Этот метод помогает только от самых «тупых» вирусов. Я встречал «блокеры», которые блокировали доступ к сайтам, совершенно не трогая hosts, просто отсекая неудобные для них запросы к DNS.
ЗЫ: ESET третий был на страже с обновленными базами и провтыкал эту хрень...
Увы, но ESET, очень часто провтыкивает всякую хрень.
Поймал какую-то модификация подобной гадости. В эксплоерере задач был выявлен процесс das3c8.tmp, при попытке выкинуть его, плодился. Удалил через taskkill, но в это время подвис эксплоерер задач и был открыт regedit в режиме поиска. Кнопочкой ресет перегрузился. Теперь не могу войти в комп. При выборе любой учетной записи, сессия пытается открыться и моментально закрывается, т.е. жмешь на вход, а попадаешь на выход. ПРи появлении слова приветствия играет музыка выхода из винды. Что посоветуете делать? Как попасть в комп, чтобы дальше побороть каку? ЗЫ: Сам файлик был обнаружен c:\windows\prefetch das3c8.tmp-1ab5121e.pf и удален. Реестр где искать? А вот с загрузкой не разобрался...
Теперь не могу войти в комп. При выборе любой учетной записи, сессия пытается открыться и моментально закрывается, т.е. жмешь на вход, а попадаешь на выход. ПРи появлении слова приветствия играет музыка выхода из винды. Что посоветуете делать? Как попасть в комп, чтобы дальше побороть каку? ЗЫ: Сам файлик был обнаружен c:\windows\prefetch das3c8.tmp-1ab5121e.pf и удален. Реестр где искать? А вот с загрузкой не разобрался...
См. сообщение #3461067 от Crio в этой теме. Цитирую:
Загрузился с другого диска. Регедитом нашел HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ В ней есть параметр AppInit_DLLs с параметром "название вируса", у меня назывался hddqu.dll. Удалил значение. Нашёл и сам файл, удалил. Ну и конечно, то же самое проделал с sdra64.exe.
Вам надо сделать аналогично. Реестр редактировать каким-то загрузочным liveCD с набором прог для восстановления системы, например InfraCD. Т.е., грубо говоря, у Вас дрянь прописалась в перечень обязательных процессов для старта системы. Не может стартовать такой процесс - не может стартовать и винда. Раз связано с входом в винду, ищите связь с winlogon. Если не уверены - смело трите sdra64.exe и кидайте сюда список ключей реестра на подозрительные файлы. Если это модификация дряни, обсуждаемой в этой теме, то эти подозрительные файлы должны иметь размер ~133Kb.
Вчера сделал другу его ноут, поржал с темы, реальная дрянь. Решение:
2. Вылечить автозапуск, можно и всю систему (если время не жалко) 2.1. При загрузке компа жмем Ф8 (или в биос приоритет запуска) и грузим образ, это обрезок генты, который запустит лечилку. 2.2. Лечилку полезно обновить если инет поднимется. 2.3. Путь проверки \windows, \Documents and Settings 2.4. в корнях дисков убиваем autorun.inf (Флешку свою лечим также, из под этой оболочки вирус не страшен) 2.5. Проверка в остальных местах не обязательна. После подъема системы никуда не лезем, запускаем (24Мб) DrWeb CureIt DrWeb CureIt (мое зеркало)
3. Восстановить диспетчер задач, регедит и прочее (4.9Мб) AVZ от Олега(сайт автора) AVZ от Олега(мое зеркало) Просто после запуска нажимаем старт не выделяя никакие папки, и программа исправит ограничения.
Эту проблемму я поборол довольно легко и быстро: воспользовался антивирусником:
ЗЫ: ESET третий был на страже с обновленными базами и провтыкал эту хрень...
Увы, но ESET, очень часто провтыкивает всякую хрень.
Вопрос на засыпку. А Avira чо, никто не юзает. У мя пока, тьху 3р, всё пучком с ней. Мож правда из-за 7 такого вирусняка не видал. Кста, после др.вэб нашла 7 троянов, хотя спецом перед установкой Авиры проверил. Регится себе на 3 месяца официально, уже пол-года юзаю. Очень много интерестного иногда выдает. Наверно перестрахеривается, но половина кряков - с вирусами.
