Вообщем что я сделал:
1. копирнул из windows\system32 в \windows\ файлик csrss.exe, все равно его два процесса services.exe и svchost.exe отслеживают на наличие, а вот на размер, дату и тому подобное они не реагируют. Хотя можно в windows файлик csrss.exe заменить любым другим, не забыв его заранее переименовать в csrss.exe.
Просто так файлик и в сейфмоде не удаляется, тут же появляется снова, этому способствуют больные services.exe и svchost.exe, а вот заменить можно.
2.Затем идем в сейфмод с cmd...
убил \windows\csrss.exe
и в реестре убил HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = CWINDOWScsrss.exe.
Эта ветка тоже при наличие в памяти вируса не убивается. Тут же возникает вновь. Т.е. предварительно нужно проделать то, что было описано в п.1.
3. После этого перегрузился (сторож наконец-то показал нулевую активность) и отправил Dr.Web сканировать все подряд на наличие каких-нибудь еще вирусов. Пока Win32.HLLM.Perf больше нигде не проявился.
|