Ответ: Беспрецедентно заразили вирусом
Или в логах фаера можно покопаться.
Я попробовал. Открыл лог, стало очень скучно, закрыл. Больше не открывал.
Бред, бред и 10 раз бред...
Если бы вы знали что такое вирус и что такое операционная система в частности механизм работы XP, то поняли бы этот факт...
Вы типично как и многие научились писать, но не научились читать. Никакого "механизма работы ХР" вы не знаете, как и я. Может быть Рабинович из Sysinternals что-то знает, но не мы с вами, это уж точно. Что такое вирус знают все грамотные - это программа.
Но определенно что ваш кавалерийский наскок на проблему порождает еще большую проблему. Откуда антивирус возьмет здоровую копию файла чтобы заменить ей больную. Ковырять сам файл он не будет - откуда ему знать как каждлый файл устроен. Он будет искать копию. Где? В бэкапе Винды. А вирус что - тупой, и не "знает" того же самого? Почему бы ему и копию не похерить?
Кстати, этот вирус, я забыл отметить - сносит все ранее созданные точки восстановления системы.
Как дрВеб смог удалить насмерть заблокированные системой файлы? Вариант 1: обойдя файловую надстройку системы взял управление диском на себя и удалил запись о файле из таблицы. Ужасы какие-то. Вариант 2: определил PID файла, залез в память, хакнул все ссылки на эти файлы и скомандовал системе удалить их - не найдя в памяти запретов на эту операцию с этими файлами система выполнила инструкцию.
В принципе такой хак грозит глюками. В свое время с помощью одной консольной апликухи написанной знакомым программистом я снимал хэндлы с файлов которые надо было перемещать, и которые были заблокированы Корелом или Фотошопом. Ну, то есть я сделал все, мне надо рабочую папку проекта переместить в два бэкапа, а Корел и ФШ в которых шла работа держат связь с папкой, даже если ни одного файла в них не открыто. Идиотизм какой-то, конечно, ну а что поделать - вот так работают апликухи в ХР. Я килял хэндлы но после этого Корел явно глючил - например не работал VBA. Поэтому позже я стал их только проверять с помощью консольного Process Explorer и сообщать пользователю о необходимости закрыть программу которая не отпускает.
Это я к тому, что написать программу которая бы неограниченно гадила - может любой. Сложнее задача - это проникнуть в исполняемый код процессора. Проще она решается путем предложения юзеру поставить вирус под видом еще одного полезного тулбара или ускорителя интернета, или модного антивируса - но ничего опасного этот метод не несет, поскольку поставщик зловредного кода детерминирован. Если он начнет рушить систему - его быстро найдут и возьмут за мошонку.
Поэтому открытый способ это как правило адвары, спайвары и прочая чухня которая удаляется вручную за пол-часа. Вред от таких программ косвенный. Нашему начальству было очень приятно узнать что весь их список клиентов попал в руки к конкурентам, контакты которых были в том же самом списке. Это я про тот случай рассказываю - когда по дыре в i-frame было массовое заражение через почту.
Условно говоря "закрытый способ" - это использование уязвимостей. Если хакер не захочет чтобы вы узнали об инфицировании - вы не узнаете. И никакой антивир не узнает пока кто-нить случайно не наткнется и не пополнит базу. В то время пока зловредная программа будет активна на вашем компе, она может делать все что угодно. Например она может мимикрировать под загрузку обновлений, визуально, а скачаете вы еще больший вирус, и так в общем, пока вместо ХР у вас не будет совершенно другая ОС.
Так вот, что касается лечения системных файлов. Копии могут быть либо уничтожены, либо тоже инфицированы. Проверить это может только сама ОС - у нее все системные файлы верифицированы - встроенная проверка подлинности выявит все что модифицировалось извне. Коды идентификации зашифрованы. Кроме того версия файлов - взять с дистрибутива файл вы не можете. Потому что если обновлялись он-лайн, вы не можете быть уверенным в том, что файл не был обновлен. Поставите с дистрибутива - с какой-нить еще большей дырой, и пока будете ковырять этот вирус - вам еще десяток навалится в нее.
Писали что после установки свежей ОС на компе подключенном к сети напрямую, его расхакивают за 20 минут в среднем. То есть установку надо вести вынув вилку сетевого кабеля, потом настроить фаер, потом подключиться к микрософт по SSL, скачать критические обновления и вынуть вилку.
