Надеюсь комуто поможет (Для WinXP). Ищем в службах, примерно около служб начинающихся на а б, незапущенную службу с иногда довольно оптимистичным названием
(Защита Windows, Server Windows). Но это не главное. Главное, что она не запущена и в свойствах имя службы примерно такого вида aazifljdb. То есть бессмысленное название. Режим запуска у этой службы - Авто. Если вы попробуете изменить способ запуска, то она вам сообщит об отказе это сделать - это самое главное. Затем лезете в реестр и вводите для поиска это aazifljdb название.В ВАШЕМ СЛУЧАЕ ЭТО МОЖЕТ БЫТЬ ДРУГОЙ НАБОР БУКВ В НАЗВАНИИ!!! Встретится один раз в мультистроковом ключе. Удалите. НЕ ВЕСЬ КЛЮЧ СРАЗУ А ТОЛЬКО ИЗ СПИСКА В ЭТОМ ПАРАМЕТРЕ. Потом раза 4 встретится, но при этом чтобы удалить придется изменить разрешения для доступа. Можно дать полный доступ пользователю ВСЕ и естесственно удаляете эти ключи. Перезагружаете компьютер. И если у вас не стоит файервол и в вашей сетке эпидемия, то тут же ловите его к себе обратно. По крайеней мере с авастом происходит именно так. Для этих целей, если у вас чтото наподобие аваста, ставите файерволл или лочите службы на портах 135 139 445. В общем скачивайте вот это
http://www.firewallleaktester.com/wwdc.htm Или на худой конец что сделал я. Вирусяка (всмысле червячек Net-Worm.Win32.Kido.ed ) через вот такой метод по версии каспера (12.01.2009 20:52:13 Intrusion.Win.NETAPI.buffer-overflow.exploit 192.168.111.163 TCP 445 )ломится к вам в систему по вот такому вот пути
(:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\). Здесь в 4 папках появляются файлы с вирусами (вот их примерное или точное название nlxw[1].png lacxgpdn[1].jpg kidzkm[1].bmp iyyg[1].png )
и потом лезут в system32. Один под названием x второй под названием уже не помню каким. Название начинается на b и это дллка. Все это не важно. Важно то, что я убрал доступ к папке :\Documents and Settings\NetworkService\Local Settings\
всем пользователям, заменил владельца на своего пользователя и потом дал для своего пользователя доступ к папке "только для чтения". Вы поняли. Чтобы никто ничего не мог туда записать. Даже я. Сразу или после перезагрузки можно удалить всю какубяку которая там ошиватеся. Но на этом не все (Я понимаю что через 33 забора все но ...) Теперь червяк ломится в папку :\WINDOWS\Temp\Temporary Internet Files\Content.IE5\. Здесь процедура точ такая же. Убираем доступ для всех и ставим для себя "только чтение" и сразу или после перезагрузки удаляем каку. Сделал так на двух машинах (не своих. У меня Каспер сетевым экраном отбивается). Перестали появляться файлы червячка. Но как говорится Ысчо не время.
Примерно вот так все выглядит и так можно справится. За 33-х заборный метод не обессудьте
Главное что теперь можно понять что это такое и через как оно лезет.
У себя я удалил просто службу и перезагрузил комп. Все работает. Каспер отбивается .У других аваст, но с чужим файерволом тоже справляется. Если бы не каспер, то никто и не узнал бы почему нельзя зайти на сайты с антивирусами. Дада. Я узнал, что у меня вирус только когда попытался обновить каспера. Не вышло. (Если возник вопрос как я заразился, то ответ таков. Эксперименты с виндой вызвавшие ошибки в работе сетевого экрана Касперского. Экран откличился изза ошибки вызванной моими экспериментами) Обновился в безопасном режиме и каспер стал кричат вот так.
12.01.2009 20:52:13 Intrusion.Win.NETAPI.buffer-overflow.exploit 192.168.111.163 TCP 445. Атака может быть и на 139 порт. В сетке свыше 30 зараженных компов
Ждемс заплатки от мелкомягких
ПОДРЕДАКТИРОВАЛ ПУТИ. ИЗВИНИТЕ. ОШИБОЧНО НЕ ТОТ ПУТЬ НАПИСАЛ
