Контакты

Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobalt[@]gfs-team.ru

Все материалы предоставлены только с ознакомительной целью
ГлавнаяСтатьиДругоеУдаление вируса
© EvilCoder 17.01.2008

Я думаю приведенный пример будет полезен всем новичкам. В виду того что этих вирусов (типо autorun.inf) заражающих флешки, щас развелось не мало и у людей возникают много вопросов и проблем с их удалением, решил написать что то вроде мини статьи о том как я сегодня обнаружил и удалил подобный вирус.

Придя уставший с универа, захотелось мне послушать музыки на своем ноуте, захожу Мой компьютер>Локальный диск С: и, опа, замечаю что Диск открылся в новом окошке. Хм подумал я , вроде бы в настройках Вида я неотмечал открытие каждой папки в новом окне. И тут я вспомнил, что пару дней назад я что то кому то записывал на флешку ;-) Стоп! Вроде бы автозапуск через политику локального компьютера я отменил. Дык, так это же на домашнем компе... Стало понятно что компьютер заражен. Обычно подобные вирусы добавляли новую запись в меню открытия диска (что то вроде Open (0)) а тут надо же, все как положено. Пошел дальше захотел проверить autorun.inf, Указываю отображение скрытых файлов и нифига ничего не меняется. Хочу снова поставить галочку на отображение скрытых файлов в меню Сервис>Свойства Папки>Вид и замечаю что кто то ее переставляет на "Не показывать скрытый файлы и папки" я улыбнулся в ответ =) стало как то очень интересно. Умный вирус отметил я для себя. Идем дальше...

Проверяю список процессов через Ctrl+Alt+Del (taskmgr.exe) и... хм, ничего лишнего вроде в процессах не висит. Проверяю известные пути Автозапуска через regedit.exe и там все чисто. Ну очень мне захотелось посмотреть на скрытые файлы в диске С:, я поступил так, открыл cmd.exe набрал команду dir c:\ /A (просмотр файлов со всевозможными атрибутами) и увидел autorun.inf, захотел посмотреть в него, набрал команду: type c:\autorun.inf там была ссылка на некий файл utdetect.com который кстати лежал там же на диске C:\. Файл имел атрибут скрытый+системный и просто командой del c:\utdetect.com его не удалить, для это сперва нужно снять эти атрибуты командой: attrib -S -H c:\utdetect.com, затем я его удалил командой del /F c:\utdetect.com. через несколько секунд он опять оказался там же, что и следовало ожидать. Из всего этого я сделал следующие выводы: Вирус поместил в память процесс либо код который постоянно следит за сохранностью файлов utdetect.com и autorun.inf на всех дисках системы. Мало того возможно в нем реализован перехват API функций для скрытия ключей реестра и списка процессов ну и заражения активных процессов, методом внедрение в процесс через WriteProccessMemory.

Понял что подручными средствами тут не обойтись, а антивируса у меня на ноуте нет, нагружает и без того мой нагруженный старенький ноут.[brbr]Первым делом решил проверить файл utdetect.com на сайте www.viruslist.com, файл оказался вирусом Trojan-PSW.Win32.OnLineGames.jtn но о том как от него избавиться ничего сказано не было, как в прочем и гугл ничего полезного сказать о нем несмог. Решил избавляться самостоятельно, с сайта Майкрософт скачал программу от Sysinternals (написанную Марком Русиновичем) Autoruns (программа отображает все возможные места автозапуска программ драйверов и т.д.) оттуда же за компанию для детального анализа решил скачать Process Explorer (показывает детальную информацию об активных процессах) и Process Monitor (следит за дейстиями всех процессов в системе такими как: Обращение к реестру, файловой системе и т.д.)