А как регедит подхватит регистр на другом диске? Он так умеет? Вот я о чем.
А как регедит подхватит регистр на другом диске? Он так умеет? Вот я о чем.
Там не простой регедит, ему надо указать папку, где находится винда, и он возьмёт именно тот реестр, который надо.
А как регедит подхватит регистр на другом диске? Он так умеет? Вот я о чем.
Там не простой регедит, ему надо указать папку, где находится винда, и он возьмёт именно тот реестр, который надо.
Стандартный регедит умеет эспорт/импорт делать, пытался натравить его на windows\system32\config ниче не нашел
Стандартный регедит умеет эспорт/импорт делать, пытался натравить его на windows\system32\config ниче не нашел
Это не то. Импорт/экспорт это загрузки частей реестра в текстовом виде (*.reg) и для выгрузки из реестра в текстовый вид. А интересующий нас рабочий реестр лежит в виде совсем не текстовых файлов (например system.dat).
Попался и мне этот муйня. Заборен был радикальным методом. Пропустил его Avira (зонтик), с необновляемыми пару месяцев базами.
Чего интересного заметил: 1. Активируется только при запуске программ анитивирусников или браузеров(в интернет если лезеш), в Ворде печатай - нехочу.
2. При принудительной установке разрешения 800х600 - когда выскакивает окошко "Imax..." - разрешение экрана возвращается на дефолтное(1280х1024).
3. Юзер клюнеться, что из интернета на комп скачивались только обновления для программы от ДПА для т.н."електронної звітності". (я ему не сильно верю, но все может быть).
Снимал винт, чистил на другом компе - без результата. Ни dr.Web, ни Каспер ( в разных сочетаниях включая лечение с загрузочного диска ) не помогли, а и на ВирусИнфо пока РЕАЛЬНОГО ответа нет, окромя как звонить и спрашивать код. Кстати, считалка на сайте доктора Веба дала неправильный код активации. У меня номер M204712700.
Ловится вирус преимущественно через ИЕ, Оперу и обновление продуктов Адобе (в первую очередь - Адобе Ридера). Почти не ловится через Мозиллу (и то, только в случаях если там нет AdBlock, NoScript и прикручен блядский "Яндекс-Бар"). Через браузер ловится путём установки или обновления "install_flash_player.exe". В том числе и официального Адобовского флешплеера.
Решение отформатировать диск с системой, как оказывается, было правильным.
Снимал винт, чистил на другом компе - без результата. Ни dr.Web, ни Каспер ( в разных сочетаниях включая лечение с загрузочного диска ) не помогли
Либо «руки.sys», либо новая модификация.
а и на ВирусИнфо пока РЕАЛЬНОГО ответа нет, окромя как звонить и спрашивать код.
Неверно. Там полно инфы, в т.ч. и правильный совет обратится в соотв. раздел форума. Если хотите занятся сами — Gmer и AVZ Вам в руки.
Кстати, считалка на сайте доктора Веба дала неправильный код активации. У меня номер M204712700.
Ну-у, считалка всё же не от создателей вируса… Если хотите «лечится кодом», то можете просто дождаться пока таймер дойдёт до нуля — по идее вирус должен спрятаться, как после ввода кода. ВНИМАНИЕ! Дрянь именно прячется, оставаясь активной в системе. Поэтому даже если кому-то хватит ума послать SMS на код, совсем не факт что эта "простыня с таймером" не всплывёт через какое-то время.
Решение отформатировать диск с системой, как оказывается, было правильным.
А головную боль Вы правильно лечите гильотиной? Я уже почти с десяток подобных машин вылечил, ни разу не пришлось прибегать к столь радикальным методам. Дрянь просто начисто удаляется из системы.
А головную боль Вы правильно лечите гильотиной?
[off]
Дружище, профессии сравним, да? (без обид) Компьютеры - мое хобби @некоторая обязаловка на работе. Чтобы не лечить гильотиной голову, надо понимать некоторые процессы в операционной системе и знать того что я не знаю, да и экспериментировать времЯ не всегда есть. А так, вытащил что надо - и отформатировал.
Відповісти
Поперед.
Зміст
Наступ.
Гілками
