Во время перебоев с обновлениями DrWeb ES ко мне на комп (единственный из всей локальной сети, 20 машин) пролезли два вируса - wsnpoema.exe и winmap32.exe. По гуглю предлагают только похожие названия, но я проверил, у меня именно эти.
wsnpoema лежит в С:\windows\system32\wsnpoema.exe, не удаляется.
winmap32 лежит в C:\RECYCLER\S-1-5-21-9461236672-0511576427-984913309-6543\winmap32.exe, тоже не удаляется.
В реестре прописываются здесь: HKLM\software\Microsoft\windows nt\CurrentVersion\winlogon, причём:
wsnpoema дописывается к строке "userinit", где в значении указано "C:\WINDOWS\system32\userinit.exe", и вирус меняет его на "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS.0\system32\wsnpoema.exe", то есть дописывает себя туда.
winmap32 прописывается здесь же, строкой Taskman со значением "C:\RECYCLER\S-1-5-21-9461236672-0511576427-984913309-6543\winmap32.exe"
Также оба со своими путями прописываются в автозагрузку.
SpiderGuard висит постоянно, даже периодически что-то там ловит, но, так понимаю, что толку, если вирусы уже пролезли... Быстрая проверка gui-сканером гадов не обнаруживает, но на wsnpoema.exe задерживается дольше остальных. Полная проверка была проведена только один раз, как видится, не помогла. На ночь поставлю опять...
Скачал LiveCD, записал, тоже на ночь оставлял; но то-ли я что-то не разобрался, то-ли вирусы всё-таки не были обнаружены.
Прогонял полную максимальную проверку AVZ-ом с включённым AVZ-guard'ом, тоже ничего криминального тот не обнаружил. Многочисленные "быстрые проверки" пару раз обнаруживали коды руткитов, но не этих. Больше не обнаруживают.
Пробовал удалять, изменять в реестре и удалять из списка автозаргузки - сразу же всё меняется обратно. Лишение всех прав всех пользователей на эти строки реестра ничего не даёт. Неудивительно, в общем-то.
С помощью AVZ, с AVZ-guard'ом, удалил из реестра, автозагрузки. Пробовал удалить сами файлы - не получилось. При отключении AVZ-guard'а вирусы прописались обратно.
Правда, после этого WinPatrol начал с периодичностью примерно в пять минут сообщать, что этот wsnpoema хочет загружаться вместе с windows, причём он уже снова на своём месте прописался.
Может быть, удаление этих файлов из Линукса поможет? Они же не всемогущие, эти вирусы
Кто-нибудь знает, что делать?
UPD: Полная проверка GUI-сканером DrWeb не обнаружила ни одного вируса. В итоге загрузился с ERD-commander'а, удалил сами файлы вирусов и почистил от их записей в реестре. Затем, чтобы восстановилась служба Сервер, переустановил "Службу доступа к файлам и принтерам".
Активность этих вирусов прекратилась.
Очень извиняюсь, что не приложил логи сразу. Но в процессе их формирования избавился и от самих вирусов, сейчас, я так понимаю, уже поздно.
Сообщение было изменено _Алексей_: 03 Июнь 2009 - 08:54