Как избавиться от вирусов

[PLAstic]

Тема посвящена практическим вопросам избавления компьютера от вирусов.
В ней собираются способы, помогающие убить всяческую заразу на компьютере.

• Обсуждение антивирусов лучше вести в соответствующем разделе.
• Способы лечения конкретных вирусов обсуждаются здесь
• Для обсуждения частного случая заражения лучше создать отдельную тему.

Предисловие читать обязательно

* Всё написанное далее является imho и основывается на моём личном опыте.
* Порядок действий может варьироваться в зависимости от настроения и образа мышления.
* AVZ - не антивирус, а утилита. Она не обеспечивает защиту, а лишь устраняет последствия. И результат её работы зависит на 90% от головы и рук сидящего перед монитором.
* Настоятельно рекомендую изучить документацию по утилите и сайт поддержки. Там действительно понятно написано множество полезных вещей.
* Исправления и дополнения принимаются.

Версия от 19.11.2008. Исправления последней версии выделяются курсивом.

Подробнее

Вирусу, как и любой другой программе, надо как-то запуститься. Способов для запуска существует много. Наша задача перво-наперво (даже на уже инфицированной машине) выкинуть из памяти вирусняк, а потом добить его тушку на жёстком диске. Очень хорошая есть софтина от SysInternals, которую купила Microsoft, - Autoruns. Она показывает достаточно много точек запуска. Но! Как всегда, круче наших не бывает и специалист по защите информации из Смоленска Зайцев Олег сваял утилиту, равной которой до сих пор нет. Итак, по порядку...
Попытаемся запустить утилиту. Несмотря на кажущуюся простоту процесса на завирусованной машине могут возникнуть сложности.
1) Если вирус перехватил файловые ассоциации, то вполне может блокировать запуск файлов *.exe . Это лечится переименованием avz.exe в avz.com. Он потеряет иконку, но останется запускаемым.
2) Вследствие популярности утилиты уже появились вирусы, которые блокируют любые операции с файлами *.avz (это базы утилиты). Тут два варианта: простой требующий инета и сложный автономный.
Простой. Качаем с сайта специальную версию AVZ, которая уже содержит в себе все файлы.
Сложный. Открываем в любом 16-ричном редакторе (в моём случае это был UltraEdit) файл avz.exe и находим там строчку .avz (она там одна). Меняем ".avz", например, на ".avv". Далее на другой машине в папке Base утилиты пишем команду (Пуск-Выполнить-cmd)

Код:

dir *.avz >c:\text.cmd

В текстовом файле получаем список всех .avz файлов. Далее из каждой строки файла делаем что-то вроде

Код:

ren имя_файла.avz имя_файла.avv

, затем запускаем. Получаем папку Base, где внутри все файлы имеют расширение .avv. Теперь можно запускать AVZ - он будет искать файлы .avv.
Для начала установим драйвер расширенного мониторинга процессов. После его установки требуется перезагрузка! В меню AVZPM - Установить драйвер расширенного мониторинга процессов. Устанавливается он один раз за всё время существования AVZ на машине. Снести его можно соседним пунктом меню. Выдержка из AVZ'овской доки про этот драйвер:

Цитата: Технология AVZPM основана на KernelMode Boot драйвере, который осуществляет слежение за запуском процессов и загрузкой драйверов.

Мной было замечено, на некоторых машинах этот драйвер определяется как устройство при следующей перезагрузке и запрашиваются драйверы. Никаких драйверов ставить не надо.
Если просто снимать подозрительные процессы, можно заметить, что в большинстве случаев они создаются заново. Чтобы не заниматься бесполезной работой, зарежем активность всех процессов. Включаем AVZ Guard в меню - AVZGuard - Включить AVZGuard. Вот что говорит стандартная AVZ'овская дока про эту фичу:

Цитата: Технология AVZGuard основана на KernelMode драйвере, который разграничивает доступ запущенных приложений к системе. Драйвер может функционировать в системах, основанных на платформе NT (начиная с NT 4.0 и заканчивая Vista Beta 1). Основное назначение - борьба с трудноудалимыми вредоносными программами, которые активно противодействуют процессу лечение компьютера. В момент активации все приложения делятся на две категории - доверенные и недоверенные. Исходно доверенным является только AVZ.