Для начала я решил зайти в реестр и вернуть все таки галочку на "показывать скрытый файлы и папки" вручную. Изменил параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hiden = 00000001. Опять ничего не поменялось. Загрузил Process Monitor настроил фильтр на обращение к реестру и заметил что процесс Explorer.exe каждые 10 секунд ( я стал засекать ;-) )

Меняет этот параметр в значение 00000002 т.е. изменить его не получиться покрайней мере пока процесс Explorer.exe активен. Кроме того он перезаписывал еще 3 значения в реестре, но я не стал пока обращать на них внимание. Стало понятно что покрайней мере этот процесс заражен вирусом точно. Решил покопаться в нем запустил Process Explorer и в списке подгруженных к процессу библиотек заметил одну странную библиотеку с названием avpo0.dll ( странной она мне показалась, во-первых на ней отсутствовала подписть "Корпорация Майрософт" во - вторых название очень странное, "avp" - обычно называется процесс антивируса, а раз его у меня нет, тогда кому кроме вируса понадобится прятаться под его именем? =) Через "Find Dll" в меню ProcessExplorer`a я заметил что кроме Explorer.exe библиотека так же подгружена еще к некоторым процессам. В списке был и сам ProcessExplorer не было там только процесса cmd.exe спрашивается почему? Ответ прост потому что cmd.exe консольное приложение и не создает окна, значит в вирусе стоит Хук на создание окна, т.о. он подгружается ко всем "оконным" процессам. Довольно простой и распространенный метод внедрения DLL.

Я даже немного разочаровался. Далее запустил программу Autoruns и в списке загружаемых из разных мест приложений заметил некие файл avpo.exe ну ясно почему я его заметил ;-) Видимо это и есть загрузчик библиотеки, который подгружает ее к explorer.exe. На этом можно сказать самое интересное закончилось, вирус обнаружен теперь осталось его удалить, а сделать это оказалось совсем не трудно. Во первых я все же отключил автозапуск дисков через [Пуск>Выполнить>gpedit.msc>Политика "локальный компьютер">Конфигурация компьютера>Административные шаблоны>Система>Отключить автозапуск] изменил на "Включено". Далее удалил через программу Autoruns ветку реестра которая загружала файл avpo.exe. Перезагрузил компьютер, затем через cmd удалил C:\utdetect.com; c:\autorun.inf; (замечу что у меня на ноуте только один диск С:\, иначе пришлось бы удалять со всех дисков) C:\Windows\system32\avpo.exe; c:\windows\system32\avpo0.dll предварительно сняв с них атрибут "системный".

Перезагрузил компьютер, но Explorer так и не захотел показывать мне скрытые файлы, Значит вирус где то, что то поменял таким образом. И тут я вспомнил про те оставшиеся 3 параметра которые обновлял вирус через каждые 10 секунд. Эти параметры “регулировали” переключатели “показывать/не показывать скрытые файлы и папки” в меню Сервис>Свойства Папки Explorer`a. Я поступил самым простым способом, благо под рукой оказался компьютер со стерильной виндой я тупо скопировал весь раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden и перенес его на свой ноут. Внимательно посмотрев на весь этот раздел я был весьма удивлен, как легко можно запретить Explorer`у отображение скрытых файлов достаточно поменять значение параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue с 00000001 на 00000002, и все после этого любые попытки поставить галочку на “Показывать скрытые файлы и папки” ничего не даст (стоить взять это на заметку ;-) ).




© EvilCoder 17.01.2008

e-Commerce Partners Network
EvilCoder написал:

Вообще вирус оказался достаточно простым, но как говориться все гениальное просто. Лень стало описывать реверсинг этого вируса. а так было бы интересно =)

Inspektor написал:

Ппц, юзай утилиты с rootkits.com. С юзермодной дрянью бороться очень просто а описанное здесь- это удаление гланд через... Ну в общем суть ясна=).
И вообще, поставь какую-нибудь проактивку(пишу я на голом и беззащитном компе).

EvilCoder написал:

2Inspektor извини за грубость, но не кажется ли тебе, что не тебе меня учить? Ты думаешь смысл сей статьи был просто удалить вирус? Или тебе кажется я незнал других вариантов удаления? И нах мне проактивка "какая-нибудь" на моем ноуте (2пень) которые с трудом тянет ВинХР...

