Добрый день, дорогие старые и новые друзья!

Прошел год-другой, и снова у меня возник компутерный вопрос, который хочется задать компетентным людям - но не просто каким-то, а таким которым доверяешь : ). Которые не обманут, а наоборот, помогут!

Подцепила я видимо вируса.... а может быть и нет.

>> Molly:
   Сама в этом несильно разбираюсь, так что могу дать только один разумный совет: воспользуйтесь утилитой Dr.Web CureIt!. Меня она уже много раз выручала 

>> Molly:
route.exe - давно известный троян из семейства вымогателей. Но удалять сам файл - бесполезно, возродится. Фокус с данной дрянью в том, что надо загрузиться в защищенном режиме и удалить папку Prefetch 3, найдя ее в папке выньдоз. Лучше на всякий случай предварительно заархивировать. А заодно проверить файл C:\Windows\System32\drivers\etc\hosts, оставив там только строчку "127.0.0.1 localhost".
Сам файл route.exe - это по идее системный TCP/IP маршрутизатор. Он может быть подменен трояном, а может быть просто перемещен, так что удалять его и чистить реестр следует осторожно.
А если еще проще - то, насколько я помню, AVZ4 вполне успешно справляется с конкретно этой пакостью (и с большинством подобных). Маленькая и бесплатная утилитка.
И в целях увеличения грамотности населения - немного теории по данному предмету.

ЗЫ: По поводу каспера - полностью согласен, просто скачанный или купленный антивирус - богомерзкая дрянь, ничуть не лучше некоторых троянов (да и использует в точности те же самые методы для вымогания денег у населения). Но грамотно крякнутый KIS2010 превращается во вполне годную весчь.

>> DHead: спасибо!!

>> Mechanical Lover: Замечательный ответ, как вы всё здорово растолковали - и диагноз, и рецепт лечения! Вы опять меня спасаете, как и год назад! : )

Вот только у меня такое подозрение, что заразко блокирует доступ к некоторым сайтам. Например второй день не открывается сайт Avira Antivir (а апдейт я делала не нормальным образом, а скачав зип мануального апдейта - у него такой хитрый адрес, что видимо зараза его заблокировать не догадалась). Ну так вот, оба линка которые вы дали - и на AVZ4 и на "увеличение грамотности" - не открываются. Гугл дает много линков на AVZ4, но нет ни одного сайта, который бы я сходу знала - а скачивать антивирусную утилиту с неизвестных мест типа "многохалявныхфайлов.ру" - это риск подцепить еще более мерзкую заразу... самое милое дело, впарить троянчег в софт который якобы должен убивать троянчеги. Вот например, можно отсюда скачать: http://mirsofta.ru/index.php?id=1217317627 Вроде на вид место приличное (но всё равно боязно). Так-то я обычно что скачиваю, сразу проверяю Авиркой - но route.exe Авирка не поймала, потому я уж ей теперь не доверяю. А жаль, такой славный антивирь, жаль что он не всё ловит...

Может быть вы прислали бы мне AVZ4 мылом, если он не очень большой? hlervu @ yandex ru
Или выложили бы куда-нибудь...

Папки Prefetch 3 у меня не видно в Safe mode. Есть только папка Prefetch, и там есть файл ROUTE.EXE-371D32DE.pf и еще много страшных файлов. Но я ее не трогала, т.к. номера 3 на ней нету. C:\Windows\System32\drivers\etc\hosts чист, там только "127.0.0.1 localhost". В общем единственное, почему я знаю что заразо сидит - если после загрузки винды, как только появился рабочий стол, сразу нажать Ctrl-Alt-Del то стабильно показывает целый экран роутов.ехе, которые через полсекунды исчезают.