В общих чертах, недоверенным приложениям обрубаются все действия, которые могли бы воспрепятствовать расставанию с ними. С этого момента у вас не запускаются приложения и не закрывается AVZ. Хотите его закрыть - не забудьте выключить AVZGuard.
Итак, от фоновой активности мы избавились, теперь надо проверить автозапуск - Сервис - Менеджер Автозапуска. Внимательно просматриваем строки чёрного шрифта потому, что данный переключатель у вас включен:

Цитата: Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом.

Если найден непонятный процесс чёрного цвета - стОит проверить путь (в колонке "Файл") и точку запуска (в колонке "Описание"). У большинства процессов можно нажать кнопку на панели сверху "Заблокировать автозапуск". Отрубаем процессы таким образом. Кроме того, некоторые вирусы меняют стандартные ключи реестра на свои значения. Например, вместо запуска оболочки explorer.exe может стоять что-то иное. В этом случае при установке курсора на процесс сверху становится доступна кнопка "Восстановить значение по умолчанию". Нажав её вы вернёте ключу стандартное значение. Итак, просмотрели список, избавились от подозрительных чёрных пунктов если не удалением из списка, то деактивацией. Однако, ещё не конец - слева замечаем дерево, курсор в котором стоит на пункте "Автозапуск". Кроме него в списке ниже есть пункт WinLogon. Выбираем его и наблюдаем другой список. Тут важно не накосячить. Это дочерние процессы WinLogon, которые реагируют на определённые события. Например, на старт машины или логон пользователя. Сюда прописывается процесс klogon, принадлежащий антивирусу Касперского, который почему-то до сих пор отсутствует в базе данных и отмечен чёрным цветом. В этот список любят прописываться особо хитросделанные вирусы.
Любые процессы которые вы отключали выше я советую запоминать. Да, вот так вот после выпрыгивания из самолёта предупреждаю, что надо было надеть парашют. Так вот, если процесс стоял в автозапуске, то логично, что до сих пор он запущен. Идём в меню Сервис - Диспетчер процессов. Здесь мы видим сильно помогающее выделение цветом и обращаем пристальное внимание на процессы чёрного цвета. Когда вы ставите курсор на какой-либо процесс, в нижней части окна выводится список файлов, открытых процессом. Вредоносное ПО не всегда создаёт отдельные процессы, часто оно внедряет свои DLL в системные процессы, а в патологических случаях - во все. Посему рекомендую проверять все процессы с их содержимым. Если вы уверены, что вот этого процесса быть не должно, то на нём правый клик и "Завершить процесс". Если же в нормальном процессе обнаружен "лишний" файл, в нижней части окна на нём правый клик и "Принудительно выгрузить DLL". Кстати, в обязательном порядке выкидываем из ОЗУ те процессы, которые вы отключали в автозапуске.
Теперь у нас есть с разной долей вероятности чистое ОЗУ и можно пройтись по остальным пунктам из меню Сервис. Достаточно часто неразумные пользователи разрешают напихаться всякой гадости в расширения браузера. Выкидываем эту ватагу удальцов пунктом Сервис - Менеджер расширений IE. Просматриваем остальные пункты до "Менеджер Active Setup" включительно. Редко, но всё же иногда гадость встречается в расширениях системы печати или планировщике заданий, чуток почаще - в Downloaded Program files.
Мы вплотную подошли к запуску сканирования ОЗУ и содержимого дисков. Обращаем внимание на галку в основном окне справа вверху - "Выполнять лечение". Ставим её, отмечаем все диски, которые могут содержать вирусы. Вы не отметили флешку? Зря. Отмечаем всё, даже CD-ROM можно. Может статься, образ, который принёс Васёк Пупкин, содержит кроме полезного софта коллекцию вирусов (а такие образы, бывает, раздаются и у нас на форуме).
Заглядываем на закладку "Параметры поиска". Ставим "Эвристический анализ" на максимум, включаем "расширенный анализ", активируем блокирование работы всех руткитов. Нажимаем заветную кнопку "Пуск" и откидываемся на спинку кресла. Готовьтесь узнать о своей системе много нового.
По окончании проверки просматриваем выделенные красным строки. На Win2003 SP2 ENG я заметил такое сообщение:
Ошибка обмена с драйвером [00000002]
Без паники, это ещё не вирусы. Вот комментарий автора:

