Как убить вирус?

В 90% случаев антивири не находят. А вот в реестре все видно.

 

Про что пишет человек находят. Хотя бывают и суперновые генерации (просто на новые генерации есть свежее обновление)

 

Конечно не они. Просто виндузятнки мало задумываются над принципами работы недооси и как следсвие вынуждены держать на свих компьютерах десятки разный антивирусов, антируткитов, антриспайваре и еще много всяких анти-чегототам, даже не представляя себе для чего они нужны и нужны ли вообще.
При этом виндузятник уверен что антвирус установленный на его компьюютере самый лучший и самый хорошо детектирующий зловредов.

 

Мне пох на этот термин, хотя я представляю, что он означает и пох на то чего не пишут первоклассники, но вчера я избавился от точно такого же виря как описал топикстартер своим способом.

 

Ох уж эти мне задумчивые олух... линухоиды, блин

 

Господа, давайте придерживаться темы. Человек спрашивал про конкретную операционную систему и про конкретную проблему. Все остальное или в приват или в другую тему

 

Пару часов назад довелось изводить эту дрянь. Воспользовался LiveCD и свежескачанным DrWeb CureIt. Эта зараза подменяет собой файлы userinit.exe и taskmgr.exe, что сбивает с толку при попытке почистить реестр больной машины вручную. Методика избавления здесь, разница только в том, что еще и диспетчер задач (taskmgr.exe) подменяется вирусом, но принцип тот же.

 

Лечить будем, лее-чиить! Не понимаю ваших вопросов, нее все же на никсе сидят.

---------- Сообщение добавлено 28.04.2011 01:00 ----------

Как раз наоборот!

Успокойтесь уже! Что теперь всем виндузятникам убицца?!

 

проблема в том, что вирус уже БЫЛ, он изменил реестр в плане загрузки ОС, и все. теперь на компе следов вируса может и не быть (если не остался исходный файл, с которого все началось). вместо эксплорера грузится окошко, которое требует балба от юзера, простейшая програмка, которая сама вирусом не является, и антивири на нее не реагируют
способы указанные Filler-ом работают в 100% случаев. не попадался еще ни один комп, который не удавалось запустить (см 19 и 24 сообщение в теме) только загрузку я использую из-под LIVE CD (загрузочного CD с набором необходимых утилит)

 

Jebzdun Bohatuhta, переставь винду да и всё, дело 1 часа.

 

Jebzdun Bohatuhta, лучше неделю копаться? Ну если у вас дофига времени, до пожалуйста

 

Я как-то переставлял винду и позапарке запыл поставить антивирус. 2 дня лазил по инету, потом бац - окно...
Чё да, чё нет???
Благо не большое окно, смог найти его и деинсталировать

 

Jebzdun Bohatuhta,
Вам же Filler все что делать нужно.
Выкачиваете образ с ERD Commander-ом (~50 МБ). Загружаетесь с него, получаете доступ к системному реестру. Исправляете параметры, связанные с оболочкой системы и автозагрузкой. (shell и прочее). На все уходит минут 10 от силы. Потом можно и антивирем проверить до кучи.

Яндекс кстати выдает кучу ссылок с описанием проблемы и методами ее устранения.
И не слушайте тех, кто советует пеустанавилать Виндовс. Перустанавливать систему из-за простенькой программки (блокировщики рабочего стола даже не вирусы!) это все равно что лечить головную боль гильотиной. Такие советчики научились ставить систему с "реаниматора" и уже считают себя мегаадмнами. А понять как оно работает или обдумать проблему или не хотят или не могут.


What a feel?, А если у вас на работе 50 машин схавают такую заразу - тоже переустанавливать систему будете? Дык ночевать на работе придеться, и не один день

 

это надо на 50 машин этот банер проинсталировать, что нереально в принципе.

 

Это не всегда их вина. Архитектурный винигрет форточек делает задачу изучения оных весьма малопривлекательной.

Вам повезло. Мне про рекомендованный метод приходилось только читать. ИРЛ такая примитивная зараза не попадалась.

Самое естественное, что приходит в голову, что найденный вредоносный файл - не тот.
Да и автозагрузку, в том числе через реестр нужно изучить внимательно.

