Вирус

[Zloy_Doomer]

Цитата:

Сообщение от JTG

* А главное - своевременно

Лучше поздно чем никада...Может еще кому нить пригодитсо...

[SunKnight]

Вот и у меня такой появился. Но нече, мы тоже не пальцем деланы..
Короче фишка этого виря(к стати он потомок autorun) в том что он умеет использовать эксплорер в своих корыстных целях и не только.
Короче вооружившись прогой по отслеживанию доступа к реестру я увидел что некоторые процессы (SOUNDMAN, reg, explorer, userinit) ломаются в реестр, в ветку HKEY_CURRENT_USER\Software\Microsof t\Windows\CurrentVersion\Policies создавая там раздел system c параметрами disubledtaskmanager, disabledregeditor со значением 1(true). Это меня заинтересовало. Я удалил раздел system и поставил разрешение на \Policies при котором ни какой из пользователей и админов не может использовать этот раздел, короче полный блок. Но это пол беды. Самое интересное это то, что вирь как то распознает антивирусные программы и закрывает их принудительно при помощи все того же explorer`а (это происходит когда он получает доступ к диску с виндой). Я не утюжа себе мозг переустанавливаю винду, не входя в нее захожу в безопастный режим, ставлю на выше упомянутый раздел блок, затем захожу в винду как админ.
Тут осторожно, ни вкоем случае не заходите в лок. диски, где сидит вирь, через эксплорер и не пользуйтесь IE, а то все пойдет на смарку, и софт лучше из зараженных дисков не использовать(вирь клеет себя в ехешники). Вооружитесь тоталом или фаром, любым командером и лазте через него. Затем устанавливайте антивирус и сканте систему.

Вообще вирь сам по себе интересный.. респект разработчикам.

[DM_bite]

Цитата:

Вот и у меня такой появился. Но нече, мы тоже не пальцем деланы..
Короче фишка этого виря(к стати он потомок autorun) в том что он умеет использовать эксплорер в своих корыстных целях и не только.
Короче вооружившись прогой по отслеживанию доступа к реестру я увидел что некоторые процессы (SOUNDMAN, reg, explorer, userinit) ломаются в реестр, в ветку HKEY_CURRENT_USER\Software\Microsof t\Windows\Curre ntVersion\Policies создавая там раздел system c параметрами disubledtaskmanager, disabledregeditor со значением 1(true). Это меня заинтересовало. Я удалил раздел system и поставил разрешение на \Policies при котором ни какой из пользователей и админов не может использовать этот раздел, короче полный блок. Но это пол беды. Самое интересное это то, что вирь как то распознает антивирусные программы и закрывает их принудительно при помощи все того же explorer`а (это происходит когда он получает доступ к диску с виндой). Я не утюжа себе мозг переустанавливаю винду, не входя в нее захожу в безопастный режим, ставлю на выше упомянутый раздел блок, затем захожу в винду как админ.
Тут осторожно, ни вкоем случае не заходите в лок. диски, где сидит вирь, через эксплорер и не пользуйтесь IE, а то все пойдет на смарку, и софт лучше из зараженных дисков не использовать(вирь клеет себя в ехешники). Вооружитесь тоталом или фаром, любым командером и лазте через него. Затем устанавливайте антивирус и сканте систему.

Вообще вирь сам по себе интересный.. респект разработчикам.

Да,да было такое дело....Над такими подумать надо...Не просто какой-то вирус-вандал, который кроме как на format C:,больше ни на что не рассчитан..А я вообще за "интеллектуальные" вирусы..

[alexinspir]

было такое. вата CureIt спокойно все чистит за 2-3 перезагрузки и прогонки.
вот недавно столкнулся с каким-то спамвирусом, дак эта хрень дала себя обнуржить лишь случайным взгядом на мопед, который усиленно чето с инета качал/передавал в инет. при этом статистика подключения ниче не передавала, индикатор подключения в трее моргал тока когда юзаешь софтины которым нужна связь.
устранил все при помощи разбекапивания винды из акронис-копии. (ваще тема, 10 минут занимает)