[jawcrash]

а что он делает ?

[sergych]

Цитата:

Сообщение от jawcrash

а что он делает

Поганит, сволочь.

Из своего опыта:
30/12 - Под конец рабочего дня один из мастеров притащил в ПТО флешку с игрушкой (выяснили уже потом).
31/12 - С утра машинки не смогли подключиться к серверу. Юзеры блокируются из-за массового обращения с неверными паролями к серверу.
(Эта сволочь пытается подобрать пароли методом перебора используя имена юзеров и имена компов в сети.)
В общем - день "удался"
1/01 - отсыпАлся
2/01-3/01 - все машинки отключены от сетки, вручную проверяем с шефом каждую на наличие незнакомых служб, библиотек и прочего подозрительного содержимого.
Радуемся победе.
4/01 - Рано радовались..
Снова отключаем все машинки и по-новой
И так до глубокого вечера 6/01.
7/01 - Победа!!

Доп.инфа: "дрянь" запускает службы с вполне вменяемым выводимым именем (например, Microsoft Helper) и описанием (всё на английском), НО имя службы имеет вид (к примеру) jkkhjgvhj (характерно - используются ТОЛЬКО набор букв в НИЖНЕМ регистре).
(Для удаления службы использовался Total Commander с подключенным плагином Services - он даёт возможность удалять службы и имеет русский фейс.)
Предварительно скопировав (или записав на бумажке) имя службы отыскиваем его в Реестре.
(Я использовал программу RegWorks - в ней удобно организован вывод списка найденного, правда русского фейса нет.)
Просто удалить записи не удастся, - придётся сначала давать права на управление найденными ветками реестра.
Затем пробегаем по C:\Documents and Settings\имя\Local Settings\Temporary Internet Files\Content.IE5\ на наличие файлов с графическими расширениями (встречались и bmp, и gif, и tif, и jpg, т.ч. увы, но если в своём антивируснике вы вносили графику в исключения, то теперь придётся проверять и её) и размером 164746 байт, и удалить либо вручную, либо доверить это антивируснику.
(Вот собственно и всё. Кстати, вышеизложенное можно делать в обычном режиме, - перезагружаться в безопасный режим не обязательно.)
По окончании процедуры ОБЯЗАТЕЛЬНО установить патчи KB921883, KB957097, KB958644, KB958687. И отключить автозапуск всех устройств.
Поверьте, что лучше лишний раз кликнуть мышкой, чем возиться с лечением вирусов.

И проверьте свою флешку на наличие файла с расширением .vmx в папке Recycler. Если обнаружили - удаляйте. Здесь можете почитать об этом (мне, правда, попадался файл имеющий другое имя, но расширение то же)

Уточнение: вышеописанная борьба велась с Net-Worm.Win32.Kido.bt (по версии Касперского)

Это интересно: Касперский включил в базы эту "дрянь" 2/01, а даниловцы проснулись 4/01.
Описание вируса и способы излечения были опубликованы аж только 13/01.

Free Angel Zodiac
например здесь