На воссоздание тщательно заточенной под свои нужды винды может уйти гораздо больше времени.

Это в принципе как два пальца описить.

 

В моем случае вирус подменил еще и файл taskmgr.exe, проверьте. А вообще, воспользуйтесь свежим DrWeb CureIt - он все отыщет.

 

а что мешает банеру самому установиться на 50 машин? В его основе вирус - сам распространяется.

---------- Сообщение добавлено 28.04.2011 13:05 ----------

ни разу ни один сложный вирус и половину банеров им не отыскал.

---------- Сообщение добавлено 28.04.2011 13:12 ----------

при наличии знаний можно подключить винт к другому компу и экспортировать куст реестра (исправить Shell), если лень грузиться с диска ERD Commander. Но надо быть осторожным, можно и свой реестр ухнуть.

 

нет. По сути это не вирус. Это программа-оболочка. Устанавливается вручную. Поэтому антивирь её не распознает. Допустим предлагается посмотреть порноролик, а чтоб его начать проигрывать предлагается скачать якобы плагин. Этот плагин и является банером.

 

Это лишь одна из возможных схем, и, надо сказать, самая неудачная, а следовательно малорезультативная.
Сколько мне приходилось сталкиваться с подобными баннерами-блокерами, для захвата ими компа не нужно было делать ничего кроме перехода по ссылке, причем почти всегда неосознанного, то есть через перенаправление.

 

Удалял не очень давно в помощью загрузочного диска с правкой реестра вручную.
Ниже скопирую текст с процедурой удаления баннера:

Качаем архив с программой:
СКАЧАТЬ

Распаковываем архив, записываем образ из архива на диск, затем ставим в Биосе загрузку с диска, загружаемся с диска и нажимаем "ОК" когда появится окно выбора даты и времени.

Нажимаем "START" - "Administrative Tools" - "Registry Editor"

Очищаем (оставляем его пустым) значение параметра AppInit_DLLs, находящегося в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Находим ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Если параметр Shell отличается от стандартного explorer.exe или Explorer.exe rundll32.exe (обычно результатом работы баннера будет что-то вроде такого: C:\Documents and Settings\Admin\Рабочий стол\avi_porn.exe) , то удаляем его и параметру Shell присваиваем значение explorer.exe
Для баннера, который требует пополнить счет абонента через смс и экспресс-терминал этих действий достаточно, дальнейшее действие не обязательно, но лучше проверить.

Проверяем параметр Userinit и устанавливаем его значение равным C:\WINDOWS\system32\userinit.exe, (с запятой в конце)

Затем с помощью поиска реестра ищем *.lib, если найдутся записи, то удаляем их до появления надписи "Записей не обнаружено".

Перезагружаем компьютер и все!


Помогло.

 

Зверски любопытно, а это то зачем?

 

Честно говоря не знаю, т.к. инструкцию эту не разрабатывал, а на форум скопипастил.
Комп. знакомому вылечил от баннера именно этим способом. Диск теперь валяется в рабочей сумке т.к. бывает люди просят помочь.

 

заодно когда загрузишься с диска почисть еще папку темп и все временные файлы и проверь автозагрузку (msconfig далее автозагрузка)
Когда не так давно столкнулся с таким, то в реестре все было норм (не нашли по крайне мере) и если запускали систему с вырубленным процессом explorer (реестр подправили ), то грузилась без баннера. Откопали его в автозагрузке и путь был на файл в папке темп.
С сайта касперского прога не помогала так как ось была ХР и она под нее не шла

 

Путь может быть любой. Но в темпах гадости тоже полно бывает.

 

http://forum.kaspersky.com/index.php?showtopic=206272

[ame]http://www.youtube.com/watch?v=AfNoiqPeMv0[/ame]

 

Распечатай мою инструкцию.

 

шел 5 день...
поражаюсь терпению и выдержке.
у меня дома сломался холодильник, сижу 5-й день без нормальной еды, все перепробовал, но починить пока не могу, мастеров звать не хочу, буду сам пытаться, что еще посоветуете?

 

А какой вирус ты хочешь убить???
...может в своей голове? :vcrazy:
-тогда тебе не в этот раздел: Волгоградский форум » Программы » Софт » Как убить вирус?