Inspektor написал:



Ты думаешь смысл сей статьи был просто удалить вирус?

Стесняюсь спросить, а в чём же ещё? Для справки по реестру маловато, для обзора командной строки тоже, может ты просто хотел сказать, что на сайте майкрософта есть неплохой софт? :D


не тебе меня учить

Согласен, из меня в принципе препод хреновый, а тут можно ещё добавить "Яйца курицу не учат". Поверь, и в мыслях небыло никого учить.

EvilCoder написал:

Смысл статьи - пример удаления вируса, она ориентирован на новичков. Про утилиты с rootkits.com я знаю не хуже тебя поверь ;-) А про майкрософт помолчал бы, если ты незнаешь в разделе Sysinternals на сайте хранятся именно программы этой "компании" которую Майкрософт купила.
Я всегда готов принять объективную критику, но в данном случае твои замечания здесь не в тему. Постеснялся бы хоть немного, недавно научился программировать, учился у нас, и теперь еще делаешь замечания.

Inspektor написал:

[---====---]
А про майкрософт помолчал бы, если ты незнаешь в разделе Sysinternals на сайте хранятся именно программы этой "компании" которую Майкрософт купила.
[---====---]
Знаю.
[---====---]
Смысл статьи - пример удаления вируса, она ориентирован на новичков.
[---====---]
"пример удаления вируса" и "статья"
- это совершенно разные вещи. На мой взгляд это скорее просто повествование на тему "как это было".
[---====---]
Постеснялся бы хоть немного, недавно научился программировать, учился у нас, и теперь еще делаешь замечания.
[---====---]
А чего мне стесняться? Все когда-то учились и поверь, знания полученные от вас не сравнятся ни с одной полноценной книгой, поэтому тут ты преувеличиваешь.
Более того, раньше слово "хакер", ассоциировалось у меня со словом "гений", а теперь со словом "преступник".

EvilCoder написал:

Твой взгляд никого не интересует. Знаний ты от нас никаких не получал - тебе виднее, это было сказано образно. Но по крайней мере ты бы мог быть благодарным за то незначительное время которое мы тратили на тебя. Хотя твоя благодарность тоже никому не нужна. Просто Inspektor я сделал определенные выводы для себя.

Luke написал:

Неплохо, даже очень неплохо, учитывая аудиторию, на которую расчитана статья.

Hydramni написал:

:)

suriv написал:

понравилась,отличная статья ;-)

Outlaw написал:

Я всегда знал что EvilCoder пишет хорошие статьи, в принципе данный материал новичкам просто в тему будет, хотя не спорю те кто уже не новичек свой нюанс может заполнить прочитав данную статью, щас вирусов много и хороши любые методы их удаление так что +1 статья хорошая!

Xen написал:

Хорошая статья как найти и удалить вирус руками. =)
ну при помощи пары прог =)
мне понравилась.

Mia написал:

Привет!!! Мне тоже очень понравилась твоя статья, хотя я и не поняла ничего. Ну она же твоя!!! 5+ Пока ;-)

Rus написал:

интересная, позновательная статья. А на Inspektor не обращай внимания - такие "говноюзеры" в обильном наличии всегда присутствуют на форумах, чатах, блогах. Как правило их возраст обычно не превышает 16-18 лет :)

Юзер написал:

У меня тож проблема с этим гадом. Нод его снёс, но тут фишка, у меня "мой компьютер" предлагает выбрать программу для открытия дисков. Как вернуть всё в нормальное русло... :-(
Заранее спасибо!

EvilCoder написал:

Удали файл autorun.inf в корне диска.

Neo написал:

Спасибо за статью!! Здорово помогла и научила вещам, о которых реально не знал =))

Makc написал:

А мне помогла статья..(я новичок).. правда у меня не совсем такой же троян, но проблема была решена) благодарю!)

