Все бы хорошо, если бы не НО.
Утилита, формируется каждый день. И в один прекрасный день, случился ГЛЮК.
После выполнения всех действий утилита себя не удаляла из временных файлов.
Тот файл, который мы получаем, это самораспаковывающийся архив. И распаковывается он во временю папку Temp, по адресу
C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
-- ваше имя – отображается при входе в систему. Имя пользователя.
Запускал несколько раз, и получилось несколько папок.
Совершенного антивируса не бывает, поскольку
сначала пишут вирус,
потом его надо обнаружить
и лишь потом, придумать антивирус.
Поэтому время от времени пользуясь разнообразными программами, и вручную
проверяя папку C:\windows\system32,
очищая папку C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
проверяя реєстр windows
Обнаруживая посторонние объекты, смело их удаляю. Удалить их не просто, они либо скрыты в системе и их не видно, как обыкновенные файлы, а так же запрещено удаление.
Еще можно делать такую профилактику
sfc /scannow – запускается с командной строки
что она умеет
Но это так на вскидку, отвлекся от темы
Возвращаемся к утилите Cureit
Захожу папку C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
Внутри папок
При «попытке» удаления файлов
Письмо в службу поддержки успехом не увенчалось. Забил гвоздями на эту идею. Ребята либо ленивые, либо не компетентные, либо безопасность. Что с них взять, утилита, то безОплатная.
1. Попытка
а) Запускаю систему через F8 (Защищенный режим). Сразу при включении ПК удерживаем F8.
б) открываю
C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
Пытаюсь переопределить права
Неуспешно
Поскольку это не привело к успеху, не описываю
2 Вторая попытка
а) открываю Реестр – из командной строки regedit.
Ишю - F282BBC8-53EAAA18-1BA0D6DE-8F7658EC
Это название папки, которая не удаляется, в папке Temp
Одессит сказал бы, - И шо вы думали…
Находим все наши четыре папки
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\0]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\ AF624C78-9A5FC7A8-1BB5F380-FC240888""
Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\1]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\F282BBC8-53EAAA18-1BA0D6DE-8F7658EC""
Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\2]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\B2BF0D90-5A15F356-94FDCF61-59D15A23""
Type"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters\Files\3]"
Volume"=hex:d2,39,d3,39,00,7e,00,00,00,00,00,00"
Name"="\\Documents and Settings\\*******\\Local Settings\\Temp\\15EAB006-22675FB2-A2726C62-4A8E6744""
Type"=dword:00000001
И собственно даже путь к ним указан
Мы счастливы
б) пробую удалить
Неуспешно, запрещено удаление
Теперь понятно, мы уже близко
Кто-то блокирует наши действия.
И кто это может быть если не резитент.
3 Третья попытка
Сначала просмотрел всех резидентов, кто работает
Пуск \ правая м. «Мой компьютер» \Управление – Службы и приложения \ службы
Ничего не обнаружил
а) Зову на помощь u02Rk.exe RootKit Unhooker
Code Hooks / Scan
Получаем
Ищю поиском DwProt.sys
Нахожу C:/Windows/System32/DwProt.sys
Смотрю сводку
Ну да, ну да. Стукнутаяяяяяяя.
и еще раз выполним - u02Rk.exe Code Hooks / Scan / UnHook All
б) Перезагружаюсь
Удаляю C:/Windows/System32/DwProt.sys
Все отлично.
в) Захожу в реестр, чищу
Все отлично
г) Захожу (открываю)
C:\Documents and Settings\-- ваше имя --\Local Settings\Temp
Все красиво удаляется
Я не анализировал работу DwProt.sys, но если кому будет интересно, обратите внимание.
Пока лишь только Богу известно какая информация может собираться и отсылаться в студию Doctor Web, и кому она предоставлена.
Это только начало, если порытся в файле DwProt.sys и в реестре DwProt, можно узнать много интересного.
На случай всякий поменял везде пароли. :)