Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.Сообщение от FilippOk
Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.
Любитель
Дополню следующее, обязательно удалить файлы в папках - Document and Settings\%user%\local settings\Temp,Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.
Также полезно проверить в паке Nethood\temp\ - там иногда прячутся гады всякие.
Неплохо заглянуть в раздел Programm Files\, если там есть какой - либо "ля-ляля.exe" - первый признак вируса. Его удалить нещадно.
-
Неплохо будет заглянуть в реестр типа \HKEY_LOCAL_MASHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
И проверить там параметр Shell? Там должен быть только Explorer.exe.
Там же проверить Userinit. Должно быть только написано - C:\Windows\system32\userinit.exe, - и не более того.
можно пощарить в разделе реестра - \HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Run\ или \RunOnce\ ..
там запуски для текущего пользователя, может там запускающий модуль вира.
Очень рекомендую найти и скачать из инета AVZ модуль. Там в разделе "Файл" есть опция "восстановление системы". Через неё можно много чего сделать. например восстановить ключ запуска Explorer-a.
Это модуль рекомендуется запускать вместе со скаченным CureIT (от DRWEB) с предварительно записанного CD-R или CDRW. Что бы не было противодействия.
Вот только сегодня таким способом "выгрыз" руткит.
Если не запускается в "безопасном режиме", то надо запустить в режиме "командной строки", и оттуда вести все действия, запуская прроги в ручную.
Тоже хотел написать. Но меня опередили.
Плюсы "безопасного режима командной строки" - то что explorer.exe не запускается, и userinit тоже.
// 地辟于丑 - Земля рождена в час Быка
попробовал не помогает.Спасибо! Обязательно попробую! Блин Завтра конференция, а тут такое. У меня ни статьи, ни доклада еще нет.
все тмп пустые.
как можно проверить WINLOGON у меня только ввиде екзешника довольно длинного что там можно усмотреть?
Любитель
Я правильно понял, что реестр просмотрен, утилиты AVZ & CUReIT использованы, но ничего не найдено?
Winlogon должен быть не более 500 кб для ХР , или 279 кб для 7-ки
Так там же абра-кадабра какая-то.
Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло,
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра
Любитель
Если запустился в безопасном режиме с командной строкой - уже хорошо. Теперь можно запустить regedit и пройтись по тем ключам реестра, которые указаны.Так там же абра-кадабра какая-то.
Проблема была в том что утилита запущенная с флешечного livecd висла.
К счастью, комп запустился в безопасной моде с командной строкой. Только мне это сразу не помогло,
Предварительный рецепт - при флешечной загрузке скопировали утилиту на жесткий диск, а потом добрый человек из командной строки ее запустил. Сейчас она молотит. Среди заблокированных ею файлов 7zip который скачал недели три назад. Похоже с ним и подцепил, правда тогда почему-то долго ждал этот червь. Инкубационый период что-ли.
Посмотрим завтра
Та так в итоге и поступили.
В winlogon была какая-то бяка mssoft.exe, хотя в указанном пути такого файла не было, но после отключения заработало. правда там по пути еще несколько шаманств осуществили.
в общем, вроде работает
---------- Добавлено в 07:20 ---------- Предыдущее сообщение было написано в 07:11 ----------
пробовал не сработало, то есть какие-то вирусы "обкурившимся" найдены были и удалены, и даже названия их файлов содержали SMS*, но после перезагрузки порно осталось.лучшее средство имхо - http://www.freedrweb.com/livecd/
Накатываете образ на болванку (на работоспособном компьютере) , загружаетесь с нее , ждете появления графической оболочки , выбираете в опциях Advanced search и спокойно уходите на полдня
, поскольку работает крайне скрупулезно - на моей памяти помогает всегда ,исключений не было. Поскольку загружается линукс , то вредные штуки , которые даже в безопасном режиме в виндовс работают , тут уже не активны. И данные спасти всегда можно .
А чтобы всяческие вредные скрипты не запускались , лучше использовать Firefox с аддином AdblockPlus - блокирует опять же все по умолчанию , потом можно по частям разрешать.
после удаления MSSOFT.exe в WINLOGON
при перезагрузке ругнулась на отсутствие какого-то приложения, но вроде работает.
К стати почему-то там два винлогона один полный чего-то, а другой только SHELL содержит, может грохнуть его?
Любитель
Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно.
Всем спасибо. Особенно Филипку и Барсуку.Если имя того логона с шеллом начинается с маленькой буквы "w" (winlogon), то грохнуть однозначно.
Пока работает
Любитель
Ваши права
Ответить с цитированием
