Вирус

[Aspirant_Cat]

kravets, посмотрите, пожалуйста, вот сюда:

Скрытый текст

Это появилось после запуска свежескачанной CureIt из-под админа и прогона через неё сменных носителей, и нынче я поставила KasperskyCRYSTAL вместо KIS, поэтому смогла получить картину запуска этого PDM.Hidden Object, который в KIS определялся как PDM.Surprisious driver. У него первые буквы, я заметила, меняются, но всегда остаётся суффикс "хр". Это конфликт антивирусов или с сервера DrWeb'a поставляются заражённые утилиты или к ним что-то цепляется, пока я их скачиваю?

Последняя программа, кстати, называется AutoRun Manager и имеет цифровую подпись DrWeb'a, за счёт чего обе прописываются у Касперского как доверенные, за чем-то обращаются ко всему имеющемуся у меня софту, который потом оказывается заражён троянами (возможно, не из-за этих обращений, я просто не знаю, что думать об этом).
Добавлено через 7 минут
А ещё у флэшки, форматированной вчера на явно заражённом этой пакостью нетбуке, оказался изменён размер кластера, хотя я его не меняла.

[kravets]

С сервера DrWeb зараженный файл поступить не может. Зараза уже сидела внутри.

Отключите восстановление системы. Редактором реестра удалите из него все упоминания о двух файлах *.sys (поиск по имени, без расширения), которые есть у Вас на первой картинке. Выключите ноутбук длительным нажатием на кнопку питания. Включите и посмотрите ,что будет.

Кстати - имена исполняемых файлов очень похожи на те, под которыми работает CureIt. Вы его утром запускали?

Посмотрите еще и это:

http://www.redgrad.net/index.php?opt...d=1025&Itemid=

[Aspirant_Cat]

Я почищу реестр, конечно, но я не понимаю, неужели она пережила двойное форматирование жесткого диска? Это картинки не с нетбука, а со стационарной машины, где только что переустановлен виндовс с форматированием жесткого диска, утилита выкачивалась со всеми мерами предосторожности, проверялась касперским, и флэшки на этом компьютере не открывались еще вообще. Хорошо, что я теперь вижу, какие изменения она произвела в системе и могу попытаться их исправить.

[kravets]

Цитата:

Сообщение от Aspirant_Cat

Я почищу реестр, конечно, но я не понимаю, неужели она пережила двойное форматирование жесткого диска? Это картинки не с нетбука, а со стационарной машины, где только что переустановлен виндовс с форматированием жесткого диска, утилита выкачивалась со всеми мерами предосторожности, проверялась касперским, и флэшки на этом компьютере не открывались еще вообще. Хорошо, что я теперь вижу, какие изменения она произвела в системе и могу попытаться их исправить.

Это странно. Никто не переживет даже однократного форматирования. Я, если честно, все-таки не уверен, что это вирус.

[Aspirant_Cat]

да, я его запускала как раз в то время, что зарегистрировал касперский, а в 10.13 перезапустилась в безопасном режиме и убила папку с файлами в темпе.

[kravets]

Цитата:

Сообщение от Aspirant_Cat

да, я его запускала как раз в то время, что зарегистрировал касперский, а в 10.13 перезапустилась в безопасном режиме и убила папку с файлами в темпе.

Похоже, что это все-таки не вирус, а элементы активного CureIt. Он, к сожалению, неаккуратен в плане мусора за собой. До перезагрузки в памяти висит его процесс, даже когда он сам завершен.

[Aspirant_Cat]

Хорошо, пусть это не вирус, но все-таки я ещё раз переустановлю систему, потому что в реестре его записи не видны, хотя из четырёх удалены только две, если я правильно понимаю. Впредь буду соблюдать элементарные меры безопасности, а для удаления троянов пользоваться AVZ.

Добавлено через 23 часа 0 минут
Кажется, я схожу с ума: Касперский нашёл вирусы в собственных системных папках или я брежу?

Цитата:

23.12.2011 11:00:02 Обнаружено: HiddenObject.Multi.Generic C:\Users\All Users\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\as\pas4\ForDiff\mcflt0 0.keb.fk7 Записано в отчет

23.12.2011 11:01:09 Обнаружено: HiddenObject.Multi.Generic C:\Users\Все пользователи\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\as\pas4\ForDiff\mcflt0 0.keb.fk7 Записано в отчет

Добавлено через 52 минуты
Мне уже вторую ночь снятся вирусы

[Paul Kellerman]

Цитата:

Сообщение от Aspirant_Cat

Ну вот, переустановила

Легче стало?

Цитата:

Сообщение от Aspirant_Cat

Впредь буду соблюдать элементарные меры безопасности,
а для удаления троянов пользоваться AVZ.

Аминь!

P.S. Если виснет RootkitRevealer - это признак заразы-руткита или кривого антивируса.

[techni]

Цитата:

Сообщение от Aspirant_Cat

Хорошо, пусть это не вирус, но все-таки я ещё раз переустановлю систему...
Мне уже вторую ночь снятся вирусы

И ведь не лень же людям
Вместо того чтобы потратить 15 минут на загрузку того же http://linuxmint.com и, записав на диск, через 5 минут получить безопасную, работающую систему с набором повседневных программ...
С другой стороны - в жизни должно быть место Подвигу, Героической Борьбе (пусть и с вирусами) и Преодолению с Превозмоганием

[Aspirant_Cat]

Цитата:

Сообщение от PavelAR

Легче стало?

Нет, не стало. Легче станет тогда, когда я буду знать, что происходит у меня в компьютере и почему, и буду уверена в том, что происходящее не есть деятельность вирусов (если такое вообще когда-нибудь случится). Вот AVZ сейчас выдал подозрение на руткит C:\Windows\system32\DRIVERS\klif.sys, возможно, это остатки CureIt не прекращают своей активности. У меня уже паранойя на почве вирусов.

Добавлено через 3 минуты
Для начала попытаюсь изучить Руссиновича.