От пенетратора можно избавиться без антивируса.Увы, я не помню, с какого форума я это брал – просто остался текстовый файлик, поэтому – идея не моя, но мне помогло.Итак, общие данные:1) Вирус гуляет преимущественно на флешках и обзывается Flash.scr., а ещё данный вирь в загрузочной области флэш-диска создает запись хитрую (что то типа autorun)…и когда происходит автозапуск (при всовывании флэшки) , он благополучно запускается в системе и начинает,своё чёрное дело2) Уродует файлы со следующими расширениями – “r a r R A R z i p Z I P d o c D O C x l s X L S j p g J P G m p 3 M P 3 w m a W M A w m v W M V a v i A V I m p g M P G v o b V O B p d f P D F p p t P P T”3) Изменяет конфигурацию настроек NOD32, AVP, AgnitumOutpost… А по-сему на собственных машинах избавиться от него проблематично.AVP на свое изменение говорит: Попытка процесса с PID 1508 получения доступа к процессу Антивирус Касперского с PID 1464 заблокирована. Это результат срабатывания механизма самозащиты.4) На виртуальной машине вирус и не будет запускаться. Научились они понимать ту среду, где они находятся….5) Этот вирус не видит скрытые картинки, доки, видео——-Вирус создает для своей работы Шесть файлов размера 117248 байтC:\WINNT\system32\deter177\lsass.exeC:\WINNT\system32\deter177\smss.exeC:\WINNT\system32\deter177\svсhоst.exeC:\WINNT\system32\АHTОMSYS19.exeC:\WINNT\system32\сtfmon.exeC:\WINNT\system32\рsаdоr18.dll(в названия встречаются русские буквы)а тут C:\WINNT\system32\рsagоr18.sys находится вот это : ot01_88@mail.ru*ot02_88@mail.ru*прописывает себя вот тут[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”lsass”=”C:\\WINNT\\system32\\DETER177\\lsass.exe”[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]”Shell”=”Explorer.exe C:\\WINNT\\system32\\АHTОMSYS19.exe”[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]”сtfmоn.exe”=”C:\\WINNT\\system32\\сtfmon.exe”[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]”сtfmоn.exe”=”C:\\WINNT\\system32\\сtfmon.exe”———Поэтому избавиться можно и без антивиря:Используя утилиту ProcXP от Марка Руссиновича, нужно сначала приостановить(suspend), чужеродные процессы: АHTОMSYS19.exe, svсhоst.exe,smss.exe,lsass.exe.И,только после приостановки ВСЕХ, их можно убивать, иначе один убьем, а другой активный процесс запустит вновь только что убитый…Удалить вышеуказанные 6 файлов и “C:\WINDOWS\system32\DETER177где-то видел, что этим файлам тоже не хорошо, на всякий случай удалил 🙂 C:\WINDOWS\system32\рsаdоr18.dllC:\WINDOWS\system32\sysrotdmo.sysC:\WINDOWS\system32\schmvi”Затем нужно провести поиск файлов *.src размером 117248 байт и убить.Далее можно ручками убрать из реестра, а проще утилитой autoruns из того же комплекта, что и ProcXP, убрать все лишнее из автозагрузки….В реестре правим [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]изменяем параметр”Shell”=”Explorer.exe C:\\WINDOWS\\system32\\АHTОMSYS19.exe”на”Shell”=”Explorer.exe” (чтобы не появлялось сообщение об ошибке при загрузке системы)и в[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]изменяем параметр”NoFolderOptions”=dword:00000001на”NoFolderOptions”=dword:00000000 (чтобы в проводнике опять появился пункт “свойства папки”)Повторюсь еще раз – это не мое, где брал – точно не помню [smile :-/], поэтому выразить респекты не могу.
