Переводчик Google
Phoenix
Разработчик
- Сообщения
- 2,145
- Решения
- 2
- Реакции
- 1,678
В общем поборол. После снятия блокировки на C:\Windows\Installer процесс пошёл.
Но вот такое ещё было
Код:
RegRun NTFS Checker 1.0.13
Processing C:\
C:\\Documents and Settings
Type is JUNCTION
Final Destination:
C:\Users
Failed to open:
C:\\pagefile.sys
Error:32
Failed to query reparse info for:
C:\\pagefile.sys
Error:6 Found ZA 2013 rootkit point!
Successfully removed rootkit reparse point:
C:\\Documents and Settings\All Users
C:\\Documents and Settings\Default User
Type is JUNCTION
Final Destination:
C:\Users\Default
Found ZA 2013 rootkit point!
Successfully removed rootkit reparse point:
C:\\Documents and Settings\C:\\Documents and Settings\Default\Application Data
Type is JUNCTION
Final Destination:
C:\Users\Default\AppData\RoamingPhoenix
Разработчик
- Сообщения
- 2,145
- Решения
- 2
- Реакции
- 1,678
В процессе лечения обнаружил способ запуска msi installer в безопасном режиме:
Примечание: эти операции можно заменить одной командой:
PHP:
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer" /VE /T REG_SZ /F /D "Service"
net start msiserver
pause& exit
Последнее редактирование:
Phoenix
Разработчик
- Сообщения
- 2,145
- Решения
- 2
- Реакции
- 1,678
http://www.greatis.com/security/download.htm
http://www.greatis.com/regrunck.exe Он так же есть в составе утилиты http://greatis.com/security/reanimator.html
Нет, уже исправил.
Так ни одной программы, кроме nvidia и яндекс браузера не устанавливал. Ни один fix microsoft не помог.
Что я только ни делал - windows repair tweaking.com даже не исправил, combofix, avz. А точки отката начинались с проблемного места..
В общем вирус попал из всплывающего окна, которое я разрешил. Так же папка downloads была без доступа.
SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,873
- Решения
- 2
- Реакции
- 6,502
Скриншоты на SysWatch в первом посте попрошу убрать, т.к. к нашему продукту это не относится. А может показаться наоборот.В nvidia что только не понатыкано. Phoenix, а файл самого руткита сохранился?
Phoenix
Разработчик
- Сообщения
- 2,145
- Решения
- 2
- Реакции
- 1,678
Скорее всего его не было 
Dragokas не зря заинтересовался..
Сейчас покажу фокус -
На самом деле диск D: и он его выбрал, а раз выдаётся буква E: он думает, что это вирус..
Есть подозрение всё таки на PhysX_9.13.1220_SystemSoftware.msi , поскольку он установился, а другие пакеты не могли установиться..
Dragokas не зря заинтересовался..
PHP:
Successfully removed rootkit reparse point:
C:\\Documents and Settings\C:\\Documents and Settings\Default\Application Data
Type is JUNCTION
Final Destination:
C:\Users\Default\AppData\RoamingНа самом деле диск D: и он его выбрал, а раз выдаётся буква E: он думает, что это вирус..
Есть подозрение всё таки на PhysX_9.13.1220_SystemSoftware.msi , поскольку он установился, а другие пакеты не могли установиться..
- Сообщения
- 8,140
- Решения
- 25
- Реакции
- 6,947
Phoenix, м.б. твой случай.
Мое ИМХО, попробуй несколько специализированных антируткитов для контроля.
Phoenix
Разработчик
- Сообщения
- 2,145
- Решения
- 2
- Реакции
- 1,678
- Сообщения
- 14,839
- Решения
- 9
- Реакции
- 6,781