СПАСИБО ЗА ПОМОЩЬ!!!!

http://slil.ru/29448378 - специально для вас только что залитая мной на файлохранилище с авторского сайта. Хотя... та еще рекомендация, учитывая то, что сюрпризов и я вполне мог добавить =)

Найденная вами папка является служебной для вынь, но указанного вами файла в ней не должно быть. Т.е. у вас он не создавал свою, а влез в служебную. Так что, если будете чистить вручную, сделайте архивную копию, какие-то файлы там могут оказаться нужными. А какие еще файлы, кроме указанного вами, принадлежат данному трояну, я просто не помню Надо лезть в справочники.

"Хотя... та еще рекомендация, учитывая то, что сюрпризов и я вполне мог добавить =)"

Ну, должна же я КОМУ-ТО доверять в этой жизни? : )))) Полный параноик обречен на одиночество, а это тоже неинтересно.

(А если вы туда подсадили сюрприз, пусть вам будет стыдно :р ).

добавлено Molly - [mergetime]1278697850[/mergetime]
ЗЫ: Там еще в Префетче ОЧЕНЬ много файлов RUNDLL32.EXE-12E27DD0.pf (с разными номерами)

И я теперь вижу, что оно и правда блокирует сайты: раз вы легко скачали с авторского сайта, значит он не лежит, он только у меня не открывается.

А учитывая то, что троян блокирует антивирусные сайты, и вы скорее всего не сумеете обновить AVZ, вот залил вам и пакет обновлений для него http://slil.ru/29448407

Спасибо огромное, скачала, запустила!

Кстати, троян может блокировать и запуск антивирусных утилит. Тогда можно попробовать это сделать из защищенного режима (хотя это полезно в любом случае, если защищенный режим не заблокирован трояном), а если не поможет - тогда только качать какой-нибудь образ LiveCD (на чистом компе, ессно), записывать его на болванку, добаить туда AVZ и на вашем компе загружаться с него.

АВЗ работает, но пока ничего не поймал. Так что есть подозрение что всё-таки троян с ним что-то мутит по ходу...

Спасибо что сказали про сейф моде, я не догадалась, запустила просто так. Если троян не поймается, попробую еще раз из сейф мода. А чистого компа в доступности в ближайшее время нету, к сожалению.

Просто записать АВЗ на болванку с моего компа - смысла не имеет наверное?

Конечно не имеет, поскольку нужен загрузочный диск с чистой операционкой и неизгаженым антивирем.
Кстати, предложенный DHead дрвебовский антивирь тоже совсем невредно испробовать.

И когда прибьете своего питомца, вы почитайте, почитайте ту ссылку, которую я дал. Если бы люди, пользующиеся компьютерами, не ленились хотя бы в общих чертах понимать, что они делают, вирусы помирали бы не успев распространиться.

В опщем, никаких "вредоносных программ" не найдено. Вот что в логе отмечено красным:



Мда. Не поймалсо... Чувствую, кончится всё форматированием диска... а у меня срочная работа и через два дня командировка : ((( и комп нужен, и времени на переустановку всех программ нету (это как раз, по старой памяти, и занимает пару тройку дней жизни).

Скажите, этот роуте - насколько он опасный? Вы говорите, вымогатель - в каком смысле? Что будет, если его просто терпеть - во всяком случае пару дней, до тех пор пока у меня не появится время всю винду снести нафиф? Если он тырит пароли, так он наверно уже стырил всё что ему надо...

Если это классический route, а не один из его клонов, то как и все RANSOM-семейсвто он должен выводить вам на рабочий стол или в браузер сообщения с грозными надписями, что ваш компьютер заражен, и если вы немедленно не отправите смс на указанный короткий номер - то вам грозит уничтожение всех данных на компьютере, пожар в сортире и внематочная беременность.
Но это по идее, поскольку именно данный троян написан вовсе уж дебильным быдлокодером, то на большинстве компов он банально не работает, или выдает системную ошибку. Но совсем не исключено, что у вас какая-то модификация. Поэтому я вам настоятельно рекомендую из защищенного режима заархивировать папку Prefetch и файлы route.exe, перенести их в другое место, а в каталоге вынь - удалить нафиг, поскольку критических данных она в любом случае не должна содержать, являясь кэшем автозапуска.
Если после перезагрузки возникнут системные ошибки - восстановить из архива на место несложно, а чистый route.exe если что, пришлю вам я (от XP SP3)

