Barence
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3
Fom64
Всё оказалось просто...  У меня была одна хитрая приблуда для одной программы - из тех, что в этом разделе не обсуждаются.  В принципе, у меня есть возможность использовать эту программу и без всяких "хитростей", но она довольно громоздкая, решил приберечь "свою" до переустановки системы начисто; пока же, т.к. в системе уже сейчас довольно много всего, использую несколько урезанную и с "хитростями".
В качестве таковой, насколько смог понять, там используется скрипт *.vbs, сидящий именно по указанному в сообщении выше пути. На него мне постоянно указывал Norton Power Eraser (дополнение к Norton Internet Security для более глубокой проверки на всякие там руткиты и проч.); однако сам антивирус до недавнего времени с ним вполне уживался; я, зная, что это и для чего, игнорировал это. Так вот этот скрипт как-то там сам обновлялся, что ли, через Сеть - дата его изменения каждый раз была разная. В автозагрузке в реестре, как выяснилось, были прописаны запуск wscript.exe и этого скрипта через него, видимо как-то слинкованные друг с другом.
А так как антивирус с каждым обновлением (замечаю это) становится все строже и бескомпромисснее - и в принципе это хорошо, - скорее всего, при очередном обновлении баз он стал строже к этим процессам; выше я писал, что успел только базы обновить, и начались проблемы. А может, это сам скрипт как-то так обновился, что стал восприниматься более опасным...
Позавчера при проверке сканером от Касперского он тоже нашел этот скрипт - я согласился на его удаление, однако и после этого истерика антивируса продолжалась(!); потом сканировал DrWeb'ом, сначала в обычном, потом в безопасном режиме - ничего серьезного, кроме хорошо известных мне утилиток, любящих, к несчастью, показывать рекламу, обнаружено не было. После сканирования в безопасном режиме хотел, по совету выше, переименовать wscript.exe, однако и там требовалось изменение прав, а я в отношении системных файлов (да, я знаю, что сам по себе wscript.exe - это не вирус) стараюсь лишний раз этого не делать - нет уверенности, что потом правильно верну всё обратно.
В общем, потыкав в безопасном режиме на кнопки в окошках изменения прав, решил на свой страх и риск загружаться в обычном режиме - тем более что при этом ничего из Сети загрузиться не могло: использую 3G-модем и Сеть включаю только когда нужна. И при загрузке системы, еще до загрузки антивируса, получил окошко Windows Script Host с сообщением, что вышеозначенный "хитрый" скрипт не найден. Получается, что несмотря на его отсутствие wscript.exe пыталась его запустить! Ярлыки-то в автозагрузке оставались... Думаю, антивирус поэтому и истерил - не понимаю только, как это могло быть при уже удаленном скрипте? Разве что как-то могло повлиять то, что я не делал перезагрузки с момента возникновения сообщений от антивируса и до указанного момента? После перезагрузки, кстати, паника антивируса прекратилась...
В общем, удалил я программу и все ее "хитрости", включая ярлыки в автозагрузке на запуск wscript.exe и того *.vbs, и сейчас вроде бы ничего подозрительного не происходит... Но червячок всё же гложет - а вдруг что-то пробралось, и все изложенное никакого отношения к панике Нортона не имеет? Хотя смотрел через ProcessExplorer - валяется давно в папке в системе, - в меру своего понимания ничего подозрительного не обнаружил... И проверял тоже уже несколькими известными и рекомендуемыми в таких случаях довольно въедливыми сканерами, все со свежими базами, - последний, AVZ, сканировал почти сутки, даже файлы Нортона поначалу на карандаш взял, но проверив, сказал, что ошибся, всё в порядке. Ничего подозрительного... Паника Нортона закончилась, а сам сиди теперь и думай всякое... 
Вот так. Спасибо за участие. |
Всего записей: 21 | Зарегистр. 05-02-2016 | Отправлено: 17:46 19-03-2022 | Исправлено: Barence, 17:49 19-03-2022 |
|
) и вылетает в перезагрузку. В режиме с винта опять загружается прогон сканера, потом минуту идет полоска как бы загрузки, потом все заканчивается и вылетает в перезагрузку. В логе ничего. Как будто я Defender и не запускала вообще. Этот же вирь или майнер постоянно рвет сеть во время загрузки апдейтов Loaris Trojan remover и Drweb. Вчера полчаса загружала больщой апдейт Loaris, все время обрывы-обрывы. И начинай сначала. А когда он наконец загрузился, база, которая была 1649825 записей. Стала 1623178. Заразу конечно подцепила с флешки от Стрельца (увы, других вариантов поставить систему на винт от другого ноута, к тому ноуту привязанный, не было), Так там, на флешке, только Loaris нашел 29 троянов и майнеров, веб всего 4, ну а в режиме Win10 Pro они ничего на винте не находят, т.к. скрытых разделов конечно не видят. Скажите, что можно еще поставить (без вирей-троянов, не стрельцы и не ратиборусы только). чтоб залезть в винт C и например запустить тот же Loaris от Trusted Installer из WinPe, или какой еще антивирь может автономно отработать, несмотря на попытки его остановить? 
