Для начала пробуем зайти в безопасный режим и видим этот баннер и там.. Попытки подобрать код через сайт drweb.com ничего не дали. Видимо еще не было похожего варианта вируса. Потому было решено попробовать залезть далее в интернет и поискать метод лечения вируса в сети. Далеко искать не пришлось, опять там же на форуме Веба нашлось решение. Предупреждаю, не для слабонервных, не для тех, кто мало знаком с программами лечения вирусов и не для тех, кто делает все тяп-ляп.
Итак метод лечения:
1) Скачать Лечащую утилиту Dr.Web CureIt! с сайта web.com
2) Скопировать файл с расширением .exe (pif, cmd, bat) на флешку
3) В корне флешки создать файл autorun.inf с таким содержанием
Код:
[AutoRun]
UseAutoPlay=1
;drweb cureit autostart
oPEn= CureIt!.exe
shellexecute= CureIt!.exe
SheLL\oPeN\COMMAnd = CureIt!.exe
shEll\open\DeFAULt=1
shelL\ExPlore\COMMaND = CureIt!.exe
shELl\AuToplay\commAnd = CureIt!.exe
Shell\cmd1=Запустить CureIt!.exe
Shell\cmd1\Command = CureIt!.exe
4) Вставить флешку (иногда может понадобится запустить Проводник и перейти на флешку, если это возможно).
P.S.
Расширение куреит можно изменить на pif, cmd, bat и соответственно подправить autorun.inf Это делается ввиду того, что вирус иногда знает, что ему пытаются скормить, потому и файл утилиты переименовывается и расшширение его меняется. Пытаемся обмануть вирус.
5) А этого уже не было написано в руководстве:
Когда подключится ваша флешка, то ничего не измениться, вам надо будет набрать комбинацию из двух клавиш: клавиша вызова меню пуск (на ней нарисован значок Винды) и клавиша D. Вам откроется рабочий стол, точнее панель внизщу от рабочего стола и вы увидите, что у вас просто открыта заставка от вируса, вы ее закрываете и запускаете антивирусник CureIt! Вам немедленно будет сигнал о том, что найден вирус и будет написано его имя, запишите себе имя объекта и сохраните фото экрана (по возможности), вы сможете отправить и сам вирус и его описание на форум Веба, пополнив тем самым копиолку вирусов на сайте.
Но это еще не все. Ваш вирус удален (рекомендуется его удалить). но следы от него и поврежденные ветки реестра остались, надо подчистить. Делаем все очень аккуратно.
6) Отключаем наблюдение за дисками (восстановление системы). И просматриваем следующую ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
нас интересует вот это:
Завершающая очистка C:\WINDOWS\Finish.exe
Удаляем эту строчку.
Почему нужно просмотреть именно ее? Это зависит от вашего типа вируса, строчка может оказаться другой, когда вы включите после лечения ваш компьютер, выскочит ошибка, надо ее скопировать себе в блокнотик, вид ошибки будет примерно такой:
Windows не удалось найти 'C:\WINDOWS\Finish.exe'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
Нужно было через regedit найти и удалить "C:\Windows\Finish.exe"
7) Далее надо скачать еще одну утилиту AVZ.
выполните в AVZ скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Finish.exe','');
BC_DeleteFile('C:\WINDOWS\Finish.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Завершающая очистка');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Вот так вот выглядел баннер.
Предвижу кучу вопросов, как выполнить этот скрипт... Народ, если эти вопросы возникли, задумайтесь, надо ли вам самим с этим делом бороться? А то можно и наломать дров. Читаем тут и думаем самим или все же просить помощи (на форуме, у друзей, кто в этом деле шарит или у меня ;)
8) Теперь качаем другую утилиту HiJackThis.
С ней поступаем так же, запускаем и чистим то, что она вам найдет, смотрим внимательно, что она нашла, прежде, чем удалять. По ссылке выше написано как с ней управляться.
Теперь еще раз прогоняем машину утилитой Веба, проверяем все ли чистенько и перезагружаемся, только после того, как все отлечили, можно включить слежение за дисками (восстановление системы).
|