Comp.Soft
Главная | Регистрация | Вход
Среда, 25-Декабря-2024, 22:17
АСТРАХАНЬ
Меню
Поиск
Категории
FAQ по ноутбукам
Сборник советов
Железо
FAQ - Разное
Сделаем это быстро
Файлообменники
Мышка
DVD-привод
Автоматическая установка
Сервер 2003/2008
Дешёвый СОФТ
Чат
Это нужно
Главная » Статьи » Советы пользователю » Сборник советов

Уборка за вирусами

Новая интересная ситуация возникла. Как я уже писал в предыдущей статье, я предпочитаю бороться с вирусами руками, а не софтом. В данном случае поработали до меня, с помощью live cd была "вылечена" система. В итоге: файлы и ярлыки не запускаются. Начинаю реанимацию: во первых, очевидно, что вирус заменил команду на запуск exe файлов. Соответственно невозможно вызвать ни одну программу. Попытка запустить через "выполнить" из "пуска", приводит к 0 результату. Это только лишь подтверждает предположение по замене шелла на запуск файлов.

Мне повезло, служба "Вторичный вход в систему" была активирована. Первым делом я перешел в /windows/system32/restore/ нажал на правую клавишу на файле "rstrui.exe" и выполнил команду "запустить от имени" (в этом случае вместо шелла по умолчанию, вызывается программа runas.exe, соответственно последствия вируса в пролёте). Пришлось снять флажок "защитить компьютер от несанкционированных действий", иначе система восстановления не работает. 

К сожалению, после восстановления образа системы за май месяц, выяснилось, что вирусом компьютер был уже заражен - соответственно время потрачено в пустую. Формально конечно можно было бы поиздеваться над пользователем, проставив в опциях критически нужных ему ярлыках во вкладке "ярлык" в кнопочке "дополнительно" галочку всегда запускать от имени другого пользователя. И заставить таким образом поработать с компьютером пару деньков (таким образом запускаться будут только те ярлыки, кому это было сделано, при условии, что юзер не спалил фишку с запуском от имени другого пользователя), исключительно в воспитательных целях, чтобы не затягивал с лечением вирусов. Но т.к. у меня не случилось приступа садизма, я решил продолжить реанимацию.

Этим же не хитрым методом я спокойно запустил regedit и увидел то, что и ожидал увидеть HKEY_CLASSES_ROOT\exefile\shell\open\command указывала на файл вируса. Замена строки на "%1" %*, как и следовало ожидать, проблему решило.

На самом деле, если бы я не оказался так удачлив со службой вторичного входа, у меня был запасной план - то, что однажды мне уже приходилось использовать, впрочем, немного в другой ситуации. Достаточно вызвать "сервис/свойства папки" в браузере файлов (если по какой то причине, отсутствует ярлык "мой компьютер" то можно просто нажать правую кнопку мыши на "пуск" и выбрать строку "проводник"). В свойствах папки будет интересовать третья вкладка "типы файлов". В них надо будет создать разрешение "exe", нажать на "дополнительно" и выбрать среди предложенного строчку "приложения". Теперь при попытки запустить exe и lnk виндоус будет услужливо предлагать выбрать программу по умолчанию для запуска файлов. (вообще то это можно сделать с помощью правой клавиши мышки, выбрать пункт "открыть с помощью", а там "выбрать программу", но часто вирусы удаляют эту строчку из выпадающего меню). В качестве программы для запуска выбераем windows/system32/cmd.exe. Конечно это не запустит программу, зато вместо нее запуститься консоль.

А с консолью уже все тривиально, можно просто вбить regedit и получить доступ к реестру, далее все как написано выше.



Источник: http://www.computerra.ru/readitorial/466707/
Категория: Сборник советов | Добавил: Andrey (13-Октября-2009) | Автор: Кирилл Вернон
Просмотров: 1360 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Переводчик сайта
Менюшка

Соц. сети
Вход
Теги

Для красивого отображения Облака
необходим
Adobe Flash Player 9
или выше
Скачать Adobe Flash Player

ОЗОН
OZON.ru
Друзья

Переводчик онлайн
Submitter.ru - Регистрация в поисковых системах!
Погода
Яндекс.Погода
Статистика






Онлайн всего: 3
Гостей: 3
Пользователей: 0

При использовании материалов сайта, наличие гиперссылки на сайт обязательно
© 2024
Яндекс.Метрика
Результаты антивирусного сканирования