1. предположительно, была взломана эта учетная запись
C:\USERS\[B]ALINA[/B]\APPDATA\ROAMING\INFO.HTA
2. возможно, что антивирус (если был установлен на момент атаки) был отключен на момент запуска, потому что этот вариант Crysis детектируется уже давно, проверьте, возможно ли это, чтобы под учетной записью пользователя, можно было отключить антивир.
(установлен ли пароль защиты доступа к настройкам антивируса, работают ли обычные пользователи на терминальном сервере с правами администратора - если это так, то надо у них эти права отнять, и настроить их работу под обычными правами)
3. по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[
[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\
START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[
[email protected]].LDPR
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST
ART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[
[email protected]].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\
START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.