Wukuze 09-09-2012 12:18
экзешник там частенько только один - со странным названием. загрузи любую другую систему и поищи по дате создания, изменения. уже с такими сталкивался - на моей практике встречал там только один экзешник.
Wukuze 09-09-2012 12:20
кстати на семерке и висте получалось выйти из системы, потом зайти и успеть запустить диспетчер задач, а там уже грохнуть процесс - потом просто найти экзешник по имени процесса
artem-izh 09-09-2012 08:51
Дык нету в диспетчере никого подозрительного. При курейте запускал.
Wukuze 09-09-2012 10:13
тогда поищи измененные по дате в профиле и системных папках
artem-izh 09-09-2012 10:49
Искал, нету свежаков)))
Tips 09-09-2012 13:05
не изменение, а создание ищем. так же бывает такой прикол что дата создания датируется 1970 годом, поиск *.* и сорт. по дате
ZX-ruban 09-09-2012 13:37
Был случай когда пришлось менять таскменеджер и эксплорер, по случаю заражения последних...
Tips 09-09-2012 14:26
sethc заменить на cmd и combofix натравить с hijackthis
-=AndY=- 09-09-2012 23:26
часто нахожу заразу в c:\Documents and Settings\All Users\Application Data\
даже если в реестре почистить указанные ТС ветки, но не удалив заразу из Application Data, в реестре после перезагрузки они снова возникают
Anetrek 10-09-2012 07:50
Частенько сталкивался с тем, что гаденыши заражали диспетчер задач и другие системные файлы. Допустим при нажатии комбинации ctrl+alt+del баннер появлялся снова. И корпоративный web его не определял. Может web live usb попробуешь?
artem-izh 10-09-2012 11:12
Да уже за неимением времени винду переставил. Там уже итак нужно было. ФС в хлам была. Разумеется application data проверял. Explorer и task не заражены, ибо в безопасном режиме ладом стартует без баннера. Вобщем остаётся только поиск по созданию тщательнее проводить.
THE HEDGEHOG 10-09-2012 15:50
quote:
Originally posted by artem-izh:
Да уже за неимением времени винду переставил. Там уже итак нужно было. ФС в хлам была. Разумеется application data проверял. Explorer и task не заражены, ибо в безопасном режиме ладом стартует без баннера. Вобщем остаётся только поиск по созданию тщательнее проводить.
В автозагрузке смотрел ?
Давненько наблюдал одного индивидуума там с атрибутами скрытый и системный.
artem-izh 10-09-2012 18:03
Конечно))) Все телодвижния описаны выше. В таких случаях всегда показываются и скрытые и системные.