Rootkit.Win32.Podnuha.a || касперский как обычно...

[Tuco]

Ситуация точно такая же как здесь http://virusinfo.info/showthread.php?t=46795
не пишет диски, отрублен звук, изсчез пуск и рабочий стол (исправил, скопировав explorer.exe с другой винды)
что можно сделать?

[Wolfshade]

Tuco, лечить с независимой системы и после этого восстановление системы через sfc/ scannow.
А что исправлено копированием оболочки?
где же вы все лазиете, что у вас "касперский как обычно"...?
p.s. А что вам мешает там зарегиться, вам быстро набросают скриптики, чтобы всё это вывести. Я обычно делаю так: если не получается отрубить добро в боевой системе через autoruns/processxp/AVZ/IceSword, то перегружаюсь с ERD Commander'а и проверяю CureIt'ом, а так же руками, смотрю что по дате и по аттрибутам явно выбивается из системных файлов (когда работаешь с этим, большинство нормальных имён файлов западают в память). В общем, как-то так...

[Nozorrog]

Цитата: Сообщение от Tuco что можно сделать?

Нужно тем же Касперским сделать полную проверку компьютера, предварительно настроив его на максимальную боевую готовность - в Настройках-Проверка-Дополнительно... выставить все галочки и максимальный режим эвристического анализатора. Также в настройках проверки нужно снять галочку Проверять только новые и измененные файлы.
Кстати, под Касперским подразумевается КИС9, я надеюсь?
Удачи :-))

[Wolfshade]

Nozorrog, откуда же такие надежды?
Просто, если ситуация точно такая же, как на вирусинфо, то при проверке памяти антивирус обнаруживает вирус и начинает его лечить, а он состоит из нескольких компонентов, не только один файл, он вылечивает одно и перегружает комп, и всё повторяется снова и снова. Проходили мы такое.

[sacs]

Wolfshade! Если это Rootkit, то проверка независимым вариантом системы не позволит его выявить. Пока Rootkit в основной системе, он себя каким-то образом проявляет и есть возможность, как говорит Nozorrog, его обезвредить даже если этих файлов несколько (много). Не люблю это выражение: - это мы уже проходили
Можно в принципе совместить оба метода - с помощью независимой системы провести анализ "Documents and Settings" и системные папки и убрать (удалить) "помощников" данного Rootkitа, которые могут влиять на перезагрузку компа (предположение - но обычно системные файлы). Но всё зависит от опыта пользователя! А затем применить полную боевую готовность Каспера из основной системы.

[Wolfshade]

sacs, руткит по-любому будет виден. Как раз выявится он при проверке. А вот если проверять под заражённой системой, то есть вероятность (если руткит хороший), что антивирус просто не увидит его, ибо всё будет перехвачено и антивирус получит совершенно другой результат.
Кстати, статья оттуда же - http://virusinfo.info/showthread.php?t=1759

[sacs]

Wolfshade! В свою очередь могу предложить почитать не менее интересную книгу Д. Колисниченко "Rootkits под Windows. Теория и практика программирования "шапок невидимок"...", которая кстати поддерживает Ваш подход к решению данной проблемы.
P.S. Всё выше перечисленное носит спорный характер, поэтому применение комбинированных методов (Ваш и о чём пишет Nozorrog), в решении данного вопроса, отнюдь не повредит. А если здесь имеет место руткит + эксплойт, то тем более. Т.е. неободимо применить комплекс мероприятий.

[Wolfshade]

sacs, в общем, ждём автора и его рассказа, как он это поборол