Как избавиться от вирусов

[PLAstic]

Тема посвящена практическим вопросам избавления компьютера от вирусов.
В ней собираются способы, помогающие убить всяческую заразу на компьютере.

• Обсуждение антивирусов лучше вести в соответствующем разделе.
• Способы лечения конкретных вирусов обсуждаются здесь
• Для обсуждения частного случая заражения лучше создать отдельную тему.

Предисловие читать обязательно

* Всё написанное далее является imho и основывается на моём личном опыте.
* Порядок действий может варьироваться в зависимости от настроения и образа мышления.
* AVZ - не антивирус, а утилита. Она не обеспечивает защиту, а лишь устраняет последствия. И результат её работы зависит на 90% от головы и рук сидящего перед монитором.
* Настоятельно рекомендую изучить документацию по утилите и сайт поддержки. Там действительно понятно написано множество полезных вещей.
* Исправления и дополнения принимаются.

Версия от 19.11.2008. Исправления последней версии выделяются курсивом.

Подробнее

Вирусу, как и любой другой программе, надо как-то запуститься. Способов для запуска существует много. Наша задача перво-наперво (даже на уже инфицированной машине) выкинуть из памяти вирусняк, а потом добить его тушку на жёстком диске. Очень хорошая есть софтина от SysInternals, которую купила Microsoft, - Autoruns. Она показывает достаточно много точек запуска. Но! Как всегда, круче наших не бывает и специалист по защите информации из Смоленска Зайцев Олег сваял утилиту, равной которой до сих пор нет. Итак, по порядку...
Попытаемся запустить утилиту. Несмотря на кажущуюся простоту процесса на завирусованной машине могут возникнуть сложности.
1) Если вирус перехватил файловые ассоциации, то вполне может блокировать запуск файлов *.exe . Это лечится переименованием avz.exe в avz.com. Он потеряет иконку, но останется запускаемым.
2) Вследствие популярности утилиты уже появились вирусы, которые блокируют любые операции с файлами *.avz (это базы утилиты). Тут два варианта: простой требующий инета и сложный автономный.
Простой. Качаем с сайта специальную версию AVZ, которая уже содержит в себе все файлы.
Сложный. Открываем в любом 16-ричном редакторе (в моём случае это был UltraEdit) файл avz.exe и находим там строчку .avz (она там одна). Меняем ".avz", например, на ".avv". Далее на другой машине в папке Base утилиты пишем команду (Пуск-Выполнить-cmd)

Код:

dir *.avz >c:\text.cmd

В текстовом файле получаем список всех .avz файлов. Далее из каждой строки файла делаем что-то вроде

Код:

ren имя_файла.avz имя_файла.avv

, затем запускаем. Получаем папку Base, где внутри все файлы имеют расширение .avv. Теперь можно запускать AVZ - он будет искать файлы .avv.
Для начала установим драйвер расширенного мониторинга процессов. После его установки требуется перезагрузка! В меню AVZPM - Установить драйвер расширенного мониторинга процессов. Устанавливается он один раз за всё время существования AVZ на машине. Снести его можно соседним пунктом меню. Выдержка из AVZ'овской доки про этот драйвер:

Цитата: Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов.

Мной было замечено, на некоторых машинах этот драйвер определяется как устройство при следующей перезагрузке и запрашиваются драйверы. Никаких драйверов ставить не надо.
Если просто снимать подозрительные процессы, можно заметить, что в большинстве случаев они создаются заново. Чтобы не заниматься бесполезной работой, зарежем активность всех процессов. Включаем AVZ Guard в меню - AVZGuard - Включить AVZGuard. Вот что говорит стандартная AVZ'овская дока про эту фичу:

Цитата: Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера. В момент активации все приложения делятся на две категории - доверенные и недоверенные. Исходно доверенным является только AVZ.

В общих чертах, недоверенным приложениям обрубаются все действия, которые могли бы воспрепятствовать расставанию с ними. С этого момента у вас не запускаются приложения и не закрывается AVZ. Хотите его закрыть - не забудьте выключить AVZGuard.
Итак, от фоновой активности мы избавились, теперь надо проверить автозапуск - Сервис - Менеджер Автозапуска. Внимательно просматриваем строки чёрного шрифта потому, что данный переключатель у вас включен:

Цитата: Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом.

