вторник, 14 июля 2009 г.

Продолжается борьба с Dr Web Security Space 5.0.

Предыстория такая.
На компе был установлен Dr Web Security Space 5.0. Пользователь компа через интернет занес вирус из серии "Пошлите смс". При загрузки юзер вместо рабочего экрана видит надпись, мол ваша операционная система не имеет лицензии и нужно получить код активации путем посылки смс на номер и т.д. Значит для начала нужно убрать вирус. Первый вариант загрузиться с диска Live CD DR Web проверить систему. Антивирус почистит вирусы и возможно вы просто загрузитесь. Так как я был не на месте, я пытался решить вопрос по удаленному доступу. У меня был доступ к одному из компов в локальной сети с зараженным компьютером. Для получения информации о процессах запущенных на зараженном компе набираю в командной строке:

tasklist /s <имя компа> /u <пользователь> /p <пароль>

Пользователь должен обладать правами администратора.

Два процесса мне показались подозрительными:

1. sound.exe
2. wnxkdroyie.exe

Убиваю их командой:
taskkilll /s <имя компа> /u <пользователь> /p <пароль> /PID <номер процесса> /F
Номера процессов выдает команда tasklist.
После этого окно с предложением послать смс исчезает, но рабочий стол не появляется. Кстати это мой второй опыт борьбы с этим вирусом. В первый раз появился рабочий стол и я уже антивирусом почистил комп. На этот раз все было сложнее. Так же по сети я про сканировал системный диск зараженного компа в поисках sound.exe и wnxkdroyie.exe
Вот где они сидели:
c:\windows\media\sound.exe
c:\windows\temp\wnxkdroyie.exe
Я их удаляю. Перезагружаю комп . Сообщения нет , но и рабочий стол не загружается.
Теперь уже по удаленке с помощью regedit подключаю реестр зараженного компа и ищу по названию вирусов (sound.exe и wnxkdroyie.exe). Regedit находит в разделе Winlogon параметр shell установлен вместо "Explorer.exe" - "c:\windows\temp\wnxkdroyie.exe".
Исправляю.Перезагружаюсь. Все ОК. Кроме Dr Web Security Space 5.0.
Служба Dr Web Guard вылетела с ошибкой. С вирусом покончено, но как же Dr Web. Пробую деинсталировать - не получается . Самозащита не выключается. Руками отключил самозащиту (То есть удалил файл c:\windows\sysytem32\dwprot.exe). Вроде дал деинсталироваться, но последующая установка опять неудачная. Dr Web Guard не запускается Итак я провозился целый день, но добиться ничего не смог. Отправил запрос в техподдержку. Посмотрим поможет или нет.
Автор: на
Ярлыки:

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)