Присаживайтесь поудобнее перед вашими голубыми экранами.Снова смс лохотрон. Вы уже догадались, что слать всякие там смс бессмысленно.
Ветка реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.
Скучный вирус заточенный под windows 7, часть его кода не работает под windows xp, но об этом позже.
И так реестр.
Вижу крокозябрик из случайных символов, просто удаляю и не думаю, но запоминаю имя вируса.
Shell, как всегда заменили explorer.exe на тело вируса. Кстати вирус интересен тем, что курсор движется только в рамке баннера, а если подключить не известное системе устройство, та на заднем плане вы можете управлять окном и кнопками с помощью таб. Ладно, это все баловство, иду дальше.
Кстати, это чуть модифицированный компьютерный вирус из предыдущей статьи. До этих двух вирусов были так простачки пугающие порчей системы, а эти действительно какают. Все все чуть позже, мысль забегает за действие.
Меняем shell на explorer.exe.
Открываю раздел реестра локал машин ран или HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run в курент юзерах редко прописывается вирус, так как, надо вирус научить различать учетные записи, а для вирусописателей главное быстро и получить прибыль. Конечно если клиент будет ходить из угла в угол, вирус антивирусные программы научат удалять.
В ран прописался неизвестный, мне например известно, что из систем 32 ни кто не прописывается в ран, просто удаляю.
А вот следующая строка посвящается всем любителям интерент пейджеров типа квип и сайты знакомств типа в контакте и одноклассники.
Если не открывается в контакте или одноклассники смотри хост.
Если ты не знаешь что здесь делать, просто удаляй все.
Это простая переадресация на сайт двойник например или на загрузку вируса.
Теперь поиск вирусов в ручную.
Пробегаюсь по систем 32 и хост.
Есть крокозябрик, но это старенький, просто удаляю.
Смотрю темп а там нету ни чего остаточки.
Самое любимое место документ энд сеттинг там вам и тем курент юзер и темпорэри интернет файлс, короче есть место где положить вирус. Ой, да тут прям в корне диска c: прикорнул дубль экзешник, просто удаляю.
Щас лечить будем.
Поиск сократит время, подразделов мало.
Переходим к файлам.
А вот и засада о которой я говорил в самом начале, вирус скопировал некоторые системные вещи пробую их вернуть на место по памяти, с windows 7 немного сложнее по памяти.
Пробую перезагрузить компьютер и о, чудо, он работает, клиент просто плачет рядом от радости и трясется, когда же в одноклассники попадет.
А кто нас защищал?
А ведь он умеет редактировать хост, но вы все сами видели, редактировал хост я.
Вот мы и удалили компьютерный вирус.
Взято с сайта - sarovcomp.ru
