Jecky
@Jecky
Java iOS developer

Эпидемия нового вируса?

  • Вопрос задан
  • 6119 просмотров
Пригласить эксперта
Ответы на вопрос 3
MrShoor
@MrShoor
Это руткит. Вылечить можно с помощью Vba32 AntiRootkit. Сначала через эту утилиту прибиваем процесс (будет случайный набор английских символов, а адрес запуска будет в %APPDATA%. Потому в этой же утилите выбираем низкоуровневый доступ к харду, и косим экзешник. Можно еще почистить реестр в Windows/CurrrentVersion/Run. Так же не забудьте вычистить гору других экзешников с подобными случайными названиями, лежащих в %APPDATA%, но это уже можно обычными средствами.
Ответ написан
@Zoom_spb
да, это эпидемия, причем нод ее впускает, но позже он мне поможет :)
вообщем бяка сидит в explorer.exe, по-этому нод не может ее удалить, но на самом деле, бяка хранится в \AppData\Roaming\?????.exe, еще сидит ключем в HKCU\Software\Microsoft\Windows\CurrentVersion\Run, там увидите :) но если вы его удалите — он появится, и самого файла нет в той папке, он не скрытый, его нет, быстро удалить получилось таким образом:
с открытым редактором реестра на том ключе, я в диспетчере задач завершил explorer.exe, далее в редакторе реестра — импорт, переходим в \AppData\Roaming, нажимаем отображать файлы по маске *.* и видим наш заветный ?????.exe, нод тут же его подхватывает и удаляет, потом просто запускаю процесс explorer.exe и бяки нет, надеюсь на долго, кстати, эта гадость атакует флешки, ставя всем папкам атрибуты: скрытый и системный, а сам создает линки на себя в виде папок, ну и не забыть удалить уже не нужный ключ :)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы