UPDATE
Я опубликовал свое решение ниже.
Эта штука всплыла на компьютере одного из моих сотрудников в пятницу. Я провел большую часть выходных, сканируя компьютер с помощью Avira AntiVir, Avira Boot Sector Repair Tool, Kaspersky Virus Removal Tool, Malwarebytes, Spybot, McAfee Stinger и еще чего-то, что я забыл, и все они что-то нашли. В целом, все они вычистили около 400 вредоносных элементов, кроме этого.
Этот экран появляется сразу после загрузки компьютера и входа пользователя в систему. Происходит небольшая задержка, пока ОС загружает профиль, после чего появляется это окно. Я думаю, что это что-то вроде взлома браузера, потому что я видел, как Firefox (кажется, 3.6.18) запускался прямо перед его появлением.
Я могу нажать CTRL+ALT+DEL и вызвать диспетчер задач, но как только я это делаю, экран вируса перекрывает его.
Что это за вирус и как я могу от него избавиться?
Итак, потратив несколько дней на борьбу с этой штукой, я, наконец, избавился от нее. Я почти уверен, что выбрал правильный, но по пути я нашел несколько подозрительных предметов, которые могли внести свой вклад. Вот шаги, которые он предпринял, чтобы очистить его.
Первое, что я сделал, это проверил все места автозапуска в Windows. Я следил за этой статьей здесь. Большинство мест были чистыми, за исключением:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\Documents and Settings\NetworkService\Application Data\09A52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
REG_SZ
с именем 2C508BD5-F9C6-4955-B93A-09B835EC3C64
, который указывал на файл msvcs.exe в ключе Userinit
.HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
\toldvw32
и torlfsvses
. Оба узла имели ключи, которые указывали на файл toldvw32.dll
и были установлены с событием WlStartupEvent
. Поиск их в Google в то время не дал никаких значимых результатов, поэтому я удалил их. Проблем с этим пока вроде нет.Настоящая проблема в том, что файл msvcs.exe
. Если кому-то удастся выжить, он будет реплицировать себя во всех профилях пользователей на машине. Поскольку он был подключен к профилю NetworkService
, он всегда будет следить за тем, чтобы он существовал в других профилях.
Есть три места, где существует msvcs.exe
. Они есть:
{PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A
{PROFILE}/Start Menu/Programs/Startup
WINDOWS\Prefetch
MSVCS.EXE-0CA809BA.pf
и MSVCS.EXE-301B4EC0.pf
. Я пошел дальше и удалил их без проблем (по крайней мере, пока).Я надеюсь, что это поможет кому-то в будущем. Это сработало для меня. Если у вас есть компьютер, на котором это было/есть, и он подключен к домену, обязательно проверьте папку профиля пользователя на сервере, там тоже есть копия. Излишне говорить, что не входите в этот профиль прямо на сервере, потому что после этого вы просто очень весело проведете время...
Кроме того, вы не можете очистить его через безопасный режим, если профиль, в который вы входите, был заражен. Я использовал UBCD4Win, чтобы очистить то, что я видел, затем я сделал все остальное через безопасный режим.
Теперь я знаю, что общее мнение состоит в том, чтобы взорвать компьютер и начать с нуля, но это не всегда возможно в бизнес-среде. После того, как я очистил его и подтвердил чистоту с помощью нескольких антивирусных инструментов, я запустил chkdsk /f /r
на диск, дефрагментировал его с помощью MyDefrag (4.3.1), и компьютер работает отлично, как будто этого никогда не было. Таким образом, взрыв компьютера - не всегда лучший способ действий, как указал сам @Synetech.
Наконец, Касперский был установлен на компьютер, но каким-то образом был выключен, и вот как вирус (вредоносное ПО?) проник и сделал то, что сделал. Я вообще не фанат антивирусного программного обеспечения, на самом деле у меня его нет на моих 6 или около того компьютерах, но в среде, где у вас есть технически неопытный персонал, было бы неплохо иметь его и также очень хорошая идея убедиться, что он действительно включен и обновлен.
Это все классные ребята. Я надеюсь, что кто-то еще сможет извлечь пользу из этого ответа в будущем.