my life, my ideas, my thoughts…

ОБНОВЛЕНИЕ: новый способ лечения http://news.drweb.com/show/?i=304&c=9&p=0

И так столкнулся с таким вот чудом sdrv64.exe которая сопровождалась картинкой с прозьбой куда то что то отправить по sms…и так лечим, сразу скажу, что диспетчер задач,и все что только можно было заблокировано,при попытки запуска любой программы или например Process Explorer от Microsoft/Sysinternals качнуть программа не запускается,а сразу же вырубается…сказать проще у вас незапускается ничего,попытки грохнуть руками были безуспешны,т.к. avz не запускался,а файлы которые я смог найти и вычестить руками оказывались лишь только копией и после ребуто все начиналось снова…кстати cmd не отвечала тоже поэтому tasklist taskkill не работали…

как лечил:
1. Качаем это http://narod.ru/disk/15850466000/rescuecd.iso.html
2. Затем загрузится с данного CD на зараженной машине
3. Обновляем базы антивирусного модуля(если будет доступен интернет) и пролечить систему,штука прикольная и мне понравилась. (это зругрузочный диск на gentoo linux от касперского), просканил весь диск и грохнул 20-30 разных dll и т.п.
4. После этого винды загрузились нормально и нужно было продолжить восставноление.
5. Качаем AVZ и выполняем в нем данный скрипт:
Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\system32\fcuaf.dll','');
QuarantineFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\nbkxq.dll','');
DeleteFile('C:\DOCUME~1\E25D~1\LOCALS~1\Temp\nbkxq.dll');
DeleteFile('C:\WINDOWS\system32\fcuaf.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.


ребут и все ОК