Собственно, сабж.  Винда - семерка. Касперский ничего не находит. Подозрительного ничего в реестре, ярлыках запуска и планировщике не нашел.

Происходит все так: сначала проводник создает во временных папках батник  с кодом "taskkill" для всех существующих браузеров и удалением самого себя (этого bat-файла). Затем проводник запускает этот файл на выполнение, и пользователь видит окно командной строки. В этот момент, если повезет, я успеваю нажать Pause на клавиатуре, и выполнение батника приостанавливается. Как правило, к этому моменту он успевает убить часть браузеров, если таковые запущены. Затем я открываю расширенный диспетчер задач, где вижу висящий процесс cmd, его дочерние процессы taskkill, а также родительский процесс, запустивший батник - explorer.

Кто виноват и что делать?

подарок от предыдущего одмина?

да не.. это не в ЛВС, это дома у юзера

Up

(0) смотри в службах И в реестре

ну и в драйверах, скрытых системных устройсвах.

Проверить с загрузочного диска DrWeb. Провести сканирование AVZ

В службах? Службы смотрел. Ничего подозрительного. Или идет маскировка. Если только каждую службу проверить на подозрительные параметры запуска... Но: проводник (его процесс) запускает bat-файл с вредоносным содержимым. Может ли сторонний процесс заставить проводник запустить некий файл? Но - спасибо. Мб удастся подключить сисадмина. Ему скажу.

Анализ драйверов не в моих силах. Там столько библиотек и исполняемых файлов.. как и чем это проанализировать?

С загрузочного диска прокручу проверку, спасибо. Хотя уже не верю в результат... правда будет это теперь нескоро. Ок, апну темку после праздников.

Process Monitor + анализ, какой процесс создает/удаляет батник с указанным именем? Не сам же explorer.exe создает его

какой полезный вирус, не даёт по инторнетам лазить

(7)обратите внимание на AVZ и его штатные скрипты, можно провести диагностику и отправить ее материалы на вирусинфо.помогите

Можно еще запуститься с Kaspersky Rescue Disk.

такой вопрос. А если не запускать браузеры, окно cmd всё-равно всплывает?

(8) Не помню уже, что использовал для анализа и иерархии процессов.. какжись как раз Process monitor, но в любом случае, такие проги не умеют вроде отслеживать, кто создает те или иные файлы... Есть вроде еще приложения, которые могут мониторить указанную папку и сообщать, кто создал новый файл.

Эх, ну увижу я, что файл создает тот же проводник, и что дальше? Понятно, что сейчас, когда компа нет рядом, можно долго планировать, что можно будет попробовать, а потом, когда я займусь этим, все гипотезы быстро "сдадутся".

(10) попробую. вообще я поклонник продуктов от Касперского. Если Kaspersky Security Scan ничего не нашла, слабо верю в успех других. Но придестся перепробовать еще парочку.

(12) Все равно всплывает

(9) пользователь говорит, если в момент срабатывания bat-файла работать по RDP, терминальный сеанс тоже "валится". Сам не наблюдал. В батнике вроде не было кода, который бы убивал mstsc.exe    Какое-то уравнение с кучей неизвестных, блин.

(14) компьютер не был в руках любителя autoit? Я писал робота, облегчающего запуск клиента Сбербанк бизнес онлайн - и мой робот похожим образом себя ведет - гасит окна IE (правда без taskkill), а потом его же стартует, ввода все нужные пароли за человека.

В стандартный виндовый шедулер заглядывали? Стопудово там джоба висит.

снеси венду, комп же домашний...

(17)массовое решение от домашних установщиков ))) сам уже и не помню когда последний раз приходилось ОС именно переустанавливать. Зато ГБ раздражают своим предложением по любому чиху переустановить им Винду, привыкли что дома им чаще всего так и делают.

(18) за хорошие деньги почему бы и нет? А если не устраивает цена, то го к любому обьявлению на подьезде.

(18) кто такие ГБ? Переустанови винду, сидишь в куче мусора.

(18) а смысл днями искать решение, если переустановка займёт 2 часа с перекурами?

(15) только выполняется не экзешником autoit, а обычным батником.

(16) заглядывал. Отключил пару обновлялок. Фигня прекратилась (по словам юзера) на несколько суток. Потом возобновилась.

(17) успеется

(20) ГБ - главбух. кстати, пользователь - бухгалтер.

(21) переустановка с воссозданием привычной рабочей среды займет не 2 часа. но конечно, в крайнем случае, переустановлю.