добавлено Mechanical Lover - [mergetime]1278703404[/mergetime]
Да, чуть не забыл, там же, в защищенном режиме, после того как сотрете папку и исполняемый файл, через меню "Выполнить" запустите regedit и выполните в нем поиск route.exe, и если упоминение о нем встретится еще где-нибудь, кроме HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 - удаляйте нафиг. И в этом месте тоже можно удалять, поскольку это просто лог. А системных ключей в реестре быть не должно.


добавлено Mechanical Lover - [mergetime]1278704932[/mergetime]
Хотя наверное лучше даже не так, а просто из защищенного режима очистить папку Prefetch, поскольку троян запускается именно из нее. А все необходимые системные файлы туда должны будут переписаться сами при следующей перезагрузке. И она постепенно будет заполнятся сама, как и любой кэш, и как любой кэш чистить ее время от времени полезно. А поскольку конкретно это - кэш автозапуска, то и необходимо.
Файл route.exe, находящийся в system32 скорее всего остался настоящий, но на всякий случай можно переписать. Вот чистый от XP SP3 http://slil.ru/29448733 если у вас другая ось - поищите у кого-нибудь.
Папка system32\dllcache как раз и является одним из аварийных кэшей (требуется при откате или деинсталяции обновлений выньдоз), поэтому ее тоже можно смело очистить.


добавлено Mechanical Lover - [mergetime]1278706393[/mergetime]
В общем, я не знаю как еще подробнее объяснить удаление одного из самых дебильных представителей самого дебильного семейства троянов, и без того рассчитанного исключительно на владеющих пасьянсом "косынка" бабушек. Надеюсь, вам мои объяснения помогут.

Здорово!!! Большое спасибо, попробую вручную все сделать как вы пишете. Вы очень понятно объясняете про кэш : )

Я и говрю - если это не модификация, то надписей и не будет, из-за криворукости написавшего данный троян быдлокодера. Порядок удаления - верный. Папку dllcashe очистить можно всю - зачем вам на винте полгига мусора? Она потом опять будет заполняться. Файл скачайте заранее, но в какую-нибудь другую папку. Перенесете в системную с заменой из сейфмода. Хотя это, как я сказал, скорее всего излишняя предосторожность. Не забудте очистить корзину перед перезагрузкой в нормальный режим.

Спасибо! Фсё, пошла в сейф моде....

(Я удаляю файлы через Коммандер, и прямо сразу нафиг, без корзины. И вообще все операции с файлами оттуда делаю, виндовский проводник мне не нравится).

А, черт, все можно было объяснить и намного короче, но, похоже, привычка старого наладчика неистребима - наговорить клиенту как можно больше умных слов по поводу любой самой элементарной задачи, и содрать с него соответствующую высшей сложности плату

Так, отчитываюсь.

Естественно сайты остались заблокированными, измененне трояном выньдовые настройки вы не исправили. Если файл hosts у вас пуст - запустите cmd и выполните команду "route -f", это очистит список маршрутов, после чего перезагрузите комп. Может потребоваться пересоздание подключения к инету.

На данную ветку реестра не обращайте внимания. Ключ там появился после того, как вы скачали файл. А после того, как выполните команду - появится еще в паре мест. Наплюйте, трояна вы уже убили.

Не стоит недооценивать вредоносность таких троянов - они вполне способны сделать (и делают, иначе как бы они вымогали деньги) работу на компе абсолютно невозможной, блокируя системные ресурсы и браузер.

[/QUOTE]В папке Prefetch он закономерно появился после того, как вы его запускали. Это должна быть кэш-копия нормального файла.

Раз вы скачали AVZ, запустите его и выполните следущий скрипт:

После чего снова перезагрузитесь.