Mikhon написал:

Ты МОНСТР!

:)

Galiaf написал:

Спасибо ,помогло..... и больше...что не делается к лучшему....

Franklin написал:

Эвил как всегда на высоте) респект ;)

AZDRA написал:

Брат!!! Твой труд достоин похвалы!
ТЫ - ЛУЧШИЙ !!!

Faps написал:

Спасибо, человек. Не обращай внимания на не уместную критику!

Михаил написал:

Автору респектище!!!Ух как задолбал меня энтот avpo.exe..Касперский лох,нихрена не помог,вот сам своими руками с Вашей помощью еле избавился от какашки

Женя написал:

Статья интересная. Тоже люблю *ручками* поколупать машину, с программами, сканерами и пр.. и дурак найдет. Но новое узнал: спасибо за фишку с cmd.exe - просто, а в голову не приходило. :-)

Антон написал:

Я поочти зделал все что ты написал но ""затем через cmd удалил C:utdetect.com; c:autorun.inf;"" вот это как ты сделал что за cmd.. И вот в этом месте HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue с 00000001 стои не 00000001 а все 0, И даже если меняю на 2, то в свойствах папки теперь стоять 2 галочки сразу и на не показывать и на показывать. после перезагрузки все опять появляется. ии икзешник другой не avpo.exe а amvo.exe помоги плиз.

EvilCoder написал:

Как я сказал в статье, проще перенести этот раздел со "стерильной" винды. Скачай *.reg файл и добавь его в реестр: http://www.rapidshare.ru/623628
cmd.exe - это командная строка. (Пуск>>Выполнить>>cmd.exe) В общем гугл рулит.
Читай внимательней в начале статьи указано как выполняются эти команды через cmd.

Антон написал:

зарание Большое СПС, а куда в какой реестр закидывать этот файл

chepa написал:

Народ помогите, у меня такая же фигня, только у меня вместо utdetect.com ntdetect.com и вместо avpo0.dll ampo.dll . И когда через командную строку надо удалить пишет в доступе отказано!!! Что делать!!!

chepa написал:

EvilCoder я добавил твой реестровый фаил к себе и всё получилось. Но ntdetect.com и autorun.inf остались, вот.
Авторановские файлы я удалил через программку Anti_autorun и поидеи остался ещё ntdetect.com. Так вот вопрос если этот файл останется, всё ли будет нормально дальше??? Заранее Спасибо!!!

EvilCoder написал:

Все и так нормально. Будь внимательней: файл ntdetect.com - является стандартным обязательным файлом самой Виндовс и его нельзя удалять, а вирус обычно пытается спрятаться под именем utdetect.com, n1detect.com и т.д.
А вот наличие файла autorun.inf не обязательно - его можно удалить потому как он причиняет неудобство (читай в коментах выше) Хоть сам по себе без вируса он безвреден.
2Антон: Двойным нажатием на файле он сам добавиться куда надо ;-)

chepa написал:

Окей спасибо!!!

Дмитрий написал:

Статья очень хорошая, спасибо.

Rogan написал:

Спасибо за статью, нашли много новых приколов, а тем кто говорит что это вирус простой...пусть им попадутся сложные вирусы!

Александр написал:

Извините за оперативность, был занят.
[---==EvilCoder==---]
Твой взгляд никого не интересует
[---====---]
Будьте добры говорить за себя.
[---==EvilCoder==---]
Знаний ты от нас никаких не получал - тебе виднее
[---====---]
Я такого не писал, ткните носом.
[---==EvilCoder==---]
Но по крайней мере ты бы мог быть благодарным за то незначительное время которое мы тратили на тебя.
[---====---]
Когда Вы мне помогали, я всегда Вас благодарил.
Я вообще не понимаю, почему Вы сводите разговор к обсуждению моей скромной персоны? Я всего лишь высказал своё мнение, если Вам так угодно, то я могу впредь вообще не высказываться по поводу Вами написанного. Более того, Вы(как и я) не написали ещё ни одной серьёзной статьи, но при этом позволяете себе отвечать мне столь грубым тоном с откровенными оскорблениями.

