Столкнулся сегодня ещё с одной модификацией этого червя. На этот раз нет никакого загрузчика lsass.exe в папке Windows, червь просто нагло грузится как csrss.exe из папки Windows. Удалить не катит - процесс csrss.exe, который висит в памяти сразу восстанавливает файл, закрыть процесс тоже не получается - пишет что нельзя закрыть системный процесс. Так что лечим следующим образом:
- грузимся в безопасном режиме (держать клавишу F8 при запуске)
Страницы
огромное спасибо =)
Вот ссылка:ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Столкнулся сегодня ещё с одной модификацией этого червя. На этот раз нет никакого загрузчика lsass.exe в папке Windows, червь просто нагло грузится как csrss.exe из папки Windows. Удалить не катит - процесс csrss.exe, который висит в памяти сразу восстанавливает файл, закрыть процесс тоже не получается - пишет что нельзя закрыть системный процесс. Так что лечим следующим образом:
- грузимся в безопасном режиме (держать клавишу F8 при запуске)
- пуск-выполнить, вбиваем regedit, жмём Enter
- открываем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
- щёлкаем по папке explorer.exe правой кнопкой - Разрешения... выбираем СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, ставим 2 галочки Запретить и жмём ОК.
- перезагружаемся в обычном режиме уже
- заходим в папку WINDOWS
- удаляем злосчастный файл csrss.exe
sorry, что как для ламов объясняю, но мало ли, контингент разный сюда приходит...
windows/system32 и в windows/system32\dllcache?
Страницы