111 ответов в этой теме

[Rezikler]

В обед переустановил винду не форматируя диск, затер старую, скачал новый cureit просканился быстрым ничего не нашло, а на полном практически сразу 32 тела нашло в c:/documents and settings/имя юзера/local settings/temp... пока еще идет сканирование, за час 5% ) 850 гб забитых до предела)

[bvas]

Rezikler

В обед переустановил винду не форматируя диск, затер старую,

Это методом обновления???
А программы ранее установленные работают??? И все ли???

[donner]

Так, вирус в общем и целом поборолся. Осталось справиться с его последствиями. Спайдер, редактор реестра и пр. не открываются. Выскакивает окно " «Windows не может открыть эту программу, так как это запрещено политикой ограничений программ. За дополнительной информацией обратитесь системному администратору или откройте "Просмотр событий".» Это от чего такое может быть?

[Borka]

Если что-то отключено.

[donner]

2 borka

Благодарность моя не знает границ)

[Rezikler]

Rezikler

В обед переустановил винду не форматируя диск, затер старую,

Это методом обновления???
А программы ранее установленные работают??? И все ли???

Сначала попробовал обновление, но до запуска системы так и не дошло, появлялось сообщение на английском system will be restart... появлялся активный черный экран с курсором мышки и тут же шла перезагрузка... в итоге решил затереть, ибо форматировать нельзя было... слишком много нужного... но это гадство убило все настройки и закладки и не дало скопировать... вообще ничем и никак... а через некоторое время вообще ничего не позволяло открывать и менять разрешение, устанавливалось максимально низкое разрешение и экран заслонял собой весь декстоп, добраться куда либо никакой возможности, но каждые 3 часа пропадало, можно было запустить игру или браузер, но при попытке написать в гугле что то типа вирус, или смс, скразу выскакивало назад закрывая браузер... в общем злой такой троян...

Программы работают... Но без настроек...

[Gennadij]

Вообщем, пока вирус попадет в базы, может поможет, мой опыт удаления подобных вирусов. Я безрезультатно пытался бороться с ним через Безопасный режим. Диспетчер задач, командная строка, восстановление системы, редактор реестра заблокированы, есть только доступ к Msconfig, но это сильно не спасает. Большинство программ не запускаеться. Из моего набора утилит для восстановления запустился только ATF-Cleaner.exe, но от него толку мало. GMER, AVZ, KAV Tool, HT благополучно не запускаються, даже после переименования. Хочу отметить, что сабж еще увлекаеться помещением своего тела на флешку в папку RECYCLER.
Просмотрев форум решил использовать лечение системы удаленно, через LiveCD. Под рукой оказался alkid.live.cd.usb.full.2009.04.10.

1) После запуска диска, первым делом запустил HT. Выбираем зараженного пользователя. Сканируем... Просматриваем лог, находим, типа:

O20 - AppInit_DLLs: C:\WINDOWS\system32\yixcrm.dll

2) Открываем Total Commander
C:\WINDOWS\system32\yixcrm.dll смортим размер файла 140836 байт

3) Alt+F7
Поиск локальных дисков
Дополнительно=>Ищем все файлы с таким размером

4) Файлы на панель, упаковываем в карантин с паролем. Галочка удалить после упаковки (Визуально все вирусные файлы имеют вид латинских беспорядочных букв)

5) Фиксим в HT O20 - AppInit_DLLs: C:\WINDOWS\system32\yixcrm.dll

6) В меню ERD Commander, Устанавливаем корневую папку Windows, запускаем ERD Редактор реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=C:\WINDOWS\system32\userinit.exe, после запятой все удаляем
или фиксим в HT F2: Userinit C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\xxxxxx.exe
можно заглянуть на параметр "Shell" = Explorer.exe и ниче лишнего...

Если есть, в Msconfig "explorer.exe:userini.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\userini => command
C:\WINDOWS\explorer.exe:userini.exe Удаляем...

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0
"DisableRegistryTools"=dword:00000000

Далее, как удобно, работаем из под диска, или уже в системе... Убираем оставшиеся последствия.
Для ленивых Plastix для остальных regedit
Восстановление системы можно включить используя групповые политики gpedit.msc

Вообщем, надеюсь, что я помог. Если что забыл извините... Удачи.