Если найден непонятный процесс чёрного цвета - стОит проверить путь (в колонке "Файл") и точку запуска (в колонке "Описание"). У большинства процессов можно нажать кнопку на панели сверху "Заблокировать автозапуск". Отрубаем процессы таким образом. Кроме того, некоторые вирусы меняют стандартные ключи реестра на свои значения. Например, вместо запуска оболочки explorer.exe может стоять что-то иное. В этом случае при установке курсора на процесс сверху становится доступна кнопка "Восстановить значение по умолчанию". Нажав её вы вернёте ключу стандартное значение. Итак, просмотрели список, избавились от подозрительных чёрных пунктов если не удалением из списка, то деактивацией. Однако, ещё не конец - слева замечаем дерево, курсор в котором стоит на пункте "Автозапуск". Кроме него в списке ниже есть пункт WinLogon. Выбираем его и наблюдаем другой список. Тут важно не накосячить. Это дочерние процессы WinLogon, которые реагируют на определённые события. Например, на старт машины или логон пользователя. Сюда прописывается процесс klogon, принадлежащий антивирусу Касперского, который почему-то до сих пор отсутствует в базе данных и отмечен чёрным цветом. В этот список любят прописываться особо хитросделанные вирусы.
Любые процессы которые вы отключали выше я советую запоминать. Да, вот так вот после выпрыгивания из самолёта предупреждаю, что надо было надеть парашют. Так вот, если процесс стоял в автозапуске, то логично, что до сих пор он запущен. Идём в меню Сервис - Диспетчер процессов. Здесь мы видим сильно помогающее выделение цветом и обращаем пристальное внимание на процессы чёрного цвета. Когда вы ставите курсор на какой-либо процесс, в нижней части окна выводится список файлов, открытых процессом. Вредоносное ПО не всегда создаёт отдельные процессы, часто оно внедряет свои DLL в системные процессы, а в патологических случаях - во все. Посему рекомендую проверять все процессы с их содержимым. Если вы уверены, что вот этого процесса быть не должно, то на нём правый клик и "Завершить процесс". Если же в нормальном процессе обнаружен "лишний" файл, в нижней части окна на нём правый клик и "Принудительно выгрузить DLL". Кстати, в обязательном порядке выкидываем из ОЗУ те процессы, которые вы отключали в автозапуске.
Теперь у нас есть с разной долей вероятности чистое ОЗУ и можно пройтись по остальным пунктам из меню Сервис. Достаточно часто неразумные пользователи разрешают напихаться всякой гадости в расширения браузера. Выкидываем эту ватагу удальцов пунктом Сервис - Менеджер расширений IE. Просматриваем остальные пункты до "Менеджер Active Setup" включительно. Редко, но всё же иногда гадость встречается в расширениях системы печати или планировщике заданий, чуток почаще - в Downloaded Program files.
Мы вплотную подошли к запуску сканирования ОЗУ и содержимого дисков. Обращаем внимание на галку в основном окне справа вверху - "Выполнять лечение". Ставим её, отмечаем все диски, которые могут содержать вирусы. Вы не отметили флешку? Зря. Отмечаем всё, даже CD-ROM можно. Может статься, образ, который принёс Васёк Пупкин, содержит кроме полезного софта коллекцию вирусов (а такие образы, бывает, раздаются и у нас на форуме).
Заглядываем на закладку "Параметры поиска". Ставим "Эвристический анализ" на максимум, включаем "расширенный анализ", активируем блокирование работы всех руткитов. Нажимаем заветную кнопку "Пуск" и откидываемся на спинку кресла. Готовьтесь узнать о своей системе много нового.
По окончании проверки просматриваем выделенные красным строки. На Win2003 SP2 ENG я заметил такое сообщение:
Ошибка обмена с драйвером [00000002]
Без паники, это ещё не вирусы. Вот комментарий автора:

Цитата: Все нормально - так и должно быть. AVZ детектировал, что устновлен SP2 и сработала блокировка - W2K3 серверная операционка и если драйвер не тестирован в конкретной конфигурации, то он отрубается.

Ещё очень редко в списке процессов встречаются процессы красного цвета с названием "?". Этому тоже есть объяснение:

Цитата: это фича антируткита, проявляется редко ... известно, что наблюдается на ПК с установленным софтом от HP и/или Apache. Причина установлена - этот софт не закрывает некоторые свои хендлы. Результат - хендл есть, а процесса-владельца же нет, вот отсюда и реакция.