Ну или просто через regedit поудаляйте все, что содержится в 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes'
Там конечно могут быть и нужные ключи, например требующиеся для подключения к инету у некоторых провайдеров, но маловероятно.

Если не поможет, там же в AVZ выполнить скрипт

Ну я не сильно во всем этом разбираюсь но:
Стоял Панда. Замечательный антивир. Только "пробник" через чур часто ноет про "приобретение" лицензионной версии
Стоял Нод. Не плохой но мне как то не по вкусу пришелся
Стоял Кашпер - с ним всё сильно тормозит


Мой выбор -  1. Avast antivirus

>> Mechanical Lover: Мне нравится, как мы с вами работаем, с одинаковой скоростью: как только я сделаю очередную операцию и она не помогает, открываю темку - а там уже написано "если не помогло, то..." : )

Спасибо, я очень ценю сколько вы времени на это тратите!

(пошла применять очередной рецепт : )

добавлено Molly - [mergetime]1278712983[/mergetime]
.... Не-а.... ничего не помогло. Сделала по очереди, всё что вы писали, сайты по-прежнему блокированы.

(Интересно, что http://kaspersky.ru блокирован, а http://avast.com - нет : ).

Ладно, тогда вот еще скриптик. Судя по всему, одним трояном дело у вас не ограничивается. Развели целый зоопарк.

Ой. И это всё у меня было?! Ужс.

По сабжу: похоже пора менять любимый антивирь. Если Avira не поймала такое изобилие, это уже пожалуй непростительно. >> Mechanical Lover: что бы вы посоветовали из бесплатных? Так на вид вроде Avast приятно смотрится...

Без паники. Последний скрипт просто выполнял поиск известных троянов и файловых вирей, замеченных в таком поведении. Начинаем поиск неизвестных.
Для начала, раз у вас заработал сайт каспера, качните у них одноразовую бесплатную утилиту Kaspersky Virus Removal Tool и проверьте систему ей. Если не поможет, я залью вам CureIT. Если вирь совсем новый, тогда придется искать его вручную, скрупулезно проверяя реестр.

добавлено Mechanical Lover - [mergetime]1278716202[/mergetime]
Да, кстати, а вы в AVZ выполняли только сканирование? Если да, то начните с того, что в меню "файл -> восстановление системы" отметьте пункты... а, отметьте все и выполните.

Если ничего не помогло, то там же в AVZ выполните "исследование системы" и пришлите мне сохраненный ей протокол в html-виде.

И вы команду route -f точно нормально выполнили? Все равно, после всех этих операций выполните еще раз.
Не забывайте перезгружаться после каждой операции.

Настройки рабочего стола - не важно, если ваш питомец ничего вам на нем не заблокировал.
CureIT http://slil.ru/29449156
Каспер часть 1 http://slil.ru/29449163
Каспер часть 2 http://slil.ru/29449169

После проверки ими (начать лучше с каспера), снова можно выполнить восстановление системы в AVZ.

Исследование системы выполните и пришлите, если оба антивиря не поймают вашего домашнего любимца.

ЗЫ: Млин, игровой форум превратили в службу техподдержки. Ладно, хоть какое-то развлечение в этом балагане.

УРААААААААААААААААААААААА!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

РАБОТАЕТ!!!!!!!!!!!

Помогло, помогло лечение! : )))))

После восстановления из AVZ все сайты открылись.

См. выше

Утилиты из сейф моде запускать или из обычной?

ЗЫ: Прошу прощения за то, во что превратила тему.... ээээ .... ннууу... что ж поделать... а вдруг кому-то еще пригодится? : ) Для увеличения грамотности населения, например. (Чем-то надо утешаться : )). В конце концов, мы потом можем все эти посты прибить. Или нам прибьют...

Из сейфмода разумеется лучше, и распаковывать, и устанавливать, и запускать. Если конечно получится, они могут не пойти оттуда.

