Вот что написал в комментарии про гнусный вирус камрад под ником Shapeshift:

Страждущим от вируса.

Идем в папку Windows и находим там файл system.ini. Открываем (с помощью блокнота), находим там строку shell=explorer.exe load.exe -dontrunold. Обрезаем, чтобы осталось shell=explorer.exe. Сохраняем. Жмем CTRL+ALT+DEL 2 раза (именно так, иначе при перезагрузке вирус снова оживет). После перезагрузки заходим в windows/system/ и душим load.exe и riched20.dll (оба файла — с аттрибутом hidden).

Потом проходимся по диску и убиваем все .eml и .nws файлы, которые вирус наплодил. И всё.

Камраду Shapeshift — спасибо.
Правда, гадский вирус сами забороли за час до.
Тем не менее — спасибо, и — решпект.

Ибо!
Человек не рассказывал окружающим об их тупизне.
Не сообщал о том, что надо быть идиотом, чтобы запустить вирус.
(особо продвинутым повторяю: эта скотина запускается сама и гадит по всем машинам в сети)
А доступно и толково пояснил, что делать и как бороться.

За что еще раз — спасибо.

И всем, кто давал толковые советы по безопасности — тоже спасибо.

С уважением,
Goblin

Слушай подкасты на Яндекс.Музыка

Комментарии

cтраницы: 1

всего: 17, Goblin: 2

Trump

отправлено 19.09.01 19:12

# 1

Это под какими виндами?!
Под 9х/МЕ?!
А как под NT/2000?

CTapbIe_KocTu

отправлено 19.09.01 19:39

# 2

2 Goblin
Дима, абсолютно с тобой согласный! Вот это - ЧЕЛОВЕК!

ЗЫ Больше всего в предыдущем трэде повеселили клоуны, заявлявшие примерно следующее:
"Тот, у кого вирус - ЛОХ!" Бля, вот у меня несколько раз были вирусяги, но вовсе не потому, что я кретин, не умеющий Ctrl от Altа или Delа отличить, а потому что на тот момент... ну, например, вирус был с пылу с жару, и AVPшка не знала, что он такой паскудный, этот вирус... Дать бы таким умникам в морду... раз пятнадцать... вот бы было б здорово, было б хорошо!..
;-)

CTapbIe_KocTu

отправлено 19.09.01 19:43

# 3

Хыхы... только щаз сообразил... я ведь, как только этот добрый совет увидел - тут же его в буфер - и тово, прямиком в текстовый файлик...
Смешно!.. торможу к концу рабочего дня-то...
;-)))

CTapbIe_KocTu

отправлено 19.09.01 19:45

# 4

2 Гоблин
Кстати, Дима, по поводу корректорства... у меня тоже подобная хохма была... язык русский я хорошо знаю, вот кроссворд мощный составлял, ну и вопросы к нему, соответственно... мне редактор газеты и говорит: "Ошибок нет?", я ему тоже бодро так отвечаю: "Нет! Ни одной!", а сам еще думаю - я же в Ворде все внимательно проглядел... оказалось - все равно была парочка настоящих ошибок... и парочка слов, которые Ворд не знал... Боливар он не знал и чё-то еще...
;-)))

Soul Assassin (ZHR)

отправлено 19.09.01 20:10

# 5

А интерестно с какого шардра товаришь Shapeshift?

отправлено 19.09.01 21:05

# 6

OOfffffff!!!!!!!!!!!!!!!!

Два часа до отправления питерской лошади.
Дайте пожалуйста адресок в Питере, где купить кино Goblinского разлива.
Вопрошал е-почтой - ответа нет. Война с вирусами однако.
Тупичок's under attack!

VVS

отправлено 19.09.01 22:08

# 7

Кстати, я не уверен, что этого достаточно.

Потому как вирус еще перезатирает системный mmc.exe.

По крайней мере так написано у Семантека в описании Nimda:
http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

When executed the worm determines from where it is being executed. The worm then overwrites MMC.EXE in the Windows Directory or creates a copy of itself in the Windows Temporary Directory.

Очень рекомендую ознакомиться.

вкгп

отправлено 19.09.01 22:12

# 8

И СНОВА БЕН ЛАДЕН
http://www.viku.spb.ru/forum/read.phtml?f=1&i=1360&t=1360

Старик Похабыч

отправлено 19.09.01 23:00

# 9

2 #10
Сильное интервью! Просто взяло за душу и не отпускает...

drug

отправлено 19.09.01 23:03

# 10

2 #11
да

Goblin

отправлено 20.09.01 00:47

# 11

Ну, камраду VVS - завсегда thnx !!!

lev

отправлено 20.09.01 00:55

# 12

если мы под Милленниумом, то вытираем из каталога _RESTORE/TEMP все файлы с красивым расширением .cpy

Friday

отправлено 20.09.01 09:53

# 13

И еще - я б дал особенные рекомендации юзающим аутлук, отрубать что не надо, ставить все патчи и т.д. и т.п. Не могу посоветовать конкретно, ибо аутлук как почтовый клиент не использую.

Ибо... Ибо у меня на машине этот мега-вирус есть (был) но - в неактивизированном состоянии, потому что не аутлук.
Не помню, от кого его получил, но вроде не от Goblin'а.

Помнится, получил это письмо, хотел readme.exe сначала приаттаченное убить, потом само письмо. Да дрогнула рука - сразу письмо прибил. Потом прочитал про ужасы, решил прибить. А потом таки решил проверить - знает ли про него AVP. Знает, оказывается:)

Goblin

отправлено 20.09.01 10:31

# 14

2 to><

> Ты его знаешь?

Кого?
Shapeshift'a?

Так же, как и тебя - тут иногда вижу.

dvm

отправлено 20.09.01 10:47

# 15

Мне, кстати, больше чем AVP, понравился AVX.

http://www.antivirusexpert.com

Ключик к нему найти - нет проблем. А лениво качать - они для каждого опасного вируса выпускают отдельную тулзу, которую прямо у них там и можно скачать.

короткостволист-долбоеб

отправлено 20.09.01 12:51

# 16

Не секрет что Outlook является по сути своей одной большой дырой в виндах. Практически все такие вормы пишутся специально под него. Если хочешь спать спокойно и не думать о том что тебе попортит очередной вирус снеси Outlook и поставь себе другой майлер.

З.Ы. Сам я пользуюсь The Bat! по моему мнению он гораздо проще и удобнее чем Outlook.

Glukocil

отправлено 23.09.01 19:26

# 17

спасибо товарищу ... но....
зашел я тут на портал др.веба, там что-то подобное народ тоже в форуме советовал, но дядя Данилов спросил ...
<Это все правильно, а что с зараженными exe будем делать?>

кстати вирус я убвал также .... но на чужой мащине ;)

cтраницы: 1

всего: 17