Народ помагите с вирусом!!!

Discussion in 'Безопасность и Анонимность' started by LoG_DoG, 13 Jan 2007.

  1. LoG_DoG

    LoG_DoG New Member

    Joined:
    5 Mar 2006
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Народ ПОМАГИТЕ ВЕЛИКАМУ НУУУУУУУБу ..... я заразился вирусом который NOD32 расчитал как Модифицированный Win32/Spy.Goldun.GU троян .... находиться в оперативе!!!! но прикол в том что в папке куда его путь указан его нету!!(С:\WINDOWS\sustime32 друг говорит его даже система не видит!!! воть!! помагите как от него избавиться!! канкретно вешает систему!!! буду оооооччень благодарен!
     
    #1 LoG_DoG, 13 Jan 2007
  2. D=P=CH= MOD=

    D=P=CH= MOD= Elder - Старейшина

    Joined:
    15 Aug 2006
    Messages:
    249
    Likes Received:
    195
    Reputations:
    15
    format C:/
     
    #2 D=P=CH= MOD=, 13 Jan 2007
  3. Samson

    Samson Elder - Старейшина

    Joined:
    14 Dec 2006
    Messages:
    55
    Likes Received:
    52
    Reputations:
    25
    Первым делом попробуй сделать полную проверку антивирусом в Safe режиме, также может помочь проверка винта, на другом компьютере(установить его 2).
     
    #3 Samson, 13 Jan 2007
  4. Go0o$E

    Go0o$E Members of Antichat

    Joined:
    27 Jan 2006
    Messages:
    304
    Likes Received:
    228
    Reputations:
    419
    http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109357

    1. Удалите из системного реестра установочный ключ бэкдора:
    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winprint]
    2. Удалите следующие файлы:

    %System%\eps32sys.sys
    %System%\winprint.dll

    3. Перезагрузите компьютер.
    4. Произведите полную проверку компьютера Антивирусом Касперского
     
    #4 Go0o$E, 13 Jan 2007
  5. LoG_DoG

    LoG_DoG New Member

    Joined:
    5 Mar 2006
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0

    А как найти фаил реестра?? при помощи regcleaner можно???
     
    #5 LoG_DoG, 13 Jan 2007
  6. Ksander

    Ksander Elder - Старейшина

    Joined:
    21 Jun 2006
    Messages:
    526
    Likes Received:
    260
    Reputations:
    138
    Win+R->regedit->enter->Правка->Найти
     
    #6 Ksander, 13 Jan 2007
  7. LoG_DoG

    LoG_DoG New Member

    Joined:
    5 Mar 2006
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0

    Он такое даже не находит!!!!
     
    #7 LoG_DoG, 13 Jan 2007
  8. Ksander

    Ksander Elder - Старейшина

    Joined:
    21 Jun 2006
    Messages:
    526
    Likes Received:
    260
    Reputations:
    138
    Ты чтоли всю строчку в поиск вставил ?=)
     
    #8 Ksander, 13 Jan 2007
  9. Jei

    Jei New Member

    Joined:
    2 Feb 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Не далее как вчера боролся с этой заразой (приятель подхватил).

    В реестре он прописался под именем "scsiusr4":
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\scsiusr4]

    Удаление этого ключа из реестра (как советовал Go0o$E) не помогает. Троян это отслеживает и сразу восстанавливает запись. Также бесполезным оказалось изменение параметров "DllName" и "Startup", содержащих название файла трояна.

    Помогла установка разрешений на этот ключ (клик правой кнопкой мыши -> Разрешения). Для "Системы" поставил "запретить" полный доступ, т.к. троян запускается с правами системы. Далее изменил параметры "DllName" и "Startup" на отличные от имени файла трояна, чтобы он при перезагрузке системы не загрузился.

    Перезагрузка.
    Удаление файла %System%\scsiusr4.dll (который теперь стал виден).
    Удаление ключа автозапуска трояна.

    PS. Наверное, можно было сменить разрешение для учетной записи "Система" "Запретить" на весь вышестоящий ключ - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]. Затем удалить [...\scsiusr4]. Правда, после перезагрузки нужно было бы восстановить разрешения.

    PPS. В Windows 2000 нужно использовать regedt32.exe вместо regedit.exe.
     
    #9 Jei, 3 Feb 2007
    Last edited: 3 Feb 2007
(You must log in or sign up to post here.)