hohkn
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
papados
Цитата:| Да порнобанер может вообще антивирусником никогда не определятся,надо конкретно смотреть что он прописал в автозагрузку и убирать этот его "сценарий" и ключи explorer и userinit в ветке winlogon восстанавливать если те испорчены,или к ним что то дописано как часто бывает. чем и хорош erd. там все наглядно -нагляднее некуда. в принципе способ с тоталом хорош по датам можно увидеть абракодабрские ексешники и удалить в sistem32,windows,папке пользователя.но реестр восстановить все равно придется. |
Золотые слова. По сути это и не вирус вовсе, а просто исполняемый файл с видео. Вирус его может только прописать на компьютер, а дальше просто гольное видео. Как правило его на комп прописывает вирус в виде прокладки между стулом и компом, сколько не говори - бесполезно. А потом говорят, что все само...
Вчера ходил к такой прокладке. Целый букет (тоже все само залетело): сначала обычный баннер-вымогатель с телефоном Билайна. Прописался в реестре стандартно в userinit, жил в %system32/drivers под именем system32.exe. Мякнул его, а комп жутко тормозит, да DrWeb при каждой загрузке выдает, что блокирует файл igfxtray.exe в All Users\Application Data. Проверил - нет такого. Ругнулся на lsass.exe. Когда полез проверять, оказалось, что как раз там и живет левый. В процессах висел smss.exe параллельно с нормальным, как оказалось, он и генерил igfxtray.exe. Когда всю эту брагу убрал, сразу комп летать начал.
А сегодня на другом ящике после убития локера перестали запускаться екзешники. Ну и плюс джентльменский набор: блокировка диспетчера задач, regedit-а и т.п. Долго репу на пару чесали, а потом выснили, что эта зараза переписала HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe, где по умолчанию должно стоять exefile, а стало txtfile. Как только поменяли, сразу все стало на свои места.
Может кому пригодится. |