отчитываюсь : )


ща я пожалуй остальные муки и страдания тоже под спойлеры уберу, пока поганой метлой не выгнали

Да, эти файлы надо ликвидировать. На всякий случай можно заархивировать и подождать пару дней, потом удалить окончательно, т.к. они могут оказаться, например, компонентами защиты от копирования какого-нибудь софта. Но в любом случае - фтопку. Странно, что каспер их не прибил. А вы не могли бы заархиировать их и положить туда же, куда я кидал антивири. Я скачаю и проверю у себя.
System Volume Information разумеется необходимо полностью очистить. Я бы даже посоветовал вообще отключить, поскольку, по моему личному мнению, польза от него намного меньше, чем занимаемый им размер. Впрочем, если у вас терабайтный винт, тогда потеря нескольких гигов некритична.

Щас залью.

Да, эти файлы содержат троян-бэкдор. Значит, кроме них должны быть еще. Странно, что эти кастрированные версии каспера и дрвеба не отреагировали на них. Например, поищите файлы:
system32\5sK2T5D.exe
%Temp%\1.tmp
%Program Files%\AVG\AVG9\dfmcfg.dat
Но это так с ходу вспомнившиеся мне мелочи, относящиеся именно к этому бэкдору, наверняка там еще много чего, зоопарк вы развели неплохой.

System Volume Information отключается в Панель упраления -> Система ->  Восстановление системы -> Отключить восстановление системы на всех дисках. Очиститься после отключения должна автоматически.

Этих файлов нет.

В system32 я больше не вижу ничего странного: даже если не смотреть на иконки, названия у файлов вполне вменяемые (больше нет таких где цифры вперемешку с буквами в разном регистре).

Зоопарк развели, зоопарк развели... а что делать, если это животное антивирусы не ловят? И вообще, это не зоопарк, а один зверь. Который везде проник и расплодился. Эхх...

Нет, это именно зоопарк, поскольку уже найдено 4 разных зверя, и это еще не все, я уверен.

В общем, при таком зоопарке я бы посоветовал переустанавливать систему, причем с форматированием винта. Предварительно скинув необходимые рабочие файлы куда-нибудь на флэшку или запасной винт, который перед копированием обратно тщательно проверить на чистом компе несколькими антивирями.

Но если не лень, можем и так додавить. Для начала вам понадобится загрузочный диск с чистой осью. Поскольку, вполне вероятно, скачанные вами каспер и дрвеб не могут обнаружить заразу даже там, где она точно есть, потому что зараза не дает им это делать.

ЗЫ: Кстати, сотрите ссылку на архив с файлами, а то вас забанят за распространие вирусов 

добавлено Molly - [mergetime]1278770504[/mergetime]
"Но если не лень, можем и так додавить. Для начала вам понадобится загрузочный диск с чистой осью. Поскольку, вполне вероятно, скачанные вами каспер и дрвеб не могут обнаружить заразу даже там, где она точно есть, потому что зараза не дает им это делать."

Давайте попробуем додавить! Уже столько давили... жаль останавливаться на полпути : )

Диск с чистой осью есть. Вы имеете в виду, что можно с нее загрузиться, но НЕ форматировать диски, а запустить антивирусы?

Ничего, 2 дня проживете. Вряд ли вы на своем компе храните номера кредитных карт швейцарского банка с золотом партии или секретные чертежи космического унитаза. Можете потерять персонажей от онлайн-игрушек, но их ведь и не жалко, правда? =) Но тянуть с чисткой все равно не стоит, т.к. могут возникнуть проблемы с вашим провайдером, возмущенным массовой рассылкой спама с вашего компа или его участем в DDoS-атаке.

