Перейти к содержанию

Нужно вылечить компьютер

о_ё

От о_ё
в SoftWare

Рекомендуемые сообщения

Greench Community Regular

Greench

Опубликовано
Опубликовано

А все собственно уже и описано. Если не заблокирован безопасный режим - заходим в БР с поддержкой командной строки;

в консоли набираем regedit и смотрим содержимое параметров:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

они должны быть только такими и никакими другими.

Все то, что стоит после "Explorer.exe" и "userinit.exe," будет той самой гадостью. В 90% моих случаев всё это запускалось именно отсюда.

Опять же из консоли запускаем msconfig и смотрим автозагрузку и что запускается с сервисами и службами. Отключаем все подозрительное, но не перебарщиваем со службами ;)

Далее, только после чистки реестра, опять же из консоли можно запустит explorer и удалить ручками каку по выявленным путям. Сегодня это было C:\Windows\system32\sqrtgh.exe и уще один, по очень длинному пути в Programm Files, да еще и в скрытой папке. Второй назывался svhost.exe - напоминает кое что :) не правда ли? Так же чистим временные файлы в Temp'ах и кэш браузеров, на всякий случай. Напомню, что удалять надо с комбинацией "Shift + Del" - мимо корзины.

После этого говорим "Фууууу-х" и перезагружаемся. На всякий случай почистил корзины (удалил все из RECYCLER и/или $RECYCLE.BIN на всех логических дисках) и все точки восстановления. Это все, что я делал сегодня :)

 

Если БР заблокирован, скорее всего понадобится установочный диск и загрузка с него в режиме восстановления. Сейчас точно не скажу как и что дальше, но кажется, будут предложены варианты и после выбора консоли она должна появиться (cmd) и после входа в основную систему, по идее, проделываем все выше описанное.

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 58
  • Created
  • Последний ответ
AMA3OH Grand Master

AMA3OH

Опубликовано
Опубликовано

Greench

а я через лайф-сиди чистку устраивал, а то в последнее время чаще даже в БР запускаемые живности ходят...

да и прячутся в "благонадежных" серваках и командах...

Ссылка на комментарий
Поделиться на другие сайты
S10 Rising Star

S10

Опубликовано
Опубликовано
а то в последнее время чаще даже в БР запускаемые живности ходят...
Я а думал, запись вредоносного кода в MBR умерла вместе с доской... Ах, вы про безопасный режим? Таки да, блокируют очень успешно...

 

Сегодня чистил комп будущему тестю. Ситуация аналогична: что-то левое заставили скачать и установить. Судя по всему, под видом кодеков, ибо иконка зловреда напоминает о каком-то из плееров(media player classic, кажется). Социальная инженегрия в типичнейшем своем проявлении. :)

 

Грузился с 2х LiveCD. Ubuntu 10.10 и еще одна ОСь на ее основе.

Вначале попробовал ОСь *секрет фирмы*. Проглядеть реестр утилитой chntpw получилось, а вот отредактировать — нет. Зловред прятался в ключе Userinit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Повезло, что автор зловреда более-менее адекватен и путь к своему детищу записал после оригинального userinit.exe.

Загрузил убунчу. То же самое, реестр не редактируется. Это при том, что системный жесткий примонтировал правильно, NTFS с поддержкой кириллицы на чтение/запись. Поднял инет, наткнулся на эту статью об утилите. После выхода из утилиты сохранение настроек у меня не предлагалось. :)

Т.к. путь до зловреда был известен, переместил его в корень системного раздела, а ключик реестра отредактировал уже после загрузки окошек.

upd Понял, где ступил. При запуске утилиты использовал ключ -l вместо требуемого -e.

 

Не любите LiveCD? Вы просто не умеете их готовить записывать.

А записал я их сегодня 4 штуки: *секрет фирмы*, *секрет фирмы*, собственно убунча и линуксовая мини-сборка от др.веба. Ехать пришлось в другой конец города, машина там одна на всю семью...

Ссылка на комментарий
Поделиться на другие сайты
  • 6 months later...
neuro77 Collaborator

neuro77

Опубликовано
Опубликовано

Заметил интересную тенденцию - в общем в последнее время часто приходиться лечить "синий" банер про педофилию. Так вот, жены, чьи мужья заразили компы этой дрянью, зачастую начинают их обвинять в надуманных извращениях, один мне даже пожаловался, что жена наехала вплоть до развода. Не понимают что заразить ящик можно не обязательно обитая на порносайтах :D

Ссылка на комментарий
Поделиться на другие сайты
друпаж Contributor

друпаж

Опубликовано
Опубликовано

Ну вот мне приносили комп, там в ФайрФоксе в истории закачек

последний файл "video_xxx.exe", то есть, он был намеренно скачан и руками запущен,

а человек упорно говорит - "я этого не делал".

Обидно, когда врут в лицо.

 

Вот вам мой дельный совет: ищите зловреда методом нахождения

самого свежего по дате-времени ехе-шника на винте.

post-32117-1312429017_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
melifaro Grand Master

melifaro

Опубликовано
Опубликовано

друпаж

Точно такого зверя как на твоем скрине я как то с компа знакомых изгонял... начал правда начал с реестра а по факту ты прав, народ вообще когда что то скаченое открывает, вообще моск не включает.

Ссылка на комментарий
Поделиться на другие сайты
Greench Community Regular

Greench

Опубликовано
Опубликовано
последний файл "video_xxx.exe", то есть, он был намеренно скачан и руками запущен,

а человек упорно говорит - "я этого не делал".

Я конечно не знаю уровня подготовки того пользователя, но скорее всего, он и не запускал ехе-шник video_xxx намеренно. Он пытался посмотреть видео файл video_xxx, кликая на нем. А иконка этого экзешника как раз соответствует авишной. Открою страшную тайну ;) проводник Windows без дополнительных настроек не отображает расширений, это раз, и второе - современный среднестатистический пользователь не в состоянии понять для чего эти расширения нужны на самом деле.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

Перейти к списку тем


×
×
  • Создать...