Лечил так:
WinXP
F8 Загрузка в безопасном режиме с поддержкой командной строки.
Загрузится Windows с черным окном консоли.
Вводим команду regedit, INTER
В редакторе реестра поиск следующей строчки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
справа выбираем "Shell", кликаем по нему левой кнопкой мыши,появится контекстное меню, выбираем-Изменить.
Здесь прописан путь к файлу вируса (типа c:бла бла\Temp\0.0150302630827.exe)
Заразу найти и выковырять.
Поменять значение параметра на то, что должно быть: explorer.exe или c:windows\explorer.exe
2Ran_Dom да впадлу было просто убил врукопашную. без всяких там командных строк. кстати,как сказал мне наш админ,после того,как восстановил систему образом диска(ну и попутно высказав мне много и витиевато ) - это не вирус,а вредоносное ПО. и паучок его не отслеживает.
2RHAPSODY Ну, формально он прав, но мое мнение - антивирус изменения таких веток реестра должен отслеживать. Хорошо что все получилось исправить/вернуть.
А почему нет?
Работаете себе, а после перезагрузки у Вас вуаля, всё так же как и было. Есть конечно много неудобств, чтоб что то сохранить или установить программу необходимы дополнительные манипуляции иначе при перезагрузке как и не было ничего. Лично мне правда не шибко верится в неуязвимость компьютера с такой штукой. Но некоторые так и работают, без антивируса но с подобной программой.
Ran_Dom написал :
антивирус изменения таких веток реестра должен отслеживать
Дело в том, что не только вирусы и другое вредоносное по вносят изменения в реестр - поэтому нада сперва вычленить изменения которые приводят к нежелательным последствиям, занести в базы и потом только отслеживать и предотвращать, особого смысла только в отслеживании нету.
2сварик В общем да, согласен. Но здесь ключевое слово ТАКИХ веток реестра, насколько я понимаю только посторонняя тема может менять шелл ОС легально, вернее пользователь, конечно. Других легальных задач по смене шелла я представить себе не могу. И по-моему осуществить мониторинг этой ветки реестра несложно, в принципе, avz возвращает этот параметр на умолчательный. А так да, конечно, мониторить все ветки реестра бессмысленно.
haramamburu написал :
Но здесь ключевое слово ТАКИХ веток реестра, насколько я понимаю только посторонняя тема может менять шелл ОС легально, вернее пользователь, конечно. Других легальных задач по смене шелла я представить себе не могу.
Антивирю в любом случае нада знать точно что ветка изменяется вирусом, а не юзером /системой, а для этого нада вирь изловить и посмотреть, что конкретно и на что меняет/добавляет - иначе антивирь просто не даст возможности пользователю/системе вносить вполне легальные изменения .
Я недавно "заразилась", искала где бы НЕРО програмку скачать в инете, вот и прихватила
Нарыла кучу лечебной литературы, пролечилась и о чудо - мы здоровы.
Кстати, никто ссылку на НЕРО бесплатную не даст. Не могу диски переписать.
Лечил себя дважды и приятеля единожды (тоже был обвинен в просмотре гей порно видео), какой это винлок был не помню, у себя дважды спасся выйдя на сайт веба со второго компа (бук у меня старый еще есть) нашел эту пакость (ну в смысле скриншот) и потом нашел код разблокировки на их же сайте, первый раз перед новым годом после исчезновения этой мерзости проверился есетом, он нифига не нашел, а вот неделю назад все повторилось я обиделся на нод и снес его, поставил каспера - так он за четыре часа проверки нашел 8 штук... пока жду будет еще один повтор или нет... А кстати с приятелем было немного не так... на вебе нихрена не было про его винлок, по этому я только изменил дату на месяц вперед в биосе и усе эта тварь рассосалась (троян )...
У меня кстати дико чесались руки не пополнить счет этому мудалиску (слово не матерное перс старкрафта) а написать ему нелитературную смс, но остановила боязнь, вдруг там какая хрень типа переадресации стоит и теже 400 руб просто спишутся со счета...
Буквально на днях знакомая ноут приперла - на экране просто серый квадрат без каких либо полей ввода, сбоку открытый блокнот - типа бла бла бла - посетите такой то сайт для получения инструкций, посетил, просют не много не мало 1 килоРубль.
Решение было банальным - почистил автозагрузку, реест и прочее было не тронутыми, студент одним словом
А мне доктор вебовский сканер говорит, что невозможно удалить (лечить,переместить) мой троян.Inject.5450 Правда у трояна ощибка записи, а теперь у сканера ощибка(удал,перемещ,лечения). Что делать? Комп рабочий(позовчера подключили ) и работает в сети Выручайте новоиспечённого гл энергетика.
Вызвал сисадмина и он наконец то активировал защиту и винду 7., а я чел бесправный, попросил его установить мне хотя бы косынку - ты грит онлайн играй.
ur5imw написал :
Сисадмин чего-то наколдовал и попросил хрень всякую из сети не качать- всё равно говорит установить не получится.
Профан2 написал :
а мне доктор вебовский сканер говорит,что невозможно удалить
Эт потому , что Он уже запущен (например - открытый вордовый док тоже не получится удалить),
автозагрузку бы сначала посмотреть... (msconfig), а потом , после перегрузки и ручками и сканером...
Профан2 написал :
сисадмин чего то наколдовал и попросил хрень всякую из сети не качать- всё равно говорит установить не получится
Кстати, правильно! Грамотный админ! У нас по сети(где админские права только у одного-Админа) гуляла вирусня. Сканеры его видели, только ничего сделать не могли, но и зараза ни какого вреда принести не смогла! Админ говорил: сидит? Ну и хай сидит! Лень мне его выковыривать!
только странно, что Ваш админ просил-наш обычно в приказном порядке или бурча через плечо
Можно поставить прогу, которая перезаливает образ диска, например от acronis или paragon, перезалить образ можно из винды, при загрузке до винды, загрузившись с live cd - с болванки.
5-15 мин и получаете свежий диск с:
Многие знакомые пользуются, порой даже вместо проверки каспером, потому что быстрее )))
Только что второй раз попал на эту гадость.
Спасла только переустановка ОС, как и первый раз. Заодно и апдейт сделал.
А с этими докторами намучался в первый раз. Хватит.