Сообщение от Part!zan:
а файлик зловреда не сохранился случайно?

а где он может быть если комп заражён,а то попадались у знакомых,на одном через сайт касперского ключ подобрали(после 1 смски ,просил вторую для подтверждения совершенолетия ),по не проверенным данным за каждую мессагу п о500р ,а на втором компе просто винду переустановили,так юзеру было всё равно,комп нужен срочно был. [Ответ]

Сообщение от mishel13:
а где он может быть

скорее всего где-то в documents and settings\%username%
Очень часто я лечу такие компьютеры созданием нового пользователя и удалением старого. [Ответ]

Сообщение от mishel13:
просто винду переустановили

Сообщение от Катя.:
лечу такие компьютеры созданием нового пользователя

этож дольше, чем файлик вычислить. [Ответ]

X0R, он не всегда вычисляется.
А чем дольше? делов-то, создал нового пользователя, переместил в него старый рабочий стол, мои документы и если есть - outlook, opera и пр. мелочь. Но в большинстве случаев кроме рабочего стола ничего не надо. Вся операция - 5 минут. [Ответ]

Катя., в реестре могут быть настройки программ, потом долго настраивать. [Ответ]

mishel13, если вводить ключ, то вирь, как правило, убирает все ограничения, которые он сделал в системе и самоуничтожается. А после переустановки... Форматирование все убивает. А файл где угодно может окопаться. Зависит от фантазии автора. И способа, которым вирь попал на комп.
Катя., способ с юзером, конечно, быстрый, но не факт, что вирь не испортил что-нть, что аукнется в дальнейшем. Уж лучше, зачистить систему как следует. [Ответ]

Сообщение от Катя.:
скорее всего где-то в documents and settings\%username%
Очень часто я лечу такие компьютеры созданием нового пользователя и удалением старого.

Офигенное "лечение")))) Хотя бы в реестр заглянуть - не судьба? [Ответ]

Spectator, идите в жопу, господин эксперт. я же говорю, что он не всегда находится. [Ответ]

Сообщение от Part!zan:
Кстати, вдруг кому пригодится... Если вам попался локер как на картинке, то код для него можно самому подобрать. Критерии простые:
8-значное число
цифра 1 !=0
цифра 2 м.б. ==0 если цифра 1 !=1
цифра 3 == цифра1+цифра2
цифры 4-8 - безразличны

любопытно, это результат логики, терпения или дизасемблирования ? [Ответ]

][irurg, все перечисленное ) Вообще, у меня есть подозрение, что таким свойством обладают некоторые номера, которые присутствуют на чеках каких-то платежных терминалов.

Сообщение от soft_masha:
+ если нет интернета (нет возможности в него войти)
- достаточно долго.

Оба аргумента - мимо кассы. Локеры отлично лечатся безо всяких интернетов. Вообще, любые вирусы лечатся без интернетов. Откат на точку восстановления - достаточно быстрая операция.

Сообщение от soft_masha:
не хотите потерять - восстановление накатом

Это еще что за нафиг... Накатом чего, откуда и куда?

Сообщение от soft_masha:
там наверное можно делать откаты по точкам через консоль восстановления.

Увы и ах, мелкософт такого не предусмотрела. Я тоже был в шоке, когда узнал об этом. [Ответ]

Сообщение от soft_masha:
если только.. оно не даст провести откат...)

Скорее всего не даст.. [Ответ]

Сообщение от soft_masha:
p/s мне сегодня дали.. я рад

твоя девочка с которой у тебя все чики-пуки и из под профиля которой ты сидишь? [Ответ]

Сообщение от soft_masha:
вы обычно в нашей реальности.. бываете (обычно) ?

А поцчему ви спгашиваете? [Ответ]

Сообщение от soft_masha:
(пока ещё )

Таки ви антисемит? [Ответ]

Сообщение от Катя.:
Spectator, идите в жопу, господин эксперт. я же говорю, что он не всегда находится.

У Вас))) У меня всегда всё находится, поскольку ниоткуда программа вызываться не может)) Есть реестр, есть win.ini / system.ini и еще несколько мест. Но это - основные.
Лечить переустановкой подобные вещи - все равно что вырезать аппендицит автогеном через задницу)))
А, Вы еще и просто нового пользователя создаете))) Совсем забавно))) Достаточно прописаться в HKLM, а не в HKCU, и это уже не спасет))) [Ответ]

Сообщение от soft_masha:
я думаю - вы тролль

Нда... В своем глазу бревнышко выковыряй сначала. [Ответ]

Мне помогло провериться КИСом 2010 и все. Все исчезло моментально. А до этого проверка НОДом не показала абсолютно ничего, с тех пор решил на нем больше не сидеть вообще... Щас на постоянке стоит КИСа и никого постороннего не пускает. Вот [Ответ]

Сообщение от Spectator:
У Вас))) У меня всегда всё находится, поскольку ниоткуда программа вызываться не может)) Есть реестр, есть win.ini / system.ini и еще несколько мест. Но это - основные.
Лечить переустановкой подобные вещи - все равно что вырезать аппендицит автогеном через задницу)))
А, Вы еще и просто нового пользователя создаете))) Совсем забавно))) Достаточно прописаться в HKLM, а не в HKCU, и это уже не спасет)))

Каким образом вы залезете в реестр, если редактор реестра заблокирован? М?
С ЛайвСиди прицепив куст и копаясь в это каше руками? [Ответ]

Сообщение от Writer:
Каким образом вы залезете в реестр, если редактор реестра заблокирован?

