Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Защита ОС: вирусы, антивирусы, файрволы. (https://forum.antichat.xyz/forumdisplay.php?f=80)
-   -   Народ помагите с вирусом!!! (https://forum.antichat.xyz/showthread.php?t=31218)

LoG_DoG 13.01.2007 19:12
Народ помагите с вирусом!!!
 
Народ ПОМАГИТЕ ВЕЛИКАМУ НУУУУУУУБу ..... я заразился вирусом который NOD32 расчитал как Модифицированный Win32/Spy.Goldun.GU троян .... находиться в оперативе!!!! но прикол в том что в папке куда его путь указан его нету!!(С:\WINDOWS\sustime32 друг говорит его даже система не видит!!! воть!! помагите как от него избавиться!! канкретно вешает систему!!! буду оооооччень благодарен!

D=P=CH= MOD= 13.01.2007 19:14
format C:/

Samson 13.01.2007 19:18
Первым делом попробуй сделать полную проверку антивирусом в Safe режиме, также может помочь проверка винта, на другом компьютере(установить его 2).

Go0o$E 13.01.2007 19:21
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109357

1. Удалите из системного реестра установочный ключ бэкдора:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint]
2. Удалите следующие файлы:

%System%\eps32sys.sys
%System%\winprint.dll

3. Перезагрузите компьютер.
4. Произведите полную проверку компьютера Антивирусом Касперского

LoG_DoG 13.01.2007 19:44
Цитата:
Сообщение от Go0o$E
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109357

1. Удалите из системного реестра установочный ключ бэкдора:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint]
2. Удалите следующие файлы:

%System%\eps32sys.sys
%System%\winprint.dll

3. Перезагрузите компьютер.
4. Произведите полную проверку компьютера Антивирусом Касперского

А как найти фаил реестра?? при помощи regcleaner можно???

Ksander 13.01.2007 19:46
Цитата:
Сообщение от LoG_DoG
А как найти фаил реестра?? при помощи regcleaner можно???
Win+R->regedit->enter->Правка->Найти

LoG_DoG 13.01.2007 19:57
Цитата:
1. Удалите из системного реестра установочный ключ бэкдора:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint]

Он такое даже не находит!!!!

Ksander 13.01.2007 20:01
Цитата:
Сообщение от LoG_DoG
Он такое даже не находит!!!!
Ты чтоли всю строчку в поиск вставил ?=)

Jei 03.02.2007 14:12
Не далее как вчера боролся с этой заразой (приятель подхватил).

В реестре он прописался под именем "scsiusr4":
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4]

Удаление этого ключа из реестра (как советовал Go0o$E) не помогает. Троян это отслеживает и сразу восстанавливает запись. Также бесполезным оказалось изменение параметров "DllName" и "Startup", содержащих название файла трояна.

Помогла установка разрешений на этот ключ (клик правой кнопкой мыши -> Разрешения). Для "Системы" поставил "запретить" полный доступ, т.к. троян запускается с правами системы. Далее изменил параметры "DllName" и "Startup" на отличные от имени файла трояна, чтобы он при перезагрузке системы не загрузился.

Перезагрузка.
Удаление файла %System%\scsiusr4.dll (который теперь стал виден).
Удаление ключа автозапуска трояна.

PS. Наверное, можно было сменить разрешение для учетной записи "Система" "Запретить" на весь вышестоящий ключ - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]. Затем удалить [...\scsiusr4]. Правда, после перезагрузки нужно было бы восстановить разрешения.

PPS. В Windows 2000 нужно использовать regedt32.exe вместо regedit.exe.


Время: 22:44