Стартанул с загрузочного диска Win7, подменил вышеуказанные exe-файлы на оригинальные с дистрибутива. Те, что были, проверил на Virustotal, действительно были "с подмоченной репутацией".
Цитата SolarSpark:
D:\gsyoc.pif - тело вируса(( не долечились что ли? Надо лечиться
пока такие файлы будем находить-все бесполезно »
|
Сам удивился, увидев это. Удалил при помощи командной строки того же диска, пока не воскрес.
Смущает вот что: чуть ли не на каждом шагу работы Combofix'а система выкидывает окна с предупреждением, что приложение C:/Combofix/ATTRIB.cfxxe не является приложением Win32. На своих компах проверил - нет такого. Либо сказывается заражение, либо Win7 виновата. Установить, что ли для эксперимента себе эту ось? В новом логе Combofix заражений нет. Решил для интереса установить набор обновлений на Win7, содержащий как раз помимо прочего и новую версию explorer.exe и spoolsv.exe. Выполняемый файл установки ругнулся на отсутствие целой череды файлов в windows\system32\. Это: wusa.exe, pkgmgr.exe, expand.exe. Сейчас попробую с загрузочного диска "скормить" их системе, поскольку из-под самой ОС это не удаётся сделать ("файл уже используется". Кем это?). О результатах доложу завтра.
Выяснилось, что и из-под загрузочного диска это не удаётся сделать. Что-то там с доступом.