EvilCoder написал:

Будь добр впредь, избавь меня от напоминания о тебе...

Андрей написал:

У меня проблема как у Юзера.

"но тут фишка, у меня "мой компьютер" предлагает выбрать программу для открытия дисков"

Нод(новая версия) удалил autorun.inf , amvo0.dll, amvo.exe, сейчас они в карантине. Но был еще 1 файл, не помню точного названия, что-то вроде xngm.com (на x точно начинался и 4 символа), его в каранин нод не поместил. Это я видел через тотал коммандер. Когда я пытался открыть этот файл, открывался диск С. Теперь же этого файла нет и когда пытаешься открыть диск, предлагается выбрать программу. Что делать? Помогите плз=)


Я файл видел через тотал коммандер, а не то что нод не поместил в карантин этот файл=)



Перезагрузил винду и все норм заработало=)

Affa написал:

Please помагите люди, у меня есть флешь, там у меня файлы, както случилось они скрыти или как я не понял, но на свойство захожи место занята значить флешка не пуста, но файлов там нету,на комютере все скрытые файлы показаны,незнаю,я так не смыслю, ну помош нужна а мне эти файлы нужны.
Плиз помагите...
Если как вот меил: afig_28@inbox.ru

EvilCoder написал:

Может они системные? ("показывать защищенные файлы")

fankyman написал:

Inspector-у +1. вся критика обоснована.
"Смысл статьи - пример удаления вируса" . Да если по каждому вирусу писать такую лабудень, жизни на прочтение не хватит.
"она ориентирован на новичков" . Наверн на тех у кого компутера нет)

EvilCoder написал:

2fankyman мне в кайф я хоть про белых попугаев буду писать, кому не нравиться идут ...

Sinev написал:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderHiddenSHOWALLCheckedValue с 00000001
на 00000002, и все после этого любые попытки поставить галочку на
“Показывать скрытые файлы и папки” ничего не даст


непомогает там чето на ноль ставит через каждые 5 секунд

Амина написал:

Очень интересная статья, спасибки вам

EvilCoder написал:

Sinev: а по твоему "чето которое ставит ноль" чем является? я думаю вирусом...

Амина: рад помочь ;-) особено девушке с таким родным именем ;-)

Vaxue написал:

Написал "статью" для детского сада, и весь твой детсад спалился похвалами)) Так держать! Буду ждать следующей статьи или даже 800-листового учебника о том, как научиться работать в программе notepad.exe

Andrej написал:

Если статья для ламеров, то можно подробнее написать что к чему. А то получается просто пересказ действий конкретно в твоём случае, чуть небольшое отклонение от этого шаблона действий и будет уже не понятно что делать дальше.
P.S.: Я тоже своего старичка руками лечу, антивирусы его убивают хуже вирей;)

LL написал:

Хотелось бы ссылки на те программы с которыми ты работал, статья класс

Амина написал:

как можно с вами связываться, если возникнут вопросы, не сочтите за занудство сие письмо)))).
P.S. Почему вам родное это имя?

Hydramni написал:

хммм Амина? ))

EvilCoder написал:

Оставь свои контакты ;-) я с тобой свяжусь ...
на сайте есть "обратная связь" можно туда отправить.

Guru написал:

ога и я тоже тогда свяжусь (: оставляйте контакты на общее обозрение...

КТО-ТО написал:

]:-> Ни как нельзя с ним связываться...

Самира написал:

У меня возникли проблемы с антивирусной программой,может кто-нибудь помочь?Если вас это не затруднит, плиз:)?

Амина написал:

Никто не написал((.

