|
Рекомендую следующие действия.
1) скачать бесплатные утилиты:
avz - http://z-oleg.com/secur/avz/download.php
Dr.Web CureIt - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
2) перезагрузиться, при начальной загрузке нажать F8 и выбрать Безопасный режим
3) после загрузки проверить с помощью CureIt полностью системный диск С. Желательно, конечно, проверить и все остальные диски, но обычно остальные разделы имеют сильно большой объем и время сканирования будет очень большим. Иногда времени просто нет, поэтому на остальных дисках можно просто проверить наличие "паразитов" в корне дисков. Сделать это можно с помощью любого стороннего диспетчера файлов, например, Тотал командера, предварительно включив в нем режим отображения скрытых файлов (паразиты модифицируют реестр, благодаря чему с помощью Проводника их не видно).
4) Для убедительности прогнать еще раз проверку диска С с помощью AVZ, поставив галочку "выполнять лечение" и выставив бегунок "эвристический анализ" на максимум, а также поставив 2 флажка в разделе анти-руткит.
===============
можно сказать, что на данном этапе основная часть заразы была прибита
скорее всего были обнаружены файлы (например, авторан и какой-то с расширением сом или ехе) в корне диска с, и какие-то библиотеки в папке C:\WINDOWS\system32 .
Сейчас необходимо выписать название файлов заразы и выполнить поиск этих файлов по реестру, удаляя все записи об этих файлах.
Но это еще не все.
Далее следует произвести "прививку" от различного типа авторанов и других "паразитов", которые используют авторан.
Для этого, все еще находясь в безопасном режиме, запускаем редактор реестра: Пуск-Выполнить-regedit. Теперь:
================
5.1) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Cdrom
Установить значение параметра AutoRun равным 0.
5.2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
'NoDriveTypeAutoRun' (dword) Значение ff (шестнадцатеричная) или 255 (десятичная)
5.3) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf
Дать строковому параметру 'По умолчанию' (типа REG_SZ) значение:
@SYSoesNotExist
(Windows будет думать, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.)
5.4) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files
Создать строковый параметр типа REG_SZ с названием
*.*
5.5.1. HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion \Explorer\MountPoints2,
5.5.2. Правой кнопкой мыши щёлкать и выбрать 'разрешения'
5.5.3. Нажать 'Дополнительно' и снять галочку 'Наследовать от родительского объекта применимые к дочерным объектам разрешения, добавляя их к явно заданным в этом окне'.
5.5.4 Появится окно. Выбираем 'Удалить'. 'Применить - ОК'.
На этом вакцинация завершена, можете перезагрузить систему.
Для успокоения можете запустить AVZ с максимальными настройками и посмотреть, не найдет ли он чего.
6. Бывает так, что скрытые файлы не отображаются ни при каких настройках. Обычно это дело вируса с телом вируса AMVO или AMVO1.
Для решения проблемы
Пуск -> Выполнить ->
regsvr32 /i shell32.dll
=======================
Вроде все, удачи!
Последний раз редактировалось A.G.P.; 16.09.2008 в 17:29.
Путь к экзешникам можно отследить прораммулиной KillProcess
Есть и более навороченные, но что-то названия припомнить не могу.
Проще всего сделать загрузочный "диск спасения" под Касперским и загрузившись с него проверить всю систему.
А сделать его - достаточно элементарно. Делается из-под KAV 6, KAV 7, KAV 2009 bkb KAV for Workstation
Аналогично KIS 7 KIS 2009
А по поводу того что "тормознутый касперский" - проведите тест под KAV/KIS 2009 и посмотрите скорость. И в следующий раз не смешите незнанием!
MVP Consumer Security
Microsoft Security Trusted Advisor
KL DSSE, ACT
в следующий раз не смешите своей "крутизной"...И в следующий раз не смешите незнанием!
А кто сказал, что Владимир (он же Cybercop) не один из них?
http://www.donbass.ua/get-news/id/5034/article.html
я бы сказал, что интересный расклад получается вдвойне, т.к на официальном сайте https://mvp.support.microsoft.com/communities/mvp.aspx?adv=1 о таком не слышали .
Первый - Mr. Dennis Kudin
https://mvp.support.microsoft.com/profile/Kudin
Второй - Mr. Sergey Pikhulya https://mvp.support.microsoft.com/profile=61A904F3-356A-45AD-A989-B1FAF8039FA9
при том, что в статье, приведенной по вашей ссылке, количество МВПшников в Украине полностью совпадает .
Честно говоря, мне все равно, есть/нет статус у Cybercop (оставляю это на его совести). Мое представление о человеке складывается не по картинке на аватаре/бумажке, а по реальным знаниям/даваемым советам. В данном же случае приведенную им рекомендацию:
позитивно оценить не могу, т.к. для решения проблемы таким способом необходимо наличие как минимум самого касперского (если мне память не изменяет, то он не бесплатный ), да и после его использования в реестре остаются "хвосты". Тот же способ, который привел я, доступен абсолютно всем.Проще всего сделать загрузочный "диск спасения" под Касперским
.....
