My OperaНа компьютере не работают антивирусы: следствия и последствия вирусов Winlock, eKav antivirus и их модификаций
Thursday, March 25, 2010 10:51:20 AM
По роду своей деятельности довольно часто приходится сталкиваться с ситуацией, когда компьютер под управлением ОС Windows заражён одной из модификаций вируса Winlock или так называемым "ложным антивирусом". Как следствие заражения - не работает ни одна из установленных в системе антивирусных программ; бывает так, что даже популярные файловые менеджеры (к примеру Far, FreeCommander и т.д.) и всевозможные "твикалки" не хотят открываться, не говоря уже о таких системных утилитах как taskmanager, msconfig, regedit, gpedit и прочих. Случаи бывают разные, серьёзные и не очень. Но к ним всегда надо быть готовым. Хочу поделиться парой своих секретов о том, как всё же вернуть к жизни "многострадальные" windows-машины, если с ними всё таки приключилась такая напасть.
1. Первое, что я бы мог посоветовать - обзавестись live-дистрибутивом наподобие Infra Boot CD. Таких дистрибутивов сейчас стало довольно много. Можно даже использовать дистрибутив Ubuntu (желательно последней на текущий момент версии - 9.10). С live-дистрибутивами на основе windows всё понятно, но как быть с linux live дистрибутивами? Ответ не очевиден, но есть - требуется интернет (для возможности подцепить репозитарии и установить свежий wine), флешка с набором портабельных редакторов реестра (типа Avast Registry Editor), windows-антивирусов (к примеру - банальный DrWeb CureIt!), терпения и желания всё это "хозяйство" завести
2. Идём далее. Мы обзавелись дистрибутивом, загрузились с него и довольны, что нашли наши папки на жёстком диске в целости и сохранности. В случае linux live-дистрибутивов - потребуется примонтировать разделы руками. Если ваш дистрибутив Ubuntu - идём "Переход" -> "Компьютер" -> и кликаем на "понравившийся" раздел (нам нужен "Диск C"). Смонтированный раздел появится на рабочем столе.
3. Заходим в папку "Documents and Settings" -> "имя пользователя" -> "Local Settings" и удаляем папки "History", "Temp", "Temporary Internet Files". Те же действия производим и с другими учётными записами, даже с системными (!)
4. Удаляем содержимое папки "C:\WINDOWS\Temp". Быстро и безжалостно.
5. Далее немного сложнее - открываем "подручный" редактор реестра:
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\O\Paths
И удаляем раздел "Paths" целиком. Далее:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs
Стираем значение параметра AppInit_DLLs полностью.
6. Прогоняем (желательно все локальные диски) утилитой DrWeb CureIt! Она найдёт какие-нибудь вирусные "хвостики" в папке C:\WINDOWS\System32. Если есть желание (и вы знаете все свои файлы "в лицо"
) - можно руками повычещать "скрытые" dll-ки (т.к. мы знаем, что скрытых dll-ок в папке system32 быть не должно) и файлы со странными расширениями и названиями. Но помните - делаете всё это на свой страх и риск!7. Когда всё-таки вы попали в Windows - мой вам добрый совет - не поленитесь и прогоните компьютер программой Malwarebytes' Anti-Malware. Обновите её базы и она "подчистит всё неподчищенное и пофиксит всё непофиксенное".
На сегодня это всё. Здоровья вам и вашим "машинам"!
P.S. - Ситуации взяты из жизненного опыта и описываются процессы и действия, которые автор сам успешно производил. И не раз.
Unregistered user # Sunday, July 4, 2010 4:33:29 AM
Pitstopper # Sunday, July 4, 2010 7:06:20 AM
root_x from LOUpovierennyy # Tuesday, June 14, 2011 2:46:30 PM
root_x from LOUpovierennyy # Tuesday, June 14, 2011 2:47:06 PM