Продолжим. В большинстве случаев при проверке вирусные файлы удаляются, но иногда на них только падает подозрение (не 100%ное) и потому AVZ их оставляет. Если вы эти файлы не встречали в автозапуске, чтобы не искать, каким образом они запускаются, просто отправим их в пешее эротическое путешествие со следующей перезагрузки. В этом нам поможет пункт "Файл - Отложенное удаление файла". Вставляем в появившееся окно вместе с путём имя файла и обязательно ставим точку на "Удаление файлов и эвристическая чистка ссылок на них".

Цитата: В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Иногда можно встретить надписи типа

Код:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F9805ED5 -> Avw75.sys

Чтобы не маяться с поиском, где же находится этот файл, выбирайте пункт меню "Файл - Просмотр списка подозрительных объектов". Там будут показаны все подозрительные файлы и тут же можно выполнить со всеми ними действия вроде "Отложенное удаление файла" с предварительным копированием в карантин для истории.
При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Теперь пройдёмся ещё по драйверам и службам. Часто встречаю, что вирусы запускаются через свои установленные драйверы или службы. Чтобы избавиться от них, просматриваем списки запущённых служб и драйверов в меню "Сервис - Диспетчер служб и драйверов". Вредоносные драйверы встречаются намного чаще служб. Перед удалением обращаем внимание на путь, где находится файл. Отмечу, что sptd - драйвер от Daemon Tools, а kl1 и klif являются драйверами антивируса Касперского и удалять их нежелательно.

Напоследок осталось заглянуть в меню "Файл - Восстановление системы" и удивиться доступным процедурам. Здесь собраны основные скрипты для устранения негативных последствий от действий вирусного ПО на систему. Особо много жертв на счету этих пунктов

1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

После выполнения скриптов можно перегрузиться, а затем контрольный выстрел в тушки вирусов повторной проверкой всех точек запуска и содержимого ОЗУ и дисков.
Перезагрузку выполняем так:

Цитата: В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские процессы и т.п.

Т.е. перегружаемся не выключая AVZ. Завершаем приложение по запросу системы.

Открыт специализированный раздел
Лечение систем от вредоносных программ

[vov4ka]

Цитата: Сообщение от PLAstic Попробуй создать файл и защитить его от изменения вирусом. Не получится - содержимое переписывается на нужное вирусу. А теперь создай в коне диска C файл с именем "Windows" или папку "boot.ini". Не получится, ибо не может существовать в одном контейнере файла и папки с одинаковыми именами.

Да,но я не понимаю смысл этого,потому что папку с данным именем можно ПЕРЕИМЕНОВАТЬ и записать файл.Переименовываются папки autorun.inf созданные даже при помощи Flash_Disinfector.Смысл такой защиты?А вот программа Panda USB and AutoRun Vaccine создает хитрый autorun.inf, с которым я сделать так ничего и не смог.Почитате,кому интересно http://habrahabr.ru/blogs/infosecurity/54187/
Не лучше ли такой способ?

P.S. Интересно знать мнения др. людей что лучше(папка autorun.inf или файлик,созданный этой прогой)?

[bellic]

Цитата: Сообщение от vov4ka В чем суть данного метода?Почему именно папку,а не файл?И что именно это вообще даст?На эту папку никаких атрибутов ставить не нужно?Просто объясните вкратце суть,если мона

Суть метода буду объяснять на примере проги Flash_Disinfector
(Не поленитесь и сходите на сайт проги: http://www.spyware-ru.com/flash_disinfector/)

Прога не просто создает в корне ВСЕХ (!!!) дисков (Будь то Родные HDD компа, внешние USB-диски или Flash-накопители) защищенный каталог с именем autorun.inf!!!

1 - каталогу autorun.inf присваиваются атрибуты - Архивный, Только_Чтение, Скрытый, Системный;
2 - в каталоге создается файл с именем (!!!) lpt3.This folder was created by Flash_Disinfector и размером в НОЛЬ байт.
(обратите внимание на имя и расширение этого файла... кстати-атрибут у него только Архивный)

Так вот - Имхо именно наличие второго пункта делает исходный каталог практически не-удаляемым, а не Атрибуты самого каталога!
А раз невозможно удалить Содержимое каталога, значит и не возможно удалить и сам каталог autorun.inf.

(я пробовал ручками удалить файл lpt3.This folder was created by Flash_Disinfector - не тут то было!)

..гдет читал про эту прогу и файл - дэ.. имя выбрано не простое... а типа 3-й LPT-порт...
..и ещё что тут используется какая-то ошибка Винды..- которая оказалась полезной в данном случае..
Если интересно - терзайте Гугл...

Вот кратко действия, которые производит Flash_Disinfector (взято с Хомяка проги):
- удаляет с корня всех доступных дисков известные ей файлы троянов
- восстанавливает возможность редактирования реестра
- восстанавливает работу Восстановления системы
- удаляет из реестра автозапуск autorun.inf троянов
- создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков

ЗЫ: Возможно кому-то покажется проще выполнять эти все действия "ручками", только прога всё делает в ТРИ клика!

Цитата: Да,но я не понимаю смысл этого,потому что папку с данным именем можно ПЕРЕИМЕНОВАТЬ и записать файл.Переименовываются папки autorun.inf созданные даже при помощи Flash_Disinfector.Смысл такой защиты?

Действительно - папка autorun.inf легко переименовывается, даже с этими атрибутами. Согласен..
Но Вирусы то "желают" её Перезаписать своим файлом, а не Переименовать! А вы попробуйте её удалить!? Не выйдет! - Только Форматирование!

ЗЫ-2: Впрочем-ПАнду гляну..)))

[vov4ka]

Это я знаю,удалить папку НЕЛЬЗЯ,а ПЕРЕИМЕНОВАТЬ МОЖНО!И записать в корень флехи файл Autoun.inf!

[bellic]

Цитата: Сообщение от vov4ka Это я знаю,удалить папку НЕЛЬЗЯ,а ПЕРЕИМЕНОВАТЬ МОЖНО!И записать в корень флехи файл Autoun.inf!

Ну у меня вирусы ещё не научились её Переименовывать..

А если совместить два эти метода?
1- Применить Flash_Disinfector
2- глянуть что там творит Панда и дать каталогу autorun.inf соответствующие Атрибуты.

???

ЗЫ: Надоть написать автору Flash_Disinfector - пусть добавит в свой функционал..)))

[RTS-60]

Цитата: Сообщение от vov4ka Это я знаю,удалить папку НЕЛЬЗЯ,а ПЕРЕИМЕНОВАТЬ МОЖНО!

А если вирус форматнёт флэху и потом пропишется?
Имхо, у меня стоит Flash Guard и голова ниболит.

[vov4ka]

Это то понятно.У меня стоит FlashAutorunKiller. Но такие проги есть не на всех компах.Просто проще вообще не дать вирусу никакой возможности запуститься т.к. проще сделать прививку подобной прогой флехе,чем потом лечить последствия неграмотных действий неумелых юзеров.Логика,по-моему,есть.)

[RTS-60]

Цитата: Сообщение от vov4ka Логика,по-моему,есть

Та я против, шоле.
Щас вакцинирую флэху-попробую тоталом удалить потом.
Или Far manager.
Хех.
Файлик скрытый и фсево 16байт весит.

Добавлено через 5 минут
Фигасссе......
Ниудаляется ничем!!!!!!
Но, тотал обещал, вернее встроенный в него унлоккер, удалить при перезагрузке.
Отпишусь.

[vov4ka]

Цитата: Сообщение от bellic Ну у меня вирусы ещё не научились её Переименовывать.. А если совместить два эти метода? 1- Применить Flash_Disinfector 2- глянуть что там творит Панда и дать каталогу autorun.inf соответствующие Атрибуты. ??? ЗЫ: Надоть написать автору Flash_Disinfector - пусть добавит в свой функционал..)))

Научились уже ее переименовывать.А насчет совмещения идея хорошая)

[admina]

1 Грузимся с летучки.
2 Сканим Dr.Web Cureit
3 Паралелнь запускаем Malwarebytes Antimalware.
в большинстве случаев этого достаточно. Главное чтобы после лечения система не отъехала.

[Drake666]

приветствую всех. У меня такая проблема: при каждой загрузке винды аваст начинает кричать мол обнаружены вирусы, а именно C:\Documents and Settings\Gambit\Local Settings\Temporary Internet Files\Content.IE5\15U8MECJ\lobby_banner[1].htm и каждый раз путь, и имя файла разное (как бутобы генерирует). Пробывал *в хранилище*, *удалить*, *удалить при запуске системы*, заходил в безопасном режиме , отключал востановление системы, проганял авастом - НИЧЕГО НЕ ПОМОГАЕТ!!!
даже при переустановке винды появляется!!!
некоторые проги вообще не запускаются/ не инсталятся... что делать?! не хотелось бы и форматировать все винты Может кто-нибудь что-нибудь посоветовать?