[donner]

Выполнил все, что сказано в если что-то отключено, однако запустился лишь редактор реестра. Проблема с запуском программ (...политика ограничения программного обеспечения...) осталась. В "Если что-то отключено" на этот счет ничего нет. Методом вдумчивого поиска в реестре была найдена следующая ветка

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer


Что означают ключи в Hashes, я не знаю. Но вот в Paths как раз и собрано все, что у меня не запускается: Спайдер, сканер и оутпост. Выглядит вот так


Там, кстати, много еще чего собрано. Касперский, Симантек, Панда... Но они у меня не установлены.


Собственно говоря, вопрос. Можно ли всю эту ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer безболезненно удалить? Или необходимо редактировать параметры?

[donner]

Короче, рискнул. Ветка удалена, комп перезагружен, в трее появились значки спайдера и отпоста, все работает.

В общем, моя проблема решена. Искреннее спасибо всем, кто участвовал в обсуждении.

=)

[Borka]

Собственно говоря, вопрос. Можно ли всю эту ветку HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer безболезненно удалить? Или необходимо редактировать параметры?

Сделайте на всякий случай экспорт этой ветки и грохните ее.

ЗЫЖ У меня такой ветки нет...

[bvas]

donner

Короче, рискнул. Ветка удалена, комп перезагружен, в трее появились значки спайдера и отпоста, все работает.

В общем, моя проблема решена. Искреннее спасибо всем, кто участвовал в обсуждении.

=)

А можно было сначало так попробовать:
Если вы обычный пользователь, и не хотите заниматься ручной работой
Для этого специалисты нашей компании разработали компактную бесплатную утилиту для востановления настроек реестра в автоматическом режиме. Сперва рекомендуем востанавливать реестр с помощью нее, а только потом уже заниматься ручой правкой.

Скачать утилиту востановления системы
http://91.121.123.94/pub/drweb/windows/plstfix.exe
Первоначально, утилита была предназначена для востановления последствий, причиненных вредоносной программой Trojan.Plastix. Сейчас, утилита постоянно развивается, и в нее добавляются новые методы востановления реестра (и не только), сделанные вредоносными программами, которые попадают к аналитикам на исследование.

[donner]

2borka
Сделал экспорт и грохнул уже. Все нормально получилось, я там чуть выше отписАлся.

bvas
Сначала ее и попробовал. Эта утилита восстановила запуск regedit. С восстановлением запуска программ не справилась.

[Borka]

2borka
Сделал экспорт и грохнул уже. Все нормально получилось, я там чуть выше отписАлся.

Да я потом уже прочитал. Это гут.

[bvas]

donner

С восстановлением запуска программ не справилась.

Есть ещё утилита Олега Зайцева,но это др форум...
Часто помогает!!!

[ALTi33]

А лог Сканера можете выложить сюда,посмотрим пути может наведет на мысль и им чем поиожем,если конечно вирь точь в точь....

Лог прикрепить не могу, так как лечил не на своей машине, а у знакомых.

[bvas]

ALTi33

Лог прикрепить не могу, так как лечил не на своей машине, а у знакомых.

Да уже вроде всё разрешилось...

[Borka]

ALTi33

Лог прикрепить не могу, так как лечил не на своей машине, а у знакомых.

Да уже вроде всё разрешилось...

Это смотря у кого.

ЗЫЖ Я потерял контроль над темой пару страниц назад...

[bvas]

Borka

Это смотря у кого.

ЗЫЖ Я потерял контроль над темой пару страниц назад...

Это ответ на это сообщение

Цитата (bvas @ 26/12/2009 04:14)
А лог Сканера можете выложить сюда,посмотрим пути может наведет на мысль и им чем поиожем,если конечно вирь точь в точь....

[gorakonfet]

K204115000 на номер 4460

код UA886736 на 19.01.2010

проверен с нас содрали 600 руб.

[vasik1]

Всем привет..У друга на бук,на рабочем столе всплыло окно...корче надо отправить смс 861287981 на номер 1350,что делать?