Цитата: Все нормально - так и должно быть. AVZ детектировал, что устновлен SP2 и сработала блокировка - W2K3 серверная операционка и если драйвер не тестирован в конкретной конфигурации, то он отрубается.

Ещё очень редко в списке процессов встречаются процессы красного цвета с названием "?". Этому тоже есть объяснение:

Цитата: это фича антируткита, проявляется редко ... известно, что наблюдается на ПК с установленным софтом от HP и/или Apache. Причина установлена - этот софт не закрывает некоторые свои хендлы. Результат - хендл есть, а процесса-владельца же нет, вот отсюда и реакция.

Продолжим. В большинстве случаев при проверке вирусные файлы удаляются, но иногда на них только падает подозрение (не 100%ное) и потому AVZ их оставляет. Если вы эти файлы не встречали в автозапуске, чтобы не искать, каким образом они запускаются, просто отправим их в пешее эротическое путешествие со следующей перезагрузки. В этом нам поможет пункт "Файл - Отложенное удаление файла". Вставляем в появившееся окно вместе с путём имя файла и обязательно ставим точку на "Удаление файлов и эвристическая чистка ссылок на них".

Цитата: В этом режиме кроме удаления файла производится автоматическая зачистка автозапуска и ряда ключей реестра, в которых мог быть зарегистрирован удаляемый файл (Winlogon, регистрация CLSID, расширения Internet Explorer и проводника и т.п.). Подобная очистка производится автоматически и делает удаление более корректным.

Иногда можно встретить надписи типа

Код:

1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = F9805ED5 -> Avw75.sys

Чтобы не маяться с поиском, где же находится этот файл, выбирайте пункт меню "Файл - Просмотр списка подозрительных объектов". Там будут показаны все подозрительные файлы и тут же можно выполнить со всеми ними действия вроде "Отложенное удаление файла" с предварительным копированием в карантин для истории.
При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Теперь пройдёмся ещё по драйверам и службам. Часто встречаю, что вирусы запускаются через свои установленные драйверы или службы. Чтобы избавиться от них, просматриваем списки запущённых служб и драйверов в меню "Сервис - Диспетчер служб и драйверов". Вредоносные драйверы встречаются намного чаще служб. Перед удалением обращаем внимание на путь, где находится файл. Отмечу, что sptd - драйвер от Daemon Tools, а kl1 и klif являются драйверами антивируса Касперского и удалять их нежелательно.

Напоследок осталось заглянуть в меню "Файл - Восстановление системы" и удивиться доступным процедурам. Здесь собраны основные скрипты для устранения негативных последствий от действий вирусного ПО на систему. Особо много жертв на счету этих пунктов

1.Восстановление параметров запуска .exe, .com, .pif файлов
Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

3.Восстановление стартовой страницы Internet Explorer
Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

4.Сброс настроек поиска Internet Explorer на стандартные
Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

5.Восстановление настроек рабочего стола
Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesktop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

6.Удаление всех Policies (ограничений) текущего пользователя
Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

8.Восстановление настроек проводника
Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

9.Удаление отладчиков системных процессов
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

10.Восстановление настроек загрузки в SafeMode
Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

11.Разблокировка диспетчера задач
Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

13. Очистка файла Hosts
Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки "127.0.0.1 localhost".