[San8105]

у касперыча есть образы загрузочных дисков
грузишься с них и пролечиваешь свежими базами всю систему

[ahjylth]

Лаборатория Касперского представила бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.
Полный текст.

Целью действий программ-вымогателей Trojan-Ransom (так эти программы классифицируются Лабораторией Касперского) является блокирование доступа пользователя к данным на компьютере или ограничение возможностей работы на компьютере и требование выкупа за возврат к исходному состоянию системы. Отличие вредоносных программ это класса заключается в их изначальной коммерческой направленности. Каждая программа этого поведения является инструментом для получения денег пользователей киберпреступниками.

Вредоносные программы класса Trojan-Ransom бывают следующие: ограничивающие доступ к веб-сайтам, ограничивающие работу с обозревателем, блокирующие доступ к ресурсам операционной системы, ограничивающие действия пользователя в операционной системе и шифрующие файлы пользователя. И если избавиться от последствий запуска первых двух видов достаточно просто, третьего и четвертого – немного сложней, то устранение последствий работы программ-шифровальщиков не всегда возможно.

Примером программ, ограничивающим доступ к веб-сайтам, может быть вредоносная программа Trojan-Ransom.BAT.Agent.c , которая представляет собой BAT-файл размером 13 Кб. После запуска этого вредоносного ПО блокируется доступ пользователя ко многим веб-сайтам, в том числе, сайтам Лаборатории Касперского, поисковых средств Google, Яндекс, социальной сети «Одноклассники» и других (всего около 200 доменных имен). Введя адрес веб-сайта вместо ожидаемой начальной страницы, пользователь видит окно с требованием выкупа.

В результате действий программ ограничивающих работу с обозревателем в браузере создается всплывающее окно без возможности закрытия, мешающее или полностью препятствующее работе в Интернете.

Программы, блокирующие доступ к ресурсам операционной системы основаны на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.

В операционных системах семейства Windows имеется гибкий механизм политик безопасности, позволяющий системным администраторам настраивать пользовательское окружение. Используя системный реестр, можно отключить пункты системного меню, Панель Задач, изменить вид папок и т.д. Вирусописатели используют функцию системы в своих целях, создав целое семейство вредоносных программ, ограничивающих действия пользователя в операционной системе. Изменение системных настроек, таких как запрет запуска редактирования реестра, запрет запуска Диспетчера задач и т.д., уже давно используется разнообразными вредоносными программами. Как правило, после запуска такой программы на компьютере можно запустить только Интернет-браузер, чтобы можно было заплатить выкуп.

Для получения кода разблокировки вам необходимо на специальной странице сайта Лаборатории Кспарского указать номер телефона, на который вам предлагают отправить СМС и текст сообщения, которое требуют отправить на этот номер.http://support.kaspersky.ru/viruses/deblocker

[zess]

у них(как и у ДрВеба) только 1 из 300 кодов разблокировки подходит+он зависит от системной даты,

проблема кстати очень неприятного плана...Проще всего решается звонком в службу поддержки мобильного провайдера на чей номер просят отправит смс. Вам предоставят код разблокировки. комп перезагрузится и от блокировщика не останется и следа(что странно, кстати говоря). Ни следа, имею ввиду что в ветках реестра У МЕНЯ ничего не было прописано, длл-ки и бат-файлы не обнаружены...и все антивирусы молчат...вот так.

з.ы. если провайдер "А1-Агрегатор" - номер телефона : 88005550102

[twisted_tits]

зачем все эти свистопляски с autorun.inf? я всегда юзаю такой вот батник и вообще втыкаю флешку не задумываясь (explorer таким образом вообще забыват про существование автозапуска и autorun.inf)

Код:

@echo off
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files" /v "*.*" /d "" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /d "@SYS:DoesNotExist" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Cdrom" /v AutoRun /t REG_DWORD /d 0 /f

[misha57]

Диск аварийного восстановления системы: Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и скопировать важную информацию на сменные носители или другой компьютер, а также попытается вылечить зараженные объекты. http://www.freedrweb.com/livecd/
Как это работает? Вот подробная инструкция с картинками http://www.freedrweb.com/livecd/how_it_works/