Боремся с вирусами своими руками...

[Leonardo]

Открываю темку, ибо вирусы выходят быстрее, чем обновляются базы, в чём я сёня и убедился на собственном опыте... Пришла от Жени ссылка. Грамотно так описанная... Ну я, дурак, сходил. Подцепил Exploit.HTML.IESlice.g. Каспер его пока лечить не научился, да и процесс его установки тоже мимо ушей пропустил. Вдруг, если кто такую же дрянь подцепит, абисняю последовательность действий.

 

1. Запускаем regedit.

2. HKEY_LOCAL_MACHINE->SOFTWARE->MICROSOFT->WINDOWS->CurrentVersion->Run: удаляем свойство Relevant Knowledge с лихим параметром "rlvknlg.exe -boot", на котором собсно эта запись и спалилась (привлекла моё внимание). Теперь наш "шпиончик" при загрузке системы не запускается.

3. В довершение банкета нажимаем Ctrl+Alt+Del, во вкладке "процессы" закрываем "rlvknlg.exe". Потом с чистой совестью сносим файл C:\windows\system32\rlvknlg.exe.

4. Прогоняем поиск этого файла. Сносим найденное, если вдруг где ещё нашло, чтоб он когда-нибудь как-нить случайно не запустился.

5 (я пока не делал, но собираюсь). Прогоняем полную проверку на вирусы.

 

ЗЫ: благодарю за помощь создателей сайта http://www.what-is-exe.com, благодаря которым я узнал, какие, собсно, возможности предоставляет некоторым лицам данный процесс, который для меня вызвал лишь неудобство, заключающееся в невозможности переключения раскладок.

 

ЗЫЗЫ: ещё раз убедился, что записи в реестре периодически стоит почитывать))))

[Slavian]

Спасибо.

[Nickie]

Лео, тебе капитально повезло. Нормальный вирус автоматически блокирует доступ и к регистри редактору и к возможности увидеть процесс запущенный . Не говоря о том, чтобы его прервать и срубить !

[Leonardo]

Лео, тебе капитально повезло.

Ники, эт я в курсе))...

Нормальный вирус автоматически блокирует доступ и к регистри редактору и к возможности увидеть процесс запущенный .

Это я тоже помню, но ведь никто не мешает тынцнуть "резет" и перезагрузиться в "последней удачной" версии, то есть со старым реестром. Главное, если чувствуешь, что вот-вот щаз подцепил, корректно не завершать работу системы.

[Alucard]

Подцепил както win32/Viking (винду перебил, и не сразу нод32 поставил).

Естессна все ехе-шники позаражал.

Бороцца просто:

-Удаляем ключи реестра в run которые ссылаюцца на (вроде как) rundl123.exe и logo_.exe в корне винды.

-убиваем эти ехе из корневой папки винды.

-Убиваем в процессах соотвецтвующие сервисы.

-нод32 у мя с последними базами отказываецца лечить(каспера не пробовал), а программ собрал дорогую мне коллекцию. Нада лечить.

-переименовуем две любые программы(шонить попроще, типа calc) в эти же rundl123.exe и logo_.exe, кидаем в корень винды и запускаем, шоб постоянно висели в процессах.

-теперь запускаем зараженный ехе. Что делает вирус: при запуске ехе он обрезает свой плохой код, затем запускает прогу такой какая она была, после закрытия программы вирус добавляет опять в ехе свой код, который естессно берет из процессов.Но в процессах теперь его нет, и собсна добавлять ему нечего, тобиш вирус самоудоляет себя из файла таким незамысловатым образом.Правда полеченные файлы будут вида ХХХ.ехе.ехе, но это уже не проблема.

 

Да вручную это будет долго, но если пргараммы ценны - это того стоит.

За положительный результат неручаюс, опробовал только на себе.

Беру смелость предположить, что и на многих других вирях семейства win32 метод работать будет, главное знать процессы виря.