16. Восстановление ключа запуска Explorer
Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

17. Разблокировка редактора реестра
Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

После выполнения скриптов можно перегрузиться, а затем контрольный выстрел в тушки вирусов повторной проверкой всех точек запуска и содержимого ОЗУ и дисков.
Перезагрузку выполняем так:

Цитата: В случае, если проводилось лечение системы, необходимо перезагрузиться не выключая AVZGuard. Это важный момент, связанный с тем, что в системе после лечения могут быть загружены вредоносные DLL, будут продолжать работу троянские процессы и т.п.

Т.е. перегружаемся не выключая AVZ. Завершаем приложение по запросу системы.

Открыт специализированный раздел
Лечение систем от вредоносных программ

[Bacek1976]

Я стараюсь лечить на "Чистом" компьютере сняв с зараженного жесткий диск. Результат успешный!

[ffirefox]

Цитата: Сообщение от Bacek1976 Я стараюсь лечить на "Чистом" компьютере сняв с зараженного жесткий диск. Результат успешный!

А в чём сакральный смысл лишнего дёрганья железа? Есть же куча сборок с LiveCD XP. Да и сейчас почти у всех производителей антивирусов есть возможность скачать сканер на загрузочном CD.

[PLAstic]

Цитата: Сообщение от ffirefox А в чём сакральный смысл лишнего дёрганья железа?

Дело в том, что не все йогурты одинаково полезны. И я пока не встречал live CD с каспером 2009 с последними базами (которые можно обновить). А машинки приносят всякие - и с дрвебом, и с нодом.

[kramolny]

Цитата: Сообщение от PLAstic При диагностике памяти встречаются сообщения, что операция работы с жёстким диском (точный текст сообщения я постараюсь найти), а точнее, NTFS или FastFat перехвачены. На текущий момент мне неизвестны способы лечения этой заразы из заражённой системы, т.к. это драйверы ядра и убить их из рабочей системы никак не получается. Остаётся грузиться с liveCD и убивать указанный файл ручками. Убиваются они без последствий.

Для борьбы с драйверами вредосного ПО можно использовать утилиту RootkitUnhooker. В ней есть функция позволяющая затирать содержимое файла на диске нулями. После перезагрузки системы такой драйвер будет не работоспособен

[zass]

Использую LiveCD XP на базе BartPE с интегрированными антивирусниками NOD32, DrWEB. На мой взгляд LiveCD - это лучший вариант для борьбы с вирусами и устранения различных проблем.

[ffirefox]

Цитата: Сообщение от PLAstic Дело в том, что не все йогурты одинаково полезны. И я пока не встречал live CD с каспером 2009 с последними базами (которые можно обновить). А машинки приносят всякие - и с дрвебом, и с нодом.

Дык, болезни не йогуртами лечат, а специальными лекарствами.
Зачем именно 2009 для лечения?
У того же касперского есть AVPtools - _специальная_ утилита для лечения и всегда с актуальными базами. Запускается почти под любым LiveCD. (Кстати у касперского есть и Rescue Disk - тот же LiveCD (на Linux) + лекарь с актуальными базами)
Аналогично у Dr.Web, Avira, Avast, AVG, ну и не забвенная AVZ (c z-oleg.com). По-моему, и у HOD32 есть что-то (не использую).

У меня утилиты на флэшке лежат. Загружаюсь c LiveCD и запускаю прямо с флэшки. Так что, для особо привередливых пользователей, по их просьбе, могу пройтись утилитой от их любимого антивирусника, а то и всеми сразу (если есть чем время скоротать)

Ссылки (по просьбе вышестоящих органов ;) )

1. Dr.Web
   • Официальный сайт
   • Бесплатная утилита CureIt! для лечения с актуальными базами. Cкачать
   • Linux LiveCD с актуальными базами. Cкачать
2. KAV
   • Официальный сайт
   • Бесплатная утилита AVPTool для лечения с актуальными базами. Cкачать
   • Linux LiveCD (Разработка в стадии beta. Базы надо обновлять). Cкачать
3. Avira
   • Официальный сайт
   • Бесплатная утилита AntiVir Removal Tool для лечения с актуальными базами. Cкачать
   • Avira AntiVir Rescue System LiveCD с актуальными базами. Cкачать
   • Очень не плохие дополнительные бесплатