за совет с папочкой авторан.инф)... Тырит пароли и отсылает их хозяину. Помимо этого жутко флудит сеть - так что провайдер меня просто отрубил от сети за вирусы. Итак вопрос - как эта гадость могла попасть на комп где отключены все ЮСБ порты и приводы? Если она попала по сети - то почему ее ни один антивирь не вычищает? И где сидит "босс" который снова запускает этот system.exe после удаления? Прошу только конкретные пути лечения. У нас уже пол города им перезаражалось. А т.к. многие обращаются ко мне - хотелось бы знать лекарство. так чтобы сразу и наверняка... Более подробно можно почитать тут http://www.viruslist.com/ru/viruses/enc ... usid=34378 или способы лечения (которые кстати не помогли) тут http://forum.windowsfaq.ru/showthread.p ... a6&t=75767
Добавлю - ТроянРемувер при сканировании ругается на system.exe но где и чо лежит не указывает...
Пошла у нас в городе эпидемия вирусная. Началась на 8-мартовский праздник. Значит имеем два ПК и один ноут. Все в разных сетях и у разных провайдеров. На одном ПК полностью залочены все диски кроме диска D с данными. Т.е. и сидиром, и ЮСБ порты и даже диск С просто твикером отключены. На втором ПК и ноуте все попроще. В итоге в один прекрасный день юзвери мне жалуются на то что у них время сменилось на 6-00 и дата 2070 год. Ну сменилось и сменилось... Ясное дело вирус. Везде стоит НОД-32 (второй) - базы обновляются регулярно. Запускаем сканирование - чето тон там понаходил, ну и ладно. Перезагрузка - и оппа! Доходит до диалога ввода пароля - вводим. И снова - логофф и выкидывает в пароль. И так бесконечно. Я заволновался. Гружусь с ЕРД командера. Захожу в реестр. Смотрю параметр userinit.exe. Так и есть - в конце строки прописано C:/WINDOWS/system32/system.exe. Исправляю - загрузка проходит на ура. Лезу исправлять дату. Меняю на текущую. Минуты две все спокойно - потом снова бах! 2070 год. Лезу в реестр - снова систем.ехе. Закачиваю AVZ, закачиваю CureIT - сканирую. Нахожу еще больше бяки чем нашел НОД32. Полазил на форумах - почитал. Выяснилось что эта гадость называется каким-то там трояном и имеет вид в системе system.exe. Маскируется под драйвер. Видна в проводнике. Удаляешь - она через 5 секунд появляется снова. В папке ТЕМР генерятся файлы вида А067125.* расширение не помню... а в папке /систем32/ прямо в корне лежит этот самый system.exe и еще куча файлов с именем из трех цифр с расширением ехе. Пошел дальше - подцепил диск к живой машине. Просканил теми же АВЗ и куритом. Вычистил руками все в системном разделе. Подключаю диск обратно - хватило до первого выхода в инет. Снова этот system.exe. Причем в таскменеджере висит его процесс. В итоге на ноутбуке пришлось переустанавливать винду. На одном из компов тоже... Второй комп почему то вылечился... Сам не пойму как. Но пока дата не меняется, и все нормально. Судя по форумам эта сволочь ничем локально не убивается. Только на другой машине. Распространяется через флэшки (кстати спасибо за совет с папочкой авторан.инф)... Тырит пароли и отсылает их хозяину. Помимо этого жутко флудит сеть - так что провайдер меня просто отрубил от сети за вирусы. Итак вопрос - как эта гадость могла попасть на комп где отключены все ЮСБ порты и приводы? Если она попала по сети - то почему ее ни один антивирь не вычищает? И где сидит "босс" который снова запускает этот system.exe после удаления? Прошу только конкретные пути лечения. У нас уже пол города им перезаражалось. А т.к. многие обращаются ко мне - хотелось бы знать лекарство. так чтобы сразу и наверняка... Более подробно можно почитать тут http://www.viruslist.com/ru/viruses/enc ... usid=34378 или способы лечения (которые кстати не помогли) тут http://forum.windowsfaq.ru/showthread.p ... a6&t=75767
Добавлю - ТроянРемувер при сканировании ругается на system.exe но где и чо лежит не указывает...
Лучше умереть когда хочется, жить чем дожить до того, когда хочется умереть.
-
- Сообщения: 115
- Зарегистрирован: 15 июн 2006, 18:59
- Откуда: Екатеринбург
- Контактная информация:
Доброго времени суток господа форумчане. Глазками просомтрел всю ветку "вирусной темы" чтобы боянов не наплодить - и не нашел даже близко похожего. Потому выскажусь.