И в следующий раз не смешите незнанием!
P.S. Чтобы не было претензий ко мне, скажу, что я сам имею "некоторое" отношение к IT-среде (два года проработал с корпорацией Microsoft по одному проекту), мои работы представлены на российском Текнете, а сейчас работаю с IBM (работы есть на developerWorks Россия).
Поддерживаю методику предложенную A.G.P.. Сам делал подобное но не с такой глубиной, реестр поражённый AMV0 не удавалось выправить, скрытые файлы пропадали . Сейчас перечитал внимательно методику - изъянов нет, респект и +1 :
Действительно интересный:
https://mvp.support.microsoft.com/profile=CEE8CCF9-240A-484F-97FB-C809262E95C0.
Впрочем соглашусь, что искать что-то на сайте МС искуство.
Так "все равно", что шпильку снова подпустилСообщение от A.G.P.
А вот касательно твоего совета - респект. Хоть и для подготовленного юзера, но совет толковый.
Последний раз редактировалось TigerS; 29.09.2008 в 20:16.
TigerS, ладно, проехали (расплодилось этих МВПшников, что даже на сайте не успевают добавлять ).
AlNet, спасибо за высокую оценку
A.G.P.Это ты так пиписками померился?
Никогда не понимал людей, которым обязательно нужно кого-то утопить, чтобы самому оказаться выше.
[off] Grizli,
Во-первых, не помню, чтобы мы с вами на брудершафт пили, чтобы вы могли мне тыкать.
Во-вторых, все, что было сказано здесь до сообщения 22 включительно, относилось к теме вопроса.
Если я и усомнился изначально в наличии статуса у г-на Cybercop, то основанием для этого послужил его ответ (если бы не знакомый логотип, то на этот ответ я бы и не обратил внимания). А поскольку на некоторых пользователей логотип может послужить сильным фактором для выполнения действий (не всегда правильных), описанных в сообщении, то, предварительно проверив базу данных MVP, в которой г-на Cybercop не нашлось, я и создал сообщение 26. Я рад, что с помощью TigerS все встало на места. Cybercop действительно можно поздравить, т.к. статус MVP просто так не дают. Но его статус никак не сказывается на различных профессиональных подходах в решении проблемы, описанной в данной теме. Касперский (особенно КИС 2009) действительно неплохой продукт, но замыкаться на нем одном (или устраивать его постоянную рекламу) не стоит. Есть более доступные способы решения проблем.
И последнее, Grizli, если по теме сказать нечего, то иногда лучше жевать, чем говорить.
[/off]
Последний раз редактировалось A.G.P.; 30.09.2008 в 01:06.
У меня сейчас похожая проблема.
Вирус заблокировал Диспетчер задач и Реестр.
Через gpedit.msc невозможно включить их обратно-компоненты удалил вирус.
Антивири заблокировал,при включении установки любоого антивируса-отключает установку.
При входе в Безопасный режим-комп идет в ребут.
Что делать?Чистить хард пока не хочется.
А если хард подцепить к работающей машине и почистить его? Только вот, возможно, системные файлы побьются.
Ох, простите, что оскорбил Вашу тонкую натуру. Впредь буду с Вами изысканно вежлив и предупредителен.
Уязвленное самолюбие оно обычно, либо по молодости, либо по глупости. В вашем случае вероятнее всего и первое и второе.
Вы бы хоть перед человеком извинились.
DeaDLock LiveCd
пысы Можно эксплорер прибивать
Gambrinus
Друган посоветовал вставить LiveCD на основе GNU Убунту и через него перетащить нужные файлы(образы игр,фильмы и музыку) на другой жесткий.
Как вам такой вариант?безопасно?
Последний раз редактировалось DeaDLock; 30.09.2008 в 18:35.
2DeaDLock - да, вполне безопасно, если не перетаскивать вместе с инфой и вирусы.
Мне обычно кроме AVZ (сейчас он плоховато находить стал, не обновляется) и Dr.Web CureIt! очень помогает Process Explorer с sysinternals.com
С помощью него можно всяких вредителей приостанавливать и убивать. Например, 3 процесса, мониторящие статус друг друга и при убийстве любого из них, запускают его снова.
В PE приостанавливаются, но не убиваются два из них, а потом по очереди убиваются. Начиная с живого
В нём же можно отслеживать хорошо всякие левые библиотечки (.dll), которые цепляются к explorer.exe и прочим программкам. Путь на бумажку, всё с этой библиотекой - убить, а потом в меню файл - Run... - Обзор и можно всё спокойно удалять.
Последний раз редактировалось Fireball; 30.09.2008 в 18:54.
Симулянт - несуществующий обьект, который прикидывается существующим
Социальные закладки