Цитата Sham:
|
В ICQ постоянно получаю левые контакты (стоит авторегистрация) с женскими именами, где в заметках обнаруживается всякий спам... »
|
Недавно был случай, на компе нет антивируса, но в две разные аськи приходят точно такие же сообщения от некоей Таньки из одноклассников, первый раз когда был такой приход, я подумал, ну, спам обычный, а когда на тот же самый комп, но на другой номер пришёл точно такой же спам из реально действующего номера, меня насторожило, проверил AVZ - сделал лог и увидел работающий драйвер и в %WinDir% неудаляемый файл, запускавшийся при старте из автозагрузки:
Код:
C:\WINDOWS\system32\drivers\rk_remover.sys
C:\WINDOWS\ramoking.exe
Пришлось составлять скрипт, получился такой
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('rk_remover-boot', 4);
StopService('rk_remover-boot');
QuarantineFile('C:\WINDOWS\ramoking.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
DeleteFile('C:\WINDOWS\ramoking.exe');
DelCLSID('{5A0CAB40-AC94-32AC-0494-4610C850DA02}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ramoking');
DeleteService('rk_remover-boot');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполнив скрипт, комп больше этого спама от Танек не получает. Связано это с обнаружеными службами и файлами или нет, не знаю, но на всякий случай решил отписаться. Может рискнуть и проверить комп AVZ ?
