Изгнание вируса из компьютера группы
Nov. 27th, 2010 08:03 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
andresolПошел я сегодня на факультет примериться перед вторничной конференцией: не слишком ли загажена computer room. Комната для поставленных задач сгодится, но вот главный компьютер за полтора года пребывания в общем пользовании зарос вирусами и прочими всплывающими окнами. Там не то, что Skype, там интернет сегодня утром пахать не хотел. Перезагрузка привела к тому, что вирус по имени AntiSpy Safeguard, на дал запуститься Windows Explorer'у, а потребовал номер банковской карточки. Делать нечего, надо звать главного по компьютерам. А надо вам сказать, что главный по компьютерам в нашей группе это я сам. И компьютерные проблемы я решаю так же, как вожу машину: с помощью и руками брата.
Пришел брат и через три с половиной часа все было приведено в норму. Если знать, что делать, то можно и за час разобраться, потому на будущее составляю себе мануал. (Если бы пригласил Jeff'а, нашего факультетского админа, то лечение могло растянуться на недели).
Первым делом брат перегрузился в safe mode'e (F8) и стер все файлы в папке Temp. Установленная программа Autoruns вредных процессов в безопасном режиме не видела. Потому перегрузились еще раз в нормальном режиме. Когда всплыл AntiSpy Safeguard, нажал Alt+Ctrl+Del и через File>New task... запустил Explorer. Затем были сняты все подозрительные процессы. Далее используя Autoruns (весьма полезная в таких случаях программа), нынешние загружаемые процессы были сравнены с копией, сделанной летом. Вирусы и трояны были удалены как из autorun'а, так и потерты на диске (через Free Commander установленный по случаю). Заняло это минут десять и дальше начался поиск решения главной проблемы.
Какой-то ранний вирус перед смертью напакостил: отменил обновления Windows. А без обновлений неудивительно, что новые гады к нам заползли. При попытке найти и скачать обновления возникала ошибка номер 80246008, которую официальный сайт поддержки предлагает решать походом в Control Panel>Administrative Tools>Services и изменением параметров Background Intelligent Transfer Service (BITS). Просто было на бумаге, но в искомой папке такого сервиса не оказалось. Попытки скачать его заново или разные repair kits к нему ни к чему не привели. Система заявляла, что с BITS все в порядке.
Поиск по форумам в конце концов привел к решению. Не только мой брат не знал, что нужно предпринять. Люди и по 20 часов тратили. Проблема была в том, что вирус изменил реестр (тот, что открывается regedit'ом). Иногда он прописывал в пути fystem вместо System, но у нас никаких fystem не нашлось. Тщательная сверка того, что нашлось с тем, что должно было быть, обнаружила отсутствие одной маленькой строчки Start. В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS добавили через New>DWORD, имя Start, значение 3 (можно 2). После перезагрузки BITS обнаружился в Control Panel, где был изменен с Manual на Automatic.
Теперь оставалось смиренно ждать, пока комп скачает, установит и переварит 40 важных обновлений, накопившихся за время вирусной оккупации. Все время лечения я сидел по правую руку от брата и подавал гаечные ключи: по мере сил искал на соседнем компе в интернете и старался запоминать шаги.
Брат говорит, что Windows Vista – тестовый проект, но надо покупать и ставить Windows 7. Как бы я ни был согласен, я и на своем домашнем компе не переставил систему: лень, лень, лень устанавливать потом программы. Надеюсь, что до вторника комп доработает, а там пусть мои labmates что угодно ставят.
Пришел брат и через три с половиной часа все было приведено в норму. Если знать, что делать, то можно и за час разобраться, потому на будущее составляю себе мануал. (Если бы пригласил Jeff'а, нашего факультетского админа, то лечение могло растянуться на недели).
Первым делом брат перегрузился в safe mode'e (F8) и стер все файлы в папке Temp. Установленная программа Autoruns вредных процессов в безопасном режиме не видела. Потому перегрузились еще раз в нормальном режиме. Когда всплыл AntiSpy Safeguard, нажал Alt+Ctrl+Del и через File>New task... запустил Explorer. Затем были сняты все подозрительные процессы. Далее используя Autoruns (весьма полезная в таких случаях программа), нынешние загружаемые процессы были сравнены с копией, сделанной летом. Вирусы и трояны были удалены как из autorun'а, так и потерты на диске (через Free Commander установленный по случаю). Заняло это минут десять и дальше начался поиск решения главной проблемы.
Какой-то ранний вирус перед смертью напакостил: отменил обновления Windows. А без обновлений неудивительно, что новые гады к нам заползли. При попытке найти и скачать обновления возникала ошибка номер 80246008, которую официальный сайт поддержки предлагает решать походом в Control Panel>Administrative Tools>Services и изменением параметров Background Intelligent Transfer Service (BITS). Просто было на бумаге, но в искомой папке такого сервиса не оказалось. Попытки скачать его заново или разные repair kits к нему ни к чему не привели. Система заявляла, что с BITS все в порядке.
Поиск по форумам в конце концов привел к решению. Не только мой брат не знал, что нужно предпринять. Люди и по 20 часов тратили. Проблема была в том, что вирус изменил реестр (тот, что открывается regedit'ом). Иногда он прописывал в пути fystem вместо System, но у нас никаких fystem не нашлось. Тщательная сверка того, что нашлось с тем, что должно было быть, обнаружила отсутствие одной маленькой строчки Start. В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS добавили через New>DWORD, имя Start, значение 3 (можно 2). После перезагрузки BITS обнаружился в Control Panel, где был изменен с Manual на Automatic.
Теперь оставалось смиренно ждать, пока комп скачает, установит и переварит 40 важных обновлений, накопившихся за время вирусной оккупации. Все время лечения я сидел по правую руку от брата и подавал гаечные ключи: по мере сил искал на соседнем компе в интернете и старался запоминать шаги.
Брат говорит, что Windows Vista – тестовый проект, но надо покупать и ставить Windows 7. Как бы я ни был согласен, я и на своем домашнем компе не переставил систему: лень, лень, лень устанавливать потом программы. Надеюсь, что до вторника комп доработает, а там пусть мои labmates что угодно ставят.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2010-11-28 12:14 pm (UTC)no subject
Date: 2010-11-29 04:28 am (UTC)no subject
Date: 2010-11-28 10:38 pm (UTC)no subject
Date: 2010-11-29 04:26 am (UTC)no subject
Date: 2010-11-29 10:29 am (UTC)Тут вообще нихрена не предлагают. Разве что ChemOffice...
Только и умеют, что ебать мозги "не пользуйтесь торрентами, не пользуйтесь левым софтом."
no subject
Date: 2010-11-29 01:48 am (UTC)В самом начале поставил лицензионный MacAfee - университет и интернет-провайдер (независимо друг от друга) предоставляли его бесплатно. При том, что это г**но стоит около $40 баксов в год, худшего антивируса я в своей жизни не встречал, чесслово. Меня хватило на три недели.
no subject
Date: 2010-11-29 04:25 am (UTC)У нас универ бесплатно предоставляет Symantec. Я его себе когда-то на ноутбук установил, не выдержал тормозов и снес. Надо будет все-таки на общий компьютер его установить.
no subject
Date: 2010-11-29 05:03 am (UTC)no subject
Date: 2010-11-29 06:21 am (UTC)