- This topic has 2 ответа, 3 участника, and was last updated 16 years назад by
.
-
Сообщения
-
Был вирус такого типа:
Устанавливается как новый flash_player_10.exe
После запуска распаковывает рабочие файлы во временную папку Temp и сам exe файл удаляется.
После перезагрузки компьютера появляется баннер, блокируется диспетчер задач и блокируется доступ к интернету.
Изменения делаемые вирусом, которые заметил
1. Распаковывает в папку X:Documents and SettingsXXXXXXXXXXLocal SettingsTemp файлы (xxxxxxx- имя пользователя)
dasB.tmp
dasB.tsh
dasBв папку X:Documents and SettingsXXXXXXXXCookies файл
userlib.dllв папку X:WINDOWSPrefetch
DASB.TMP-30513683.pf2. Exe файл вируса удаляется и управление передается на dasB.tmp
Этот файл делает изменения для автозапуска в реестре
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon дописывает в параметр Userinit свое значение
X:WINDOWSsystem32userinit.exe,X:DOCUME~19335~1LOCALS~1TempdasB.tmpВ ветке HKLMSystemCurrentControlSetServicesWinSock2 делает множественные модификации параметров для перехвата работы интернета
дописывает путь к файлу userlib.dll. Поэтому после удаления userlib.dll интернет может перестать работать.
Я воспользовался утилитой WinsockxpFix для восстановления рабочих параметровДля удаления вируса необходимо
1. Остановить процесс dasB.tmp. Так как диспетчер задач заблокирован я использовал стороннюю утилиту AnVir.
После остановки процесса и удаления файлов dasB.tmp dasB.tsh dasB баннер исчезает.
2. Удалить X:WINDOWSPrefetchDASB.TMP-30513683.pf
3. Править параметр Userinit в ветке реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
должно остаться только X:WINDOWSsystem32userinit.exe
4. Удалить userlib.dll просто не удаляется, я использовал Dr.Web CureIT
5. Восстановить работу диспетчера задач через программу AVZ или использовав gpedit.msc
6. Перезагрузиться
7. Если интернет не работает использовать программу WinsockxpFix
После этого у меня все заработалоЗдравствуйте, добро пожаловать на Spyware-ru форум.
Спасибо за приведённую инструкцию 🙂
Несколько ссылок к тексту:Dr.Web CureIT — ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
WinsockxpFix — http://www.snapfiles.com/php/download.php?id=107303- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
ВЫ тут написали что : «Восстановить работу диспетчера задач через программу AVZ или использовав gpedit.msc» я скачал AVZ скажите пожалуйста как через него возобновить работу диспечер задач
- Тема ‘Как удалить белый баннер с текстом на рабочем столе’ закрыта для новых сообщений.
