Прихожу вчера на работу – мой компьютер включен, а на нём надпись вида: "Системе не хватает виртуальной памяти". Перегрузился под собой, удалил немного лишнего с системного диска, а вскоре заметил, что компьютер подозрительно серьёзно тормозит. Диспетчер процессов указал на процесс serrv.exe, кушающий 22% времени.
Процесс снял, файлик этот (расположенный в Winnt и датированный вечером четверга) удалил – вместе с ещё одним файликом, перевалившим по размеру за гигабайт. Без особых проблем снял и удалил ещё парочку вирусных exe-файликов. Но шесть dll, расположенных в system32 и датированных средой и четвергом, загружались даже в безопасном режиме. Стал смотреть, откуда именно – обнаружил место, не известное мне ранее: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Да, век живи – век учись. Все 6 библиотек стартовали оттуда. Очистив этот параметр, мне после следующей перезагрузки удалось избавиться от 4 из них, но 2 успели прописаться заново и удаляться никак не хотели. Одна из них называлась e1.dll и весила всего 8 KB.
Пришлось спрашивать у А.Ю., нет ли у него дистрибутива Win2000, чтобы запустить с него Recovery Console. В ответ на эту просьбу он дал мне совершенно чудесный диск (CD), который при загрузке создаёт в памяти виртуальный диск и загружает туда WinXP. Это как загрузка DOS'а с дискеты.
С помощью этого диска я без проблем удалил оставшиеся файлики. Потом постарался сделать образ. Диск старый и имел ошибки, но поскольку они не мешали загружаться с него, я надеюсь, что и копия будет работать нормально. Заглянув на сайт Касперского, обнаружил, что сейчас распространено целое семейство вирусов, имеющих общей чертой эту самую e1.dll. Обычный почтовый вирус, запустившийся в среду днём (видимо, с подачи Андрея). Увы, нет ещё у Андрея нюха на вирусы. Да и как сейчас этому нюху появиться, когда вирусы приходят очень редко, ибо в основном отлавливаются почтовым антивирусом?!
Я жив
[Print]
kv75