Порядок верный.
По поводу выбора антивиря, как старый наладчик, видевший очень много зоопарков на компах с разными антивирями, могу сказать только одно: действительно более-менее надежно работают только каспер и дрвеб. Каспер несколько лучше (хотя и они не дают 100% гарантии, особенно если у пользователя нет мозгов и элементарных знаний о компьютерной безопасности).
Причины в том, что они достаточно оперативно реагируют на появление новой пакости именно в рунете. В первую очередь на как раз такие, написанные альтернативно одаренными школьниками-кулхацкерами поделки. Которые попадают в базы (если вообще попадают) всяких нодов и авастов только тогда, когда у нас уже вымирают как мамонты. Что, собственно, вы и имеете удовольствие наблюдать на своем компе.
Ну и еще, вызывают определенное доверие слухи, что некоторые из этих поделок выходят как раз из лабораторий каспера и дрвеба, после чего они оперативно выдают новые обновления своих антивирусов =)
Так что я посоветовал бы вам скачать Kaspersky Internet Security 2010, активировать его в режиме месячного триала, обновить базы, выполнить поиск уязвимостей (в частности, при этом можно заблокировать не только автораны, но и еще несколько функций, до которых достаточно сложно добраться вручную). И уже им проверить ваш съемный диск со скачанными файлами. После чего можете снести его нафиг и поставить что-нибудь другое. Или спросить меня, и я объясню, как крякнуть его и доработать напильником, после чего получится очень даже неплохой бесплатный продукт, так как в версии 2010 они наконец озаботились оптимизацией аппетитов к системным ресурсам, и он вполне нормально тянется даже на средних компах.

А диск нужен не с дистрибутивом вынь, а LiveCD с рабочей операционкой.

"Вряд ли вы на своем компе храните номера кредитных карт швейцарского банка с золотом партии"

Храню!!! ну, скажем банк не швейцарский, и золото не партийное, но храню, храню. Но ведь если он это дело ворует, так он наверное УЖЕ своровал? От блин. А ведь я собираюсь покупать билет в командировку именно по карте через интернет. Сопрет в процессе, да?

"Можете потерять персонажей от онлайн-игрушек, но их ведь и не жалко, правда? =)"

НЕПРАВДА!!!! Четыре года растила! ЖАЛКО. Но... с одной стороны, я ведь на днях УЖЕ туда заходила, значит если хотел - то спер уже. А с другой стороны, игрушка непопулярная, Runescape. Наверное она хозяина бэкдоров не заинтересует...

Мда. Как всё сложно в этой жизни.

"А диск нужен не с дистрибутивом вынь, а LiveCD с рабочей операционкой."

Так. Этого у меня нету. И видимо сейчас его сделать нельзя, с зараженной машины.

Может быть можно где-нибудь скачать ISO образ такого диска? У меня есть програмка ImgBurn, простая как валенок, записывает образы на диски. Вот только не вмешается ли жывотное в процессе скачки/прожига?

добавлено Molly - [mergetime]1278772395[/mergetime]


ЗЫ: А как вам кажется, у меня кейлоггер есть? Я никакие пароли нигде не сохраняю, во всех программах ввожу вручную (и в почте, и в браузере). То же и с данными карт: каждый раз вручную. Или это неважно?

Кейлоггер наверняка есть, т.к. большинство троянов, ориентированных на воровство данных, включают эту функцию. Я не проверял по базе данных на предмет выполняемых действий те, которые у вас были обнаружены, и тем более те, которые пока не найдены. А я на 100% уверен, что есть еще, поскольку 4 попалось на глаза сходу, а мы же толком и не искали.
Но не отчаивайтесь, вероятность того, что ваши данные попали в злодейские руки и будуи им использованы весьма невелика. Поскольку а) неизвестно, когда он прочитает пакет всего, что успели ему накачать все копии его трояна, расползшиеся по всем компам, куда сумели проникнуть. б) неизвестно, найдет ли он среди гигабайтов мусора именно ваши данные. в) обратит ли он на них внимание и решит ли использовать. г) ему вообще давно уже могли дать по голове и засунуть модем ему в... куда-нибудь.

Но все равно, банк стоит предупредить и после чистки системы поменять пароли и пин-коды.

