Автор Тема: Вирус  (Прочитано 15177 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Xharm

  • Единорос
  • Житель форума
  • ****
  • Сообщений: 790
  • Карма пользователя: +24/-4
    • Интересный сайт
Re: Вирус
« Ответ #10 : 26 Января , 2010, 10:38:40 »
http://www.drweb.com/unlocker/ вещь может и хорошая, но не всегда срабатывает. Вообще я как раз работаю по настройке компьютеров- после нового года эти вирусы так и поперли. Исправляю через реестр, загружаясь с live-cd. Если надо, объясню как. Ну или погуглите.


Напиши про реестр где они там живут?

PS если у меня такая лабуда обойдет касппера и вылезит то у меня на такой случай есть Process Killer 1.4.2
Не забывайте поставить мне плюсик :)

Оффлайн fizteh

  • ТоварищЪ
  • *
  • Сообщений: 486
  • Карма пользователя: +29/-0
    • Мои фото
Re: Вирус
« Ответ #11 : 26 Января , 2010, 15:45:04 »
Напиши про реестр где они там живут?
PS если у меня такая лабуда обойдет касппера и вылезит то у меня на такой случай есть Process Killer 1.4.2
Не знаю, поможет ли PSKiller, ибо эти вирусы грузятся иногда ДО эксплорера и блокируют запуск других программ.

Итак, как делаю я.
1) Загружаемся с LiveCD, поддерживающего работу с реестром. Я использую Win PE, находящийся на дистрибе windows xp simplix edition.
2) Открываем редактор реестра и подгружаем ветку software нужной нам винды. На WinPE это делается автоматически при запуске редактора реестра. Если вручную, то ветка находится в папке %windir%\system32\config\.
3) Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (на WinPE будет что-то вроде HKEY_LOCAL_MACHINE\_win_c_software\Microsoft\Windows NT\CurrentVersion\Windows).
4) Очищаем значение параметра AppInit_DLLs (оставляем его пустым). (НЕ удаляем файл, который там указан, а просто очищаем значение параметра)
5) Заходим в следующую ветку после windows (winlogon): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (на WinPE будет что-то вроде HKEY_LOCAL_MACHINE\_win_c_software\Microsoft\Windows NT\CurrentVersion\Winlogon).
6) Смотрим параметр Shell. Если его значение отличается от "Explorer.exe" или "Explorer.exe rundll32.exe" (без кавычек), то удаляем этот файлик сразу (через total commander, который есть на Win PE) или запоминаем и удаляем потом (Там могут быть файлы sdra64.exe, user32.exe...). Значение параметра Shell делаем "Explorer.exe" или "Explorer.exe rundll32.exe" (я просто "Explorer.exe" делаю). (без кавычек).
7) Смотрим параметр Userinit. Он должен быть равен "C:\WINDOWS\system32\userinit.exe," (без кавычек, но с запятой). Со всеми незнакомыми программами поступаем как в пункте 6) (собственно тут тоже могут быть файлы sdra64.exe, user32.exe...) и устанавливаем значение "C:\WINDOWS\system32\userinit.exe," (без кавычек, но с запятой). (Если винда не на диске С, то понятное дело надо писать другой диск).
8) Удаляем в корне всех локальных дисков файлы autorun.inf, autorun.exe и подозрительные *.exe файлы (на системном диске поосторожнее, так как там много нужных системных файлов).
9) Перезагружаемся и долечиваем компьютер своим любимым способом (может остаться запрет на использование ctrl+alt+del, на редактирование реестра и проч). Я сканирую программой ComboFix, потом CureIt.
10) После этого комп можно считать вылеченным, но иногда вирусы еще добавляют некоторые файлы в политики ограничения запуска. Было так, что графический интерфейс от нода не запускался. Я не знаю, где это в реестре править, надо попгуглить, если хотите по правильному сделать. Я просто создавал политику, которая давала полный доступ соответствующей программе- ключики реестра сами правятся.

Успехов в борьбе с мировым злом :)
* Книгой можно не только стаканчик с лапшой накрывать. ©
* Образование- это то, что остаётся у человека после того, как он забудет всё, чему его учили. ©

Оффлайн R0iZ

  • Administrator
  • *****
  • Сообщений: 1292
  • Карма пользователя: +1/-0
Re: Вирус
« Ответ #12 : 26 Января , 2010, 15:50:23 »
Цитировать
После этого комп можно считать вылеченным, но иногда вирусы еще добавляют некоторые файлы в политики ограничения запуска. Было так, что графический интерфейс от нода не запускался. Я не знаю, где это в реестре править, надо попгуглить, если хотите по правильному сделать. Я просто создавал политику, которая давала полный доступ соответствующей программе- ключики реестра сами правятся.
Это все можно поправить с помощью AVZ (легко ищется в гугле)

Оффлайн Xharm

  • Единорос
  • Житель форума
  • ****
  • Сообщений: 790
  • Карма пользователя: +24/-4
    • Интересный сайт
Re: Вирус
« Ответ #13 : 26 Января , 2010, 15:53:55 »
Напиши про реестр где они там живут?
PS если у меня такая лабуда обойдет касппера и вылезит то у меня на такой случай есть Process Killer 1.4.2
Не знаю, поможет ли PSKiller, ибо эти вирусы грузятся иногда ДО эксплорера и блокируют запуск других программ.

Итак, как делаю я.
1) Загружаемся с LiveCD, поддерживающего работу с реестром. Я использую Win PE, находящийся на дистрибе windows xp simplix edition.
2) Открываем редактор реестра и подгружаем ветку software нужной нам винды. На WinPE это делается автоматически при запуске редактора реестра. Если вручную, то ветка находится в папке %windir%\system32\config\.
3) Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows (на WinPE будет что-то вроде HKEY_LOCAL_MACHINE\_win_c_software\Microsoft\Windows NT\CurrentVersion\Windows).
4) Очищаем значение параметра AppInit_DLLs (оставляем его пустым). (НЕ удаляем файл, который там указан, а просто очищаем значение параметра)
5) Заходим в следующую ветку после windows (winlogon): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (на WinPE будет что-то вроде HKEY_LOCAL_MACHINE\_win_c_software\Microsoft\Windows NT\CurrentVersion\Winlogon).
6) Смотрим параметр Shell. Если его значение отличается от "Explorer.exe" или "Explorer.exe rundll32.exe" (без кавычек), то удаляем этот файлик сразу (через total commander, который есть на Win PE) или запоминаем и удаляем потом (Там могут быть файлы sdra64.exe, user32.exe...). Значение параметра Shell делаем "Explorer.exe" или "Explorer.exe rundll32.exe" (я просто "Explorer.exe" делаю). (без кавычек).
7) Смотрим параметр Userinit. Он должен быть равен "C:\WINDOWS\system32\userinit.exe," (без кавычек, но с запятой). Со всеми незнакомыми программами поступаем как в пункте 6) (собственно тут тоже могут быть файлы sdra64.exe, user32.exe...) и устанавливаем значение "C:\WINDOWS\system32\userinit.exe," (без кавычек, но с запятой). (Если винда не на диске С, то понятное дело надо писать другой диск).
8) Удаляем в корне всех локальных дисков файлы autorun.inf, autorun.exe и подозрительные *.exe файлы (на системном диске поосторожнее, так как там много нужных системных файлов).
9) Перезагружаемся и долечиваем компьютер своим любимым способом (может остаться запрет на использование ctrl+alt+del, на редактирование реестра и проч). Я сканирую программой ComboFix, потом CureIt.
10) После этого комп можно считать вылеченным, но иногда вирусы еще добавляют некоторые файлы в политики ограничения запуска. Было так, что графический интерфейс от нода не запускался. Я не знаю, где это в реестре править, надо попгуглить, если хотите по правильному сделать. Я просто создавал политику, которая давала полный доступ соответствующей программе- ключики реестра сами правятся.

Успехов в борьбе с мировым злом :)
Пипец муторно, буду пользоваться этим советом в последнюю очередь:)
Не забывайте поставить мне плюсик :)

Оффлайн R0iZ

  • Administrator
  • *****
  • Сообщений: 1292
  • Карма пользователя: +1/-0
Re: Вирус
« Ответ #14 : 26 Января , 2010, 16:02:14 »
Нисколько это не муторно, кажется так только.

Оффлайн fizteh

  • ТоварищЪ
  • *
  • Сообщений: 486
  • Карма пользователя: +29/-0
    • Мои фото
Re: Вирус
« Ответ #15 : 26 Января , 2010, 16:20:25 »
Пипец муторно, буду пользоваться этим советом в последнюю очередь:)
На самом деле надо всего три параметра реестра поправить. Просто я все подробно написал :)
Будем надеяться, что тебе не придется пользоваться этим советом. Ибо нефиг ставить флэш плееры, когда они и так есть и левые псевдо-антивирусы.
* Книгой можно не только стаканчик с лапшой накрывать. ©
* Образование- это то, что остаётся у человека после того, как он забудет всё, чему его учили. ©

Оффлайн elektrik

  • Любитель
  • **
  • Сообщений: 80
  • Карма пользователя: +0/-0
Re: Вирус
« Ответ #16 : 26 Января , 2010, 16:58:04 »
Вот и сё я ет вирь уничтожил: зашол с другого винта под дргой виндой удалил c с заражоного винта вирь md.exe с диска C и D переустановил винду и вооаля  всё робит.

Оффлайн sersad

  • Патриарх
  • *
  • Сообщений: 1597
  • Карма пользователя: +35/-2
Re: Вирус
« Ответ #17 : 26 Января , 2010, 17:01:15 »
Вот и сё я ет вирь уничтожил: зашол с другого винта под дргой виндой удалил c с заражоного винта вирь md.exe с диска C и D переустановил винду и вооаля  всё робит.

Жжошь, Elektrik!!! Решение проблемы - переустановка винды  :-D
Салон керамической плитки "КЕРАМА-ХОЛЛ". Керамическая плитка, керамогранит, мозаика, декоративный камень, дизайн-проекты.
Наш адрес: ул.Вокзальная 7/3, рядом с магазином "Аякс"

Оффлайн elektrik

  • Любитель
  • **
  • Сообщений: 80
  • Карма пользователя: +0/-0
Re: Вирус
« Ответ #18 : 26 Января , 2010, 17:50:00 »
зачем мучится: выше указаными способами :самый простой способ ет переустановка винды всёравно я хотел переустановить её давно уже, ну никак нимог собраца :))

Оффлайн fizteh

  • ТоварищЪ
  • *
  • Сообщений: 486
  • Карма пользователя: +29/-0
    • Мои фото
Re: Вирус
« Ответ #19 : 26 Января , 2010, 18:20:17 »
elektrik,
Скорее вирус тебя победил, чем ты его :)
* Книгой можно не только стаканчик с лапшой накрывать. ©
* Образование- это то, что остаётся у человека после того, как он забудет всё, чему его учили. ©

 

HotLog