Во-первых, есть альтернативные редакторы. Во-вторых, можно отменить блокировку. В третьих, можно пропатчить регедит.

Сообщение от kelvin:
Мне помогло провериться КИС

Я че-то сильно сомневаюсь, что кис восстановит порчу, которую вири наводят на систему. Удалением самого виря дело не оканчивается. [Ответ]

Сообщение от Part!zan:
Во-первых, есть альтернативные редакторы. Во-вторых, можно отменить блокировку. В третьих, можно пропатчить регедит.

Чтобы использовать альтернативный редактор нужно сначала иметь альтернативный редактор. А чтобы его всунуть в заражённую систему нужно грузиться (в подавляющем большинстве случаев) с лайва. А из этого следует, что нааамного проще и удобней подсунуть альтернативный диспетчер задач, в котором найти заразу, тут-же выяснить путь до неё и благостно замочить.

Остальное комментировать не буду. Ибо хоть и не ересь, но тоже путь извилистый. [Ответ]

Сообщение от Writer:
нааамного проще и удобней подсунуть альтернативный диспетчер задач

Чтобы подсунуть альтернативный диспетчер задач, "нужно сначала иметь" альтернативный диспетчер задач. ) Дальше по тексту все совпадает. ) Вообще, замочить локер, который на весь экран и поверх всех окон, без перезагрузки не так уж и просто. Я один способ придумал, но как показали испытания, он только в ХР прокатит. В висте и 7 мелкософт удалила необходимый функционал ( [Ответ]

Сообщение от Part!zan:
Чтобы подсунуть альтернативный диспетчер задач, "нужно сначала иметь" альтернативный диспетчер задач. ) Дальше по тексту все совпадает. )

Зато в альтернативном диспетчере задач не надо как в сору копаться, в отличие от альтернативного редактора реестра.

Сообщение от :
Вообще, замочить локер, который на весь экран и поверх всех окон, без перезагрузки не так уж и просто. Я один способ придумал, но как показали испытания, он только в ХР прокатит. В висте и 7 мелкософт удалила необходимый функционал (

Ишь ты... *задумался* [Ответ]

Кстати о птичках.. Было дело, как-то удалил вирь под названием kasperkey 2010. Вирь сам по себе безобидный, единственнаяего функция - копировать самого себя на флешки.. Представлял собой файл md.exe, файл smss.exe (сидел в автозагрузке и находлся в C:/RECYCLER.. Все удалил, убрал из автозагрузки в реестре, в shell. Но вот какая хрень - периодически он там снова появляется, вместе с explorer.exe. Какой-либо системы в этом я не заметил.. Есть подозрение на резервные копии реестра. [Ответ]

Сообщение от Writer:
Каким образом вы залезете в реестр, если редактор реестра заблокирован? М?
С ЛайвСиди прицепив куст и копаясь в это каше руками?

Бывыло и с загрузочного CD, хотя обычно безопасного режима хватает. В какой куче, простите? Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре. Четыре, если считать RunOnce, я их тоже проверяю. [Ответ]

Сообщение от Spectator:
Бывыло и с CD, хотя обычно безопасного режима хватает. В какой куче, простите? Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре.

Да? Очень неожиданно. [Ответ]

Сообщение от Writer:
Зато в альтернативном диспетчере задач не надо как в сору копаться, в отличие от альтернативного редактора реестра.

Дык все равно придется копаться в реестре. Диспетчер задач лишь убьет процесс. А все последствия виря все равно прибирать придется.

Сообщение от Teddybear:
Но вот какая хрень - периодически он там снова появляется, вместе с explorer.exe

Эээ. Не понял, где появляется. В автозагрузке или в ресуклере?

Сообщение от Spectator:
Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре

Жги дальше. В реестре не меньше десятка мест, откуда можно автозапуститься. [Ответ]

Сообщение от Part!zan:
Эээ. Не понял, где появляется. В автозагрузке или в ресуклере?

в автозагрузке (winlogon/shell). Естественно винда при загрузке ругается, что файл не найден. [Ответ]

Teddybear, тогда, боюсь, вирь не уничтожен до конца. Или повторные заражения.
Системные бакапы реестра сами по себе не восстанавливаются. Это происходит либо в результате загрузки "последней успешной конфигурации", либо при откате точек восстановления. По крайней мере, в ХР. В висте/7 может быть как-то по-другому, но вряд ли. [Ответ]

Сообщение от Spectator:
Бывыло и с загрузочного CD, хотя обычно безопасного режима хватает. В какой куче, простите? Там всего два места, откуда могут программы запускаться при старте. Конкретно в реестре. Четыре, если считать RunOnce, я их тоже проверяю.

Просто в интернете гляньте из скольких мест в реестре можно запустить зловреда. Даже из CLASSES_ROOT его можно запустить легко и непринуждённо.

Сообщение от Part!zan:
Дык все равно придется копаться в реестре. Диспетчер задач лишь убьет процесс. А все последствия виря все равно прибирать придется.

Но будет известно имя процесса, имя файла и путь до тела вируса, что значительно облегчит последующую чистку. [Ответ]

Сообщение от Part!zan:
Жги дальше. В реестре не меньше десятка мест, откуда можно автозапуститься.

http://support.microsoft.com/kb/835638/ru
Обычно настройки, определяющие автозагружаемые приложения, размещаются в четырех разных местах: две из них - в разделе HKEY_LOCAL_MACHINE, а еще две - в HKEY_CURRENT_USER. [Ответ]