Depth_Inwardly написал:

а вы не оставили свои контакты, вот и не написале

Cobalt написал:

К сожалению наркоманчег эвил редко заходит проверять почту. А так как письмо было с пометкой "Для Эвила", никто другой и не стал отвечать. Но ми ему обязательно попиняет чтобы он вам написал =)

Амина написал:

Респект, премного благодарна =))

Александр написал:

Ну все! теперь предстоит мне эта работа) у мен тоже самое, только у меня сомтрите как) у меня два файла autorun undetect находятся на карточке памяти телефона! а уже avpo.exe avp0 avpo1 на C:/)))) спасибо за статью!

Александр написал:

а еще коечто, если у меня не получится поможете?)

Александр написал:

блин откуда все знаете?) замечаете что открывается в новом окне)

Александр написал:

И еще кое-что, можете пожалуйста со стерильного компа скопировать весь раздел
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHidden, только у меня почемуто нету раздела - Hidden там) запанее спасибо)

Александр написал:

БЛИИИН!!! С УМА СОЙТИ ПОЛУЧИЛОСЬ)))))))) ААА)))))) А А А А))) классно спасибо!!!) а как можно сделать чтобы комп работал быстрей, мне не надо не одна программа которая в авторане всегда) я все что мог по отключал, а еще проблема! я вот когда записываю файлы на диск) CD or DVD делаю прожег через неро! так он у меня так начинает тормозить что жуть!! место обещаних программой 7 минут он мне делает за 47!!! что посоветуете) и вообще классно!! что можно сделать чтобы комп работал быстрее!!!!:) спасибо!!! заранее!

EvilCoder написал:

Приятно что моя статья тебе помогла.
а по поводу твоих вопросов - для этого в интернете есть масса специализированных форумов, там ты найдешь ответы на все свои вопросы. =) а тут у нас немного другая "специализация" =)

Александр написал:

круто! thank's)

Hydramni написал:

Самира и Амина ..МашАллах... учитывая ваше местоположение физическое я могу предпологать что одна из Казахстана другая стало быть с Москвы (Ш. и З.)примерно район выхино.. Сестра, можете ко мне обрашаться на прямую если есть проблемы.

Ассаламу аллайкум Шахри и Зарина :)

Hydramni написал:

Самира она же Заринка, какого рода проблемы с антивирусом у тебя? Ключ закончился?

Hydramni написал:

EvilCoder я тебя поругаю брат, ты чего не помогаешь сестрам?

Амина написал:

Ваалейкумус салям Hydramni, про твое местоположение мы будем молчать ;). ДжазакАЛЛАГЬУ хайран за помощь

Hydramni написал:

ваийаки сестра
Хотя не совсем понял, за какую помощь

EvilCoder написал:

Виноват =) редко почту проверяю. Буду исправляться... ИншАллаh..

Амина написал:

для Hydramni: Ахи, это не к тебе относилось, кому относилось он понял

Самира написал:

для Hydramni:не могу его обновить

Cobalt написал:

to Самира: Сестра, а не устарел ли у тебя ключ?

Самира написал:

to Cobalt-даже не знаю как это определить:)

Cobalt написал:

to Самира. Для начала отпиши какой антивирус у тебя. А вообще для более подробного разговора моя ICQ написана в контактах сайта. Доступен для разговора в любой будний день с 10 до 17 по Москве)

Hydramni написал:

Сейчас пришлю тебе инструкцию как продлить ключ. (проблема в ключе (закончилась лицензия), поэтому не обновляеться).

Lait написал:

24.03.2008 19:05:33 from EvilCoder:
Как я сказал в статье, проще перенести этот раздел со "стерильной" винды. Скачай *.reg файл и добавь его в реестр: http://www.rapidshare.ru/623628

выложите этот файл ещё раз а т его с рапиды удалили...

