 |
|
|
18.05.2010, 21:33
|
#48 |
|
Новичок
Регистрация: 17.05.2010
Сообщений: 7
Репутация: 0
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System изменяю параметр на 0 . После перезагрузки опять 1 стоит
---------- Добавлено в 20:33 ---------- Предыдущее сообщение было написано в 18:15 ---------- В общем через лайвСД запустил доктор веб и почистил все |
|
| Ads | |
|
19.05.2010, 01:19
|
#49 |
|
Новичок
Регистрация: 18.05.2010
Сообщений: 1
Репутация: 1
|
Тоже была эта зараза - 2 дня разбирался что к чему. Хочу поделиться, что помогло.
Внедряется эта гадость похоже через adobe reader. Примечательно, что поиск решения проблемы через гуглю прямиком чуть ли не во второй позиции приводит к сайту с такой же заразой (легко узнается по концовке .ws). Так чуть ноут докучи не запорол - успел задачи поснимать. Хочу сразу отметить, что зараженные файлы увидел сразу - на них начал ругаться outpost. Выглядело как изменились компоненты: такая-то dll. имя - случайный набор букв и цифр. Лежали они в windows/temp. Позже нашел и в system32, localsettings/temp разных штуки по 4. Общее - весили по 132 kb , а в описании у всех WvsV4CvIS. Если блокировать-приложения сыпятся с разными ошибками. Если не блокировать-появляется баннер. Замеченные эффекты: блокируется запуск .exe файлов (возможно выборочно), редактор реестра, диспетчер задач, командная консоль, Интернет, хотя браузер стартует. Вид AVZ и некоторых антивирусов пугает комп до перезагруза, причем реагирует даже на название папки. Если впихнуть флешку-на ней появляется ауторанер и соотв. файл в корзине. Вирусные длл можно удалить ручками за исключением 1-2 заблокированных – бесполезно. Добавляет ключ в реестр для автозапуска – где точно не помню, но несовсем стандартно. Не помогло: -коды с деблокеров (на момент написания) -запуск через безопасный режим – бесполезно-блкирована командная консоль. Помогло: Стартуем чистую ОС с liveCD, ручками убираем вирусные dll из вышеописанных мест – названия запоминаем, либо (и) стартуем CureIt (свежий определяет как Win32.HLLW.Autoruner.21042). Далее запускаем редактор реестра (например из набора avast) подключаем реестр зараженной винды (не перепутать с livecd). Введя в поиск имена вирусных dll можно найти ауторанер и убрать этот ключ. Либо стартуем в обычном режиме, находим ключ с помощью проги autoruns, удаляем. Осталось разблокировать диспетчер задач, регедит и тд – запускаем AVZ, меню файл – мастер поиска и устр проблем, Системные пробл-все пробл-пуск. Либо ручками http://wiki.drweb.com/index.php/Если_что-то_отключено. Испраляем, ребут, сканирование антивирусом. ВСЕ. ---------- Добавлено в 00:19 ---------- Предыдущее сообщение было написано Вчера в 23:36 ---------- PS чтоб разблокировать outpost убираем ключик здесь [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Safer\CodeIdentifiers\0\Paths] |
|
|
| Ads | |
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Банер на номер 3381 с текстом 1860101502127 | Alex-33 | Безопасность | 11 | 07.07.2010 23:25 |
| Банер pornohub.com 3381 с текстом 35301017 | Valenciy | Безопасность | 2 | 24.06.2010 21:44 |
| Порно банер на номер 3381 | Blade354 | Безопасность | 6 | 17.06.2010 17:16 |
| Баннер www.pornhub.com с текстом 1830171201106 на номер 3381 | Adik | Безопасность | 1 | 09.06.2010 12:39 |
| Баннер с текстом 9536823 на номер 3381 | Гекон | Безопасность | 10 | 03.06.2010 15:11 |
| Еще раз про вирус www.pornohub.com номер 3381 | stasmat | Безопасность | 8 | 01.06.2010 15:14 |
| Баннер pornohub.com, смс на номер 3381 | aistoff | Безопасность | 9 | 31.05.2010 19:05 |
| Баннер с текстом на номер | ILAFIL1996 | Безопасность | 17 | 29.05.2010 18:48 |
| Неубиваемый баннер. SMS на номер 3381 с текстом М201017332 | Vist | Безопасность | 41 | 19.05.2010 20:36 |
| Баннер : текст 151133 9 на номер 3381 | xwolfx | Безопасность | 3 | 16.05.2010 17:19 |
| Не могу удалить рекламный модуль с текстом 9423315 на номер 3381 | мафиози | Безопасность | 1 | 15.05.2010 15:05 |