Пошла у нас в городе эпидемия вирусная. Началась на 8-мартовский праздник. Значит имеем два ПК и один ноут. Все в разных сетях и у разных провайдеров. На одном ПК полностью залочены все диски кроме диска D с данными. Т.е. и сидиром, и ЮСБ порты и даже диск С просто твикером отключены. На втором ПК и ноуте все попроще. В итоге в один прекрасный день юзвери мне жалуются на то что у них время сменилось на 6-00 и дата 2070 год. Ну сменилось и сменилось... Ясное дело вирус. Везде стоит НОД-32 (второй) - базы обновляются регулярно. Запускаем сканирование - чето тон там понаходил, ну и ладно. Перезагрузка - и оппа! Доходит до диалога ввода пароля - вводим. И снова - логофф и выкидывает в пароль. И так бесконечно. Я заволновался. Гружусь с ЕРД командера. Захожу в реестр. Смотрю параметр userinit.exe. Так и есть - в конце строки прописано C:/WINDOWS/system32/system.exe. Исправляю - загрузка проходит на ура. Лезу исправлять дату. Меняю на текущую. Минуты две все спокойно - потом снова бах! 2070 год. Лезу в реестр - снова систем.ехе. Закачиваю AVZ, закачиваю CureIT - сканирую. Нахожу еще больше бяки чем нашел НОД32. Полазил на форумах - почитал. Выяснилось что эта гадость называется каким-то там трояном и имеет вид в системе system.exe. Маскируется под драйвер. Видна в проводнике. Удаляешь - она через 5 секунд появляется снова. В папке ТЕМР генерятся файлы вида А067125.* расширение не помню... а в папке /систем32/ прямо в корне лежит этот самый system.exe и еще куча файлов с именем из трех цифр с расширением ехе. Пошел дальше - подцепил диск к живой машине. Просканил теми же АВЗ и куритом. Вычистил руками все в системном разделе. Подключаю диск обратно - хватило до первого выхода в инет. Снова этот system.exe. Причем в таскменеджере висит его процесс. В итоге на ноутбуке пришлось переустанавливать винду. На одном из компов тоже... Второй комп почему то вылечился... Сам не пойму как. Но пока дата не меняется, и все нормально. Судя по форумам эта сволочь ничем локально не убивается. Только на другой машине. Распространяется через флэшки (кстати спасибо за совет с папочкой авторан.инф)... Тырит пароли и отсылает их хозяину. Помимо этого жутко флудит сеть - так что провайдер меня просто отрубил от сети за вирусы. Итак вопрос - как эта гадость могла попасть на комп где отключены все ЮСБ порты и приводы? Если она попала по сети - то почему ее ни один антивирь не вычищает? И где сидит "босс" который снова запускает этот system.exe после удаления? Прошу только конкретные пути лечения. У нас уже пол города им перезаражалось. А т.к. многие обращаются ко мне - хотелось бы знать лекарство. так чтобы сразу и наверняка... Более подробно можно почитать тут http://www.viruslist.com/ru/viruses/enc ... usid=34378 или способы лечения (которые кстати не помогли) тут http://forum.windowsfaq.ru/showthread.p ... a6&t=75767
Добавлю - ТроянРемувер при сканировании ругается на system.exe но где и чо лежит не указывает...