КТО-ТО написал:

Че за Амина, Самира? Не нравится мне это :-(

Амина написал:

to КТО-ТО: Извиняюсь конечно, но это и не должно вам нравится, не в обиду будет сказано;)

КТО-ТО написал:

to Амина: А давайте я сама буду решать что мне нравится, а что не нравится!!! И вообще-то это было адресовано не вам моя дорогая

xlam написал:

Господа, подскажите, есть ли какой антивирус, который может защитить от этого вируса. Каждый день с института его приношу, там касперский стоит, когда флэшку вставляешь, он обнаруживает и удаляет этот вирус с носителя, но потом, когда я прихожу домой, вставляю флэшку, причем у меня девственная винда стоит этот вирус откуда-то появляется, копируется везде, в общем чуть ли не каждый день мне приходится заниматься искоренением этой бацилы. У меня стояли все антивирусы, которые я только мог найти, никто эту бяку не видит, кроме Far и cmd.

inkubator написал:

В блокноте:
=====================================================
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""
=====================================================

Сохраняем, меняем расширение на reg, запускаем.

Тем самым блокируем автозапуск в принципе, как следствие сводим проникновение авторанеров к нулю.

Easy написал:

Надо было по компу пару раз шарахнуть кувалдой, облить холодной водой, засунуть таблетку (желательно аспирин) в CD-Rom и все! На след. день выкинул бы свой ноут и не парился бы так=)))) P.S. На своем компе не проверял выше названные действия, но все же вдруг поможет? 0_о А всяким Пид*арасам и Ган*донам, любящим обсмеивать подобные (шуточные) комментарии сразу отвечаю: ИДИТЕ НАХУЙ!!!!!!!!

Evgen написал:

Чистил комп.. и удалил фаил NTDETECT.COM.. Потом, как оказалось, удалять его было нельзя! Теперь комп, вообще, не загружается. Идет циклическая перезагрузка, не доходит даже до запуска Винды. Новую ось тож не поставить, т.к. после копирования установочных файлов требуется перезагрузка, а потом опять начинается циклическая перезагрузка))) ППЦ.. чуть пол хаты не разнёс... Чё делать?!?!)))

Cobalt написал:

Новую ось надо ставить предварительно форматнув винчестер

епе написал:

вы чё доепались,мне помогла статья!
но не тем что я вирус удалил, просто сегодня обнаружел что файлы скрытые не показиваются) и поменять в сервесе не как нельзя) буду знать что вирус это творит) хотя Нод32 стоит

Jenia написал:

короче я вставляю в дисковол DVD-диск он загрузился захожу в свойство дисковода потом в запись а там скорость записи 156х че это вирус? если да то как его удалить и еще сервер регистрации не может распознать файл key

Loka написал:

для восстановления стертых случайно файлов помогает их копирование с другого загружаемого винта, можно подцепить винт с удаленным файлом к другому компу в режиме slave. Затем скопировать файл из рабочего диска на поврежденный. Мне это помогло с файлом NTLDR.

Владимир написал:

Простите, я ваще - чайник, но проблема та же, что и у многих. Так не удалять этот файл? Лечить надо? (так я понял, но не понял как лечить))) Флеш гард, его видит и пишет - опасный. Я удаляю и после - не грузится, а после переустановки, проблемы с сетевой картой. Но это, как я понял, уже другая тема, связанная с хард диском. Ибо на другом диске система устанавливается без проблем с сетью. Но вирус все равно определяется флеш-гардом.(

Ник:

Текст:
P Br B I Qute



Код: обновить
Последние комментарии
22.07.2017 20:22:28 ArlenePat написал:
Революционное обновление "XRumer 16.0 + XEvil 3.0": автораспознавание бесплатно и быстро...
Новая статья
22.07.2017 18:50:02 ArlenePat написал:
Нейросетевое обновление "XRumer 16.0 + XEvil 3.0": взлом бесплатно и быстро...
Сайт снова работает!
22.07.2017 17:21:42 ArlenePat написал:
Принципиально новое обновление "XRumer 16.0 + XEvil": автораспознавание бесплатно и быстро...
Релиз
Реклама

Тут должна была быть ваша реклама, но мы потеряли глиняную табличку с ее текстом. SapeId: 665044

Rambler's Top100