Electronik
На форуме: 17 л 243 д(с 27/03/2007)
Тем: 54 Сообщений: 384 Флеймы: 48 (13%)
Всего отчетов: 42 Москва и область: 38 Обломинго: 4 |
|
Гео: Москва
|
|
Читал про эту "эпидемию", но не затронуло, до сегодня. "Хххх Хххх! - компьютер странное пишет!" -, а ничего странного он не пишет - "Флешки, же просил вас не тыкать!" (интернет им еще раньше, со штрафом, был заблокирован). Вызвал сисадмина, и пока тот не приехал, размялся - LiveCD от DrWeb - вроде удаляет, но не до конца. В нашем случае дрянь блокировала: Диспетчер задач Др Веб Тотал Коммандер и конфликтовала со встроенной видюхой. Сообщение об СМС необычной формы. Данные спасены, выдал лиц. диски дистрибутивов, система переустановлена. Потеряно до 10 чел.*часов. LiveCD - удобное решение, данных - ВРОДЕ НЕ ТРОГАЕТ (ПОКА). На завтра снова вызвал сисадмина, наверняка, кто-нибудь завтра эту флешку снова использует. Если кто знает про способ менее затратный по времени - черкните пару строк. (Хорошо говорили про Аваст на LiveCD) Ну и образ бы помог, если бы был. С уважением, ... P.S. к примеру http://netler.ru/pc/trojan-winlock.htm - познавательно, но не помогает, и это http://www.drweb.com/unlocker/index/?lng=ru - то же.
--------------------
Вино и рыба тоже меня не любят... |
Сообщение изменил Electronik (26/01/2010 18:41:11)
|
Вых
Модератор
На форуме: 24 г 289 д(с 09/02/2000)
Тем: 1227 Сообщений: 26359 Флеймы: 1757 (6,7%)
Всего отчетов: 43 Москва и область: 38 Регионы: 5 |
|
|
|
1. Снимаем с компа системный винт и подсоединяем его вторым винтом к заведомо чистой машине. Загружаем винду. 2. Запускаем regedit, открываем в нем реестр зараженной машины: нажимаем на раздел HKEY_LOCAL_MACHINE жмём в меню ФАЙЛ -> Загрузить куст… далее идём на свой диск, заходим в WINDOWS\System32\config\ выбираем раздел software. В HKEY_LOCAL_MACHINE появилась новая ветка, это реестр зараженного винта. 3. Смотрм HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В ключе userinit должен стоять путь C:\WINDOWS\system32\userinit.exe. Если путь отличается, то он ведет к файлу вируса. Исправьте, но предварительно найдите и удалите файл. ВАЖНО, идём в C:\WINDOWS\system32\ и находим userinit.exe. Убеждаемся в том что файл существует и он оригинальный, оригинальность проверить можно сверив дату и время создания файла с winlogon.exe (в той же папке), они должны быть либо одинаковыми либо отличаться друг от друга минутой не больше. Весит userinit.exe 24-25 кб. Если сомневаемся в оригинальности или файл отсутствует, то берём и копируем такой же файл (userinit.exe) из C:\WINDOWS\system32\dllcache если не видите папку dllcache то просто введите в адресной строке. Усё. Перезагружаем. Важно, потому что если не будет файла userinit.exe то после перезагрузки в профиль вообще не удастся зайти.
После того, как сделаешь это один раз - зараженные компы лечатся за 15 минут, включая сборку-разборку и снятие винта.
--------------------
На позір Перунова Полка піднімаэ меч Ареэва рука.
На могутній дух, на захист нам, на погибель злим підступним ворогам.
Гримить небо і тремтить земля, меч Арея Русь з неволі визволя.
На Вкраiні хай пощезне враг, меч Арея поверне нам рідний стяг! |
|
Electronik
На форуме: 17 л 243 д(с 27/03/2007)
Тем: 54 Сообщений: 384 Флеймы: 48 (13%)
Всего отчетов: 42 Москва и область: 38 Обломинго: 4 |
|
Гео: Москва
|
|
Спасибо, не дай Бог проверим, но подходит не всегда (часть системных блоков на гарантии, под пломбой). А может, попробуем так - BartPE (Win Live CD, и regedit, - там ведь есть). Еще раз спасибо.. С уважением, ....
Сообщение изменил Electronik (27/01/2010 10:11:49)
|
|