Образ LiveCD в инете разумеется есть, на сайтах антивирусников в том числе. А вот записывать его на вашем компе я бы не рекомендовал, очень высока вероятность его заражения, это ведь и есть основная функция вирей.

Вот, нашла ИЗО ftp://ftp.drweb.com/pub/drweb/livecd/

Как вы считаете, если я его запишу на диск программой ImgBurn - в процессе скачивания и переписки он не заразится?

Предположим, если не заразится, то что я дальше делаю? Загружаюсь с CD и видимо следую подсказкам, т.к. там уже антивирус:

"Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты."

Сейф моде наверное не нужно в этом случае, т.к. винда должна загрузится чистая.

Сейфмод при загрузке не нужен. Вероятность заражения файлов при записи на болванку очень мала, тем более, если я правильно помню, на вебовском диске вообще линух. Так что возможна только запись вирусом на диск каких-нибудь дополнительных файлов и подмена авторан.ини. Чтобы подозревать наличие у вас на компе boot-вируса, способного заражать загрузочные сектора, надо быть параноиком. Хотя... кто вас знает, могли и обзавестись Объяснять вам, как проверить диск вручную дискедитом вряд ли имеет смысл. Так что решайте сами, степень риска я вам обрисовал.

Ну что я еще могу сказать? Вперед, экспериментируйте.

После того, как проверите винт имеющимся на диске вебовским антивирем, попробуйте, не перезагружаясь с него, загрузить KIS2010 и установить его на винт (браузер на диске должен быть свой). Если получится - проверьте еще им. После того, как успешно отработают оба, можно будет надеяться, что винт освобожден от постояльцев. Но, разумеется, уверенным можно быть только после вдумчивого исследования содержимого винта и реестра, чего я никак не могу проделать дистанционно.

Спасибо, щас всё это попробую!

Да, еще вопрос: вот тут ftp://ftp.drweb.com/pub/drweb/livecd/ кроме файла изо есть еще маленький файлик видимо с контрольной суммой, и два пдфа. Это ведь не нужно для записи на СД? А если нужно, то как использовать... мне не очень понятно, ведь по идее изо - это в зашифрованном виде полное содержимое диска, каким образом к нему прибавить еще файлы? И надо ли.

И еще одна проблема: у меня для соединения с провайдером используется маленькая програмка провайдера. Фактически это просто сетевое подключение, но видимо с какими-то своими настройками. В общем оформлено как програмка. Так вот, эту програмку я не могу запустить ни из сейф моде, и скорее всего не смогу из дрвебовского линукса. То есть сети у меня не будет.

Можно скачать KIS сейчас, а запускать его уже после загрузки с ЛивСД? Троян дистрибутив не заразит?

Блин. А ведь его же еще и обновить придется! Тоже придется с грязной системы (либо вообще не обновлять)

Доп. файлы не нужно записывать. Пдф можно почитать, это должен быть мануал по работе с диском.

Насчет подключения к инету - не могу знать, я пропил свой хрустальный шар. Экспериментируйте. Но обновления антивирусных баз тоже можно скачать заранее с сайта каспера. Вот только активировать его не получится без подключения к инету. Но предварительную проверку должно и так прокатить. Если нет - проверьте с диска дрвебом, а каспера ставьте уже под своей системой.

Заразиться после скачки дистриб может, но в этом случае каспер не должен устанавливаться, т.к. он проверяет целостность своего дистриба перед установкой. Хуже, если он окажется испорчен сразу после установки, тогда он опять может ничего не найти, как в тех файлах, которые вы прислали. Я не поленился, проверил их каспером тоже - сразу поднял визг.

>> Mechanical Lover:


А я когда-то читал подобное про KIS2009. После чего и выбор в его пользу сделал. Пора мигрировать на 10-й?

>> Kraulshawn:
Да, 2010 они подулучшили довольно заметно. Впрочем, если вы платите за него, то не уверен, стоит ли бежать покупать новый. А вот не полениться крякнуть вполне можно. Я так и сделал в свое время, доволен.