Пошла у нас в городе эпидемия вирусная. Началась на 8-мартовский праздник. Значит имеем два ПК и один ноут. Все в разных сетях и у разных провайдеров. На одном ПК полностью залочены все диски кроме диска D с данными. Т.е. и сидиром, и ЮСБ порты и даже диск С просто твикером отключены. На втором ПК и ноуте все попроще. В итоге в один прекрасный день юзвери мне жалуются на то что у них время сменилось на 6-00 и дата 2070 год. Ну сменилось и сменилось... Ясное дело вирус. Везде стоит НОД-32 (второй) - базы обновляются регулярно. Запускаем сканирование - чето тон там понаходил, ну и ладно. Перезагрузка - и оппа! Доходит до диалога ввода пароля - вводим. И снова - логофф и выкидывает в пароль. И так бесконечно. Я заволновался. Гружусь с ЕРД командера. Захожу в реестр. Смотрю параметр userinit.exe. Так и есть - в конце строки прописано C:/WINDOWS/system32/system.exe. Исправляю - загрузка проходит на ура. Лезу исправлять дату. Меняю на текущую. Минуты две все спокойно - потом снова бах! 2070 год. Лезу в реестр - снова систем.ехе. Закачиваю AVZ, закачиваю CureIT - сканирую. Нахожу еще больше бяки чем нашел НОД32. Полазил на форумах - почитал. Выяснилось что эта гадость называется каким-то там трояном и имеет вид в системе system.exe. Маскируется под драйвер. Видна в проводнике. Удаляешь - она через 5 секунд появляется снова. В папке ТЕМР генерятся файлы вида А067125.* расширение не помню... а в папке /систем32/ прямо в корне лежит этот самый system.exe и еще куча файлов с именем из трех цифр с расширением ехе. Пошел дальше - подцепил диск к живой машине. Просканил теми же АВЗ и куритом. Вычистил руками все в системном разделе. Подключаю диск обратно - хватило до первого выхода в инет. Снова этот system.exe. Причем в таскменеджере висит его процесс. В итоге на ноутбуке пришлось переустанавливать винду. На одном из компов тоже... Второй комп почему то вылечился... Сам не пойму как. Но пока дата не меняется, и все нормально. Судя по форумам эта сволочь ничем локально не убивается. Только на другой машине. Распространяется через флэшки (кстати спасибо за совет с папочкой авторан.инф)... Тырит пароли и отсылает их хозяину. Помимо этого жутко флудит сеть - так что провайдер меня просто отрубил от сети за вирусы. Итак вопрос - как эта гадость могла попасть на комп где отключены все ЮСБ порты и приводы? Если она попала по сети - то почему ее ни один антивирь не вычищает? И где сидит "босс" который снова запускает этот system.exe после удаления? Прошу только конкретные пути лечения. У нас уже пол города им перезаражалось. А т.к. многие обращаются ко мне - хотелось бы знать лекарство. так чтобы сразу и наверняка... Более подробно можно почитать тут http://www.viruslist.com/ru/viruses/enc ... usid=34378 или способы лечения (которые кстати не помогли) тут http://forum.windowsfaq.ru/showthread.p ... a6&t=75767
Добавлю - ТроянРемувер при сканировании ругается на system.exe но где и чо лежит не указывает...
Лучше умереть когда хочется, жить чем дожить до того, когда хочется умереть.
-
- Сообщения: 115
- Зарегистрирован: 15 июн 2006, 18:59
- Откуда: Екатеринбург
- Контактная информация:
Доброго времени суток господа форумчане. Глазками просомтрел всю ветку "вирусной темы" чтобы боянов не наплодить - и не нашел даже близко похожего. Потому выскажусь.
Пошла у нас в городе эпидемия вирусная. Началась на 8-мартовский праздник. Значит имеем два ПК и один ноут. Все в разных сетях и у разных провайдеров. На одном ПК полностью залочены все диски кроме диска D с данными. Т.е. и сидиром, и ЮСБ порты и даже диск С просто твикером отключены. На втором ПК и ноуте все попроще. В итоге в один прекрасный день юзвери мне жалуются на то что у них время сменилось на 6-00 и дата 2070 год. Ну сменилось и сменилось... Ясное дело вирус. Везде стоит НОД-32 (второй) - базы обновляются регулярно. Запускаем сканирование - чето тон там понаходил, ну и ладно. Перезагрузка - и оппа! Доходит до диалога ввода пароля - вводим. И снова - логофф и выкидывает в пароль. И так бесконечно. Я заволновался. Гружусь с ЕРД командера. Захожу в реестр. Смотрю параметр userinit.exe. Так и есть - в конце строки прописано C:/WINDOWS/system32/system.exe. Исправляю - загрузка проходит на ура. Лезу исправлять дату. Меняю на текущую. Минуты две все спокойно - потом снова бах! 2070 год. Лезу в реестр - снова систем.ехе. Закачиваю AVZ, закачиваю CureIT - сканирую. Нахожу еще больше бяки чем нашел НОД32. Полазил на форумах - почитал. Выяснилось что эта гадость называется каким-то там трояном и имеет вид в системе system.exe. Маскируется под драйвер. Видна в проводнике. Удаляешь - она через 5 секунд появляется снова. В папке ТЕМР генерятся файлы вида А067125.* расширение не помню... а в папке /систем32/ прямо в корне лежит этот самый system.exe и еще куча файлов с именем из трех цифр с расширением ехе. Пошел дальше - подцепил диск к живой машине. Просканил теми же АВЗ и куритом. Вычистил руками все в системном разделе. Подключаю диск обратно - хватило до первого выхода в инет. Снова этот system.exe. Причем в таскменеджере висит его процесс. В итоге на ноутбуке пришлось переустанавливать винду. На одном из компов тоже... Второй комп почему то вылечился... Сам не пойму как. Но пока дата не меняется, и все нормально. Судя по форумам эта сволочь ничем локально не убивается. Только на другой машине. Распространяется через флэшки (кстати спасибо за совет с папочкой авторан.инф)... Тырит пароли и отсылает их хозяину. Помимо этого жутко флудит сеть - так что провайдер меня просто отрубил от сети за вирусы. Итак вопрос - как эта гадость могла попасть на комп где отключены все ЮСБ порты и приводы? Если она попала по сети - то почему ее ни один антивирь не вычищает? И где сидит "босс" который снова запускает этот system.exe после удаления? Прошу только конкретные пути лечения. У нас уже пол города им перезаражалось. А т.к. многие обращаются ко мне - хотелось бы знать лекарство. так чтобы сразу и наверняка... Более подробно можно почитать тут http://www.viruslist.com/ru/viruses/enc ... usid=34378 или способы лечения (которые кстати не помогли) тут http://forum.windowsfaq.ru/showthread.p ... a6&t=75767
Добавлю - ТроянРемувер при сканировании ругается на system.exe но где и чо лежит не указывает...
Пошла у нас в городе эпидемия вирусная. Началась на 8-мартовский праздник. Значит имеем два ПК и один ноут. Все в разных сетях и у разных провайдеров. На одном ПК полностью залочены все диски кроме диска D с данными. Т.е. и сидиром, и ЮСБ порты и даже диск С просто твикером отключены. На втором ПК и ноуте все попроще. В итоге в один прекрасный день юзвери мне жалуются на то что у них время сменилось на 6-00 и дата 2070 год. Ну сменилось и сменилось... Ясное дело вирус. Везде стоит НОД-32 (второй) - базы обновляются регулярно. Запускаем сканирование - чето тон там понаходил, ну и ладно. Перезагрузка - и оппа! Доходит до диалога ввода пароля - вводим. И снова - логофф и выкидывает в пароль. И так бесконечно. Я заволновался. Гружусь с ЕРД командера. Захожу в реестр. Смотрю параметр userinit.exe. Так и есть - в конце строки прописано C:/WINDOWS/system32/system.exe. Исправляю - загрузка проходит на ура. Лезу исправлять дату. Меняю на текущую. Минуты две все спокойно - потом снова бах! 2070 год. Лезу в реестр - снова систем.ехе. Закачиваю AVZ, закачиваю CureIT - сканирую. Нахожу еще больше бяки чем нашел НОД32. Полазил на форумах - почитал. Выяснилось что эта гадость называется каким-то там трояном и имеет вид в системе system.exe. Маскируется под драйвер. Видна в проводнике. Удаляешь - она через 5 секунд появляется снова. В папке ТЕМР генерятся файлы вида А067125.* расширение не помню... а в папке /систем32/ прямо в корне лежит этот самый system.exe и еще куча файлов с именем из трех цифр с расширением ехе. Пошел дальше - подцепил диск к живой машине. Просканил теми же АВЗ и куритом. Вычистил руками все в системном разделе. Подключаю диск обратно - хватило до первого выхода в инет. Снова этот system.exe. Причем в таскменеджере висит его процесс. В итоге на ноутбуке пришлось переустанавливать винду. На одном из компов тоже... Второй комп почему то вылечился... Сам не пойму как. Но пока дата не меняется, и все нормально. Судя по форумам эта сволочь ничем локально не убивается. Только на другой машине. Распространяется через флэшки (кстати спасибо за совет с папочкой авторан.инф)... Тырит пароли и отсылает их хозяину. Помимо этого жутко флудит сеть - так что провайдер меня просто отрубил от сети за вирусы. Итак вопрос - как эта гадость могла попасть на комп где отключены все ЮСБ порты и приводы? Если она попала по сети - то почему ее ни один антивирь не вычищает? И где сидит "босс" который снова запускает этот system.exe после удаления? Прошу только конкретные пути лечения. У нас уже пол города им перезаражалось. А т.к. многие обращаются ко мне - хотелось бы знать лекарство. так чтобы сразу и наверняка... Более подробно можно почитать тут http://www.viruslist.com/ru/viruses/enc ... usid=34378 или способы лечения (которые кстати не помогли) тут http://forum.windowsfaq.ru/showthread.p ... a6&t=75767
Добавлю - ТроянРемувер при сканировании ругается на system.exe но где и чо лежит не указывает...
Лучше умереть когда хочется, жить чем дожить до того, когда хочется умереть.