на одном из компов в офисе прокрался троян…
НОД32 визгнул, но не смог побороть его, только лишь система ушла автоматом в перезагруз…
так вот, троян прописался в автозагрузке, сохранив свои вредные системные файлы.
Все эти файлы частично были удалены с помощью утилиты AVZ, но какая то часть трояна, где то еще закралась в системе и не давала изменить порядок автозагрузки…
так вот этот вирусо-троян вырубил NOD32 из автозагрузки, прописав вместо него и других программ себя, т.е. WinHelp32, причем в двух экземплярах… а когда я пытался в msconfig поставить галку чтоб загружался антивирус во время загрузки Виндоус и убирал галочки напротив Winhelp32, то он эти действия просто НЕ сохранял…
При попытке удаления этих файлов из реестра, система выдывала ошибку, что якобы нельзя их удалять.
Хотел было поставить свеженький Ad-aware дабы очистить эту гадость, но тщетно! в данном случае вообще при установке система вылетала в синий экран смерти.

Этот троян так же поддерживают два файла “сообщника” vmmreg.dll, video.sys, которые при удалении главного, возрождались как робот-убийца из жидкого металла в фильме Терминатор-2
Файл video.sys постоянно восстанавливался в скрытой папке windows/system32/webmin

Чем лечить и уничтожить бяку?

 1. Просканировать с помощью утилиты AVZ4 и еще выбрать в меню > Мастер поиска и устранения проблем – далее >все устранить…

2. Пофиксить заразу с помощью HijackThis
a. Скачать программу HijackThis. и сохранить её на диске в специальной, но ни в коем случае не темп-папке. В противном случае Вы не сможете отменить ошибочно сделанные изменения .*)
b. Запустить файл hijackthis.exe**)
В главном окне программы нужно нажать кнопочку “Do a system scan only”
c. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку “Fix Checked”. Затем следует перегрузить компьютер.
———-
*) У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.
**) В случае, если из-за активных зловредов запустить файл hijackthis.exe не удаётся, необходимо переименовать его в например test.com, причём расширение *.com является в этом случае обязательным

3. Удалить файлы-вирусы-черви-трояны с помощью IceSword

-Запустите программу, внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита, путь к которому Вам написал хелпер.
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте “да”.
-Перезагрузите компьютер.

4. Проверить еще раз автозагрузку с помощью программы Startup Extractor
которая видит больше, чем стандартный msconfig и умеет контролировать список программ, которые запускаются при старте Windows.
Имеется возможость добавлять, удалять, временно отключать программы автозагрузки, сохранять(восстанавливать) список автозагрузки, редактировать параметры программ.

5. Обновите Windows, поставьте Сервис пак 3 (SP3) Удачи! ;)

(Visited 23 times, 1 visits today)