Здравствуйте, StandAlone, Вы писали:
SA>Нафига сносить-то? Любой Live CD и грохни все ненужное из системных папок, вот и вся любовь. SA>Можно еще с редактором реестра извратиться(если вирь прописал себя в SubSystems).
Не очень просто найти всё ненужное. В глаза сразу ничего не бросилось, к сожалению.
Здравствуйте, SergH, Вы писали:
SH>Здравствуйте, StandAlone, Вы писали:
SA>>Нафига сносить-то? Любой Live CD и грохни все ненужное из системных папок, вот и вся любовь. SA>>Можно еще с редактором реестра извратиться(если вирь прописал себя в SubSystems).
SH>Не очень просто найти всё ненужное. В глаза сразу ничего не бросилось, к сожалению.
Ненужные файлы видно по датам.
Еще обычно Live CD идет с редактором реестра, можно вычистить всю ветку HKLM\System\CurrentControlSet\Control\SafeBoot.
Там он сидит, больше негде. Системные папки, локальный профиль пользователя да Temporary Internet Files, самые популярные места скопления вирей.
если, конечно, не заразил какой-нибудь csrss.exe. Но заражение исполняемых файлов сейчас малопопулярный метод, винда малость научилась с ним бороться.
Еще можно тупо заменить все файлы в папке Windows их оригиналами, сохранив реестр.
Здравствуйте, StandAlone, Вы писали:
SA>Ненужные файлы видно по датам.
ну, это если они совсем дураки
SA>Еще обычно Live CD идет с редактором реестра, можно вычистить всю ветку HKLM\System\CurrentControlSet\Control\SafeBoot. SA>Там он сидит, больше негде. Системные папки, локальный профиль пользователя да Temporary Internet Files, самые популярные места скопления вирей. SA>если, конечно, не заразил какой-нибудь csrss.exe. Но заражение исполняемых файлов сейчас малопопулярный метод, винда малость научилась с ним бороться.
Если бы это делал я, это была бы dll-ка, которую грузит эксплорер (или кто-то из системных, благо способов зарегистрировать такую dll десяток). Лучше несколькими способами. Называлась бы неброско, версионинфо какое-нибудь разумное, дата была бы нормальная (например, можно взять даты с файла explorer.exe).
Если концов несколько, а не один, такое даже перебором не вычислить.
Но я, конечно, потычусь сначала. Вдруг повезёт.
SA>Еще можно тупо заменить все файлы в папке Windows их оригиналами, сохранив реестр.
А потом переустановить всё ПО, которое почему-то перестало работать
Увы, боюсь что это решение более трудоёмко, чем поставить заново.
Здравствуйте, SergH, Вы писали:
SH>Если бы это делал я, это была бы dll-ка, которую грузит эксплорер (или кто-то из системных, благо способов зарегистрировать такую dll десяток). Лучше несколькими способами. Называлась бы неброско, версионинфо какое-нибудь разумное, дата была бы нормальная (например, можно взять даты с файла explorer.exe).
Если б это делал я, я бы вообще в отдельный поток записался
Можно фаром найти разницу в наборе файлов эталонной винды(из мемори-диска лайв сиди) и рабочей, а потом из свойств каждого файла попытаться понять, чей он и зачем.
SA>>Еще можно тупо заменить все файлы в папке Windows их оригиналами, сохранив реестр.
SH>А потом переустановить всё ПО, которое почему-то перестало работать
Дак после переустановки всё ПО перестанет работать, вообще. Ну, почти SH>Увы, боюсь что это решение более трудоёмко, чем поставить заново.
Можно еще поставить винду рядом и из-под неё вычистить диск свежим CureIT!-ом.
Не уверен, можно ли это сделать из Live CD.
...индустрии обычно развиваются из-за более-менее “серых” (т.е. не нелегальных, но находящихся на грани) практик. Государство и регулирующие органы обычно опаздывают с установлением правил игры лет на 5-10, но всегда наступает момент, когда количество пользовательских жалоб доходит до критической массы, и тогда волей-неволей кому-то приходится вмешиваться, чтобы установить иллюзию зыбкого баланса.
Я на практике знаком с подобными трендами в американской и австралийской мобильной индустрии (плюс с европейскими практиками, но меньше), когда операторы и их партнёры пытаются чинить произвол (абсолютно легально!), а клиенты сопротивляются. Но если отдать решение проблемы операторам, то они с радостью пообещают разобраться, а на практике будут поддерживать партнёров, которые зарабатывают им деньги, а вполне конкретным лицам в компании – бонусы. Иначе и быть не может: партнёров “сливают” только тогда, когда оператору грозит огромный штраф...
Размышления выглядят здраво. Поэтому складывается ощущение, что вероятность добиться приемлемого результата не очень велика.
Здравствуйте, StandAlone, Вы писали:
SH>>Увы, боюсь что это решение более трудоёмко, чем поставить заново. SA>Можно еще поставить винду рядом и из-под неё вычистить диск свежим CureIT!-ом. SA>Не уверен, можно ли это сделать из Live CD.
SH>Наглость с номером СМС кажется мне настолько вопиющей, что хочется завести на ребят уголовное дело. Благо по номеру их должно быть несложно вычислить.
Если очень хочется то может вам сюда
Здравствуйте, SergH, Вы писали:
SH>Здравствуйте, Yuki-no Tenshi, Вы писали:
YNT>>Я поставил альтернативный менеджер процессов. ...
SH>Мой гад ловит создание новых процессов и убивает их все сразу. process explorer не запустить, regedit не запустить, даже cmd не запустить. Всякие антивирусные утилитки тоже. Некоторые процессы разрешает -- IE и FF, но тоже контролирует их.
SH>Подозреваю, что технически он всё же ловит создание окон, но мне это не сильно помогает.
А что, если попробовать просканировать поиском системные или временные файлы на предмет наличия в них текста iexplore.exe, firefox.exe и т.д. Ведь откуда-то вирус знает можно убивать процесс или нет.
Здравствуйте, Dog, Вы писали:
SH>>Наглость с номером СМС кажется мне настолько вопиющей, что хочется завести на ребят уголовное дело. Благо по номеру их должно быть несложно вычислить. Dog>Если очень хочется то может вам сюда
Я вот примерно об этом и думаю, спасибо.
Есть, правда, несколько тонких моментов: не факт, что код в смске подойдёт, плёночного фотоаппарата у меня нет, вообще с доказательной базой плохо. Мало ли я сам написал эту программу. Адвоката ещё привлекать, хм...
Здравствуйте, SergH, Вы писали:
SH>Ситуация: сегодня утром обнаружил у себя дома гадость типа такого http://www.cforum.ru/t4/forum/uqn8pm?goto=141593
SH>Только немножко иначе и местами хуже. Притворяется антивирусом, говорит, что "компьютер заражён" (и не врёт, сволочь ) предлагает "полечить" за смску. Блокирует запуск процессов, кроме нескольких (FF и IE разрешает, но закрывает их при попытке искать по номеру смски). Грузится в том числе и в сейфмоде. Зарубил мою Авиру при помощи политик. Ну и ещё по мелочам. Варианты решения из сети не подошли, будем сносить.
Тоже на выходных подцепил этот вирус. AVZ помог легко его снести. Процессы вирус убивает по открытым окнам, соответственно если окон не открывать можно многое с ним сделать.
ЗЫ вирусный код был встроен в файл шрифтов и на них стоял вызов как на DLL при старте системы.
Здравствуйте, vb-develop, Вы писали:
VD>Тоже на выходных подцепил этот вирус. AVZ помог легко его снести. Процессы вирус убивает по открытым окнам, соответственно если окон не открывать можно многое с ним сделать.
Здравствуйте, SergH, Вы писали:
Как там у вас дела?
вы не пробовали такую простую вещь как восстановление системы ? можно запуситить и в безопасном режиме
может это банально, но другу помогло.
Еще если он подгружается скажем к эксплореру не ие, по Ф8 выбрать безопасный режим с поддержкой командной строки
там набрать restore/rstrui.exe и выполнить само восстановление на более раннюю дату.
Здравствуйте, dynamic, Вы писали:
D>Как там у вас дела?
Прекрасно, спасибо
Вот начнутся выходные, займусь компом. Пока как-то никак.
D>вы не пробовали такую простую вещь как восстановление системы ? можно запуситить и в безопасном режиме
В безопасном режиме та же фигня, что и в обычном. Так что начну с др-вёбовского Live CD (ТК выше упоминал).
Здравствуйте, dynamic, Вы писали:
D>может это банально, но другу помогло. D>Еще если он подгружается скажем к эксплореру не ие, по Ф8 выбрать безопасный режим с поддержкой командной строки D>там набрать restore/rstrui.exe и выполнить само восстановление на более раннюю дату.
Если я правильно понимаю, что делает эта штука, это надо было сильно раньше делать
Там же ранние даты не с потолка, а предыдущие успешные загрузки. Точно не помню, с какого момента загрузка считается успешной, вроде бы после появления приглашения Ctrl-Alt-Del, но до логина пользователя. Последних загрузок хранится примерно три. Нужное количество перезагрузок у меня прошло. Я как-то понадеялся, что справлюсь сам...
