Попался мне тут один эксплоит, весьма вредный.
Из-за него падали ВСЕ браузеры, отрубилось восстановление системы.
У меня Windows 7, поэтому и большинство рекомендаций для неё.
вирус описан достаточно подробно здесь:
http://onthar.in/articles/icq-spam-carberp-i-blackhole/ У меня он прописался:
C:\Users\Владелец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\w9xRX0iL600.exe
С:\ProgramData\FJPJhdLtDs10azgz.dll
во временной папке Temp тоже его файлы были C:\Users\Владелец\AppData\Local\Temp\
может ещё где-то пока ищу.
забросил файлик на virustotal. Avast и GData нашли в нём Win32:Kryptik-IAM
остальные антивирусы, включая касперского, тактично промолчали:)
Методы борьбы, которые использую:
-AnVir Task Manager - там можно посмотреть какие dll подцепились к тому или иному процессу и где они лежат, а также посмотреть, что в автозапуске
-ProcMon - монитор процессов, который показывает какой процесс что и куда пишет
-Unlocker - позволяет удалять неудаляемые или защищённые файлы
-ProcessExplorer - штука хорошая. но у меня глючит
-Registry Workshop - удобная прога для работы с реестром
-WinXPE - позволяет грузить винду с CD, не инсталируя её - удобно, если нужен доступ к запоротому диску C через винду
www.virustotal.com - здесь можно просканить подозрительный файл несколькими антивирусами
http://virusinfo.info - здесь вам бесплатно помогут вылечить компутер
имеет смысл просканить комп прогой Malwarebytes (http://www.malwarebytes.org/)
сбросить winsock и tcp/ip можно командами (обычно нужно, если ping пишет General Failure):
netsh int ip reset
netsh winsock reset
восстановление системы можно запустить выполнив в меню Пуск:
rstrui.exe
если оно отключено по непонятным причинам:
1) выполнить gpedit.msc
Политика "Локальный компьютер"/Административные шаблоны/Система/Восстановление системы
"Отключить восстановление системы" должно быть "Не задано"
На всякий случай можно принудительно отключить.
2) проверить в "Мой Компьютер"/меню "Свойства"/пункт "Защита системы"
или просто набрать в меню Пуск: systempropertiesprotection и нажать enter
восстановление должно быть включено.
Маленькие твики лично от меня: 1)если dll не удаляется - её можно
переименовать(!) и удалить после перезагрузки или путём перенесения переименованной dll в другую папку. парадоксально, но факт
2)если вы не хотите, чтобы в какой-то папке создавался файл с именем, например w9xRX0iL600.exe. Просто создайте там подпапку с таким же именем (включая расширение)