Итак, потратив несколько дней на борьбу с этим, я наконец избавился от этого. Я почти уверен, что получил правильный, но по пути я нашел несколько подозрительных предметов, которые могли бы внести свой вклад. Вот шаги, которые потребовались, чтобы убрать это.
Первым делом я проверил все места автозапуска в Windows. Я следил за этой статьей здесь. Большинство мест, где чисто, за исключением:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- У этого ключа был второй путь, указывающий на
C:\Documents and Settings\NetworkService\Application Data\09A52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Этот узел имел ключ
REG_SZ
именем 2C508BD5-F9C6-4955-B93A-09B835EC3C64
который указывал на файл msvcs.exe в ключе Userinit
.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
- У этого узла было два других узла, которые показались мне подозрительными. Они были названы
\toldvw32
и torlfsvses
. Оба узла имели ключи, которые указывали на файл toldvw32.dll
и были установлены с событием WlStartupEvent
. Поиск их в Google не дал значимых результатов в то время, поэтому я решил удалить их. Похоже, проблем с этим еще не было.
Настоящая проблема в том, что файл msvcs.exe
. Если кому-то удастся выжить, он сам себя воспроизведет во всех профилях пользователя на машине. Поскольку он был подключен к профилю NetworkService
он всегда будет следить за тем, чтобы он существовал в других профилях.
Есть три места, где существует msvcs.exe
. Они есть:
{PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A
{PROFILE}/Start Menu/Programs/Startup
WINDOWS\Prefetch
- Не уверен на 100%, но я нашел два подозрительных файла:
MSVCS.EXE-0CA809BA.pf
и MSVCS.EXE-301B4EC0.pf
. Я пошел дальше и удалил их без проблем (пока, по крайней мере).
Я надеюсь, что это поможет кому-то в будущем. Это сработало для меня. Если у вас есть компьютер, на котором он установлен, и он подключен к домену, обязательно проверьте папку профиля пользователя на сервере, там тоже есть копия. Излишне говорить, что не входите в этот профиль непосредственно на сервере, потому что после этого вы просто очень весело проведете время ...
Кроме того, вы не можете очистить его в безопасном режиме, если профиль, в который вы входите, был заражен. Я использовал UBCD4Win, чтобы очистить то, что я увидел, затем я сделал все остальное в безопасном режиме.
Теперь я знаю, что общее мнение состоит в том, чтобы взломать компьютер и начать с нуля, но это не всегда возможно в бизнес-среде. После того, как я его очистил и подтвердил очистку несколькими антивирусными инструментами, я запустил на диске chkdsk /f /r
, дефрагментировал его с помощью MyDefrag (4.3.1), и компьютер работает идеально, как будто этого никогда не происходило. Таким образом, ядерное оружие не всегда лучший способ действий, как @Synetech указал на себя.
Наконец, Kaspersky был установлен на компьютере, но каким-то образом был отключен, и вот как вирус (вредоносное ПО?) прошел и сделал то, что сделал. Я вообще не фанат антивирусного программного обеспечения, на самом деле у меня нет на моих 6 или около того машин, что у меня есть, но в среде, где у вас есть технические проблемы, это хорошая идея, чтобы иметь его и его также очень хорошая идея , чтобы убедиться , что он на самом деле включен и обновляется.
Это все замечательные люди. Я надеюсь, что кто-то еще может воспользоваться этим ответом в будущем.