|
Для начала воспользуйся сервисом Whois и отследи диапазон IP, принадлежащий login.web-bus.net. Потом заблокируй фаером этот диапазон.
Потом в списке процессов посмотри названия одинаковых процессов. Их будет несколько. Посмотри имя пользователя, от которого запущены процессы с одинаковыми именами. При этом важно, чтобы вход был выполнен только одним юзером. Как правило, но не всегда, сторонние процессы маскируются под системные с такими же именами, но запускаются от имени юзера, а не от SYSTEM.
Далее в Total commander или другом файл-менеджере выполни поиск по всему системному диску, но при этом поставь видимыми все скрытые и системные файлы. Критерий - названия файлов, коорые ты нашел в вышеприведенном абзаце. Затем у каждого найденного файла с таким названием смотри его свойства. Все нормальные файлы подписываются, имеют номер версии, производителя и т.д. А вири и трояны никто не подписывает. Причем файлы вирей и троянов имеют атрибут скрытый или системный.
Когда ты выщемишь таким образом подозрительный файл, то сделай поиск опять по всему системному диску файлов, имеющий такую же длину, вплоть до байта. Трояны и вири, как правило, на винте не в единственном экземпляре.
Теперь можешь удалять все найденное. До этого нужно закрыть эти процессы или же для их удаления загрузится в безопасном режиме.
Вроде все. Может что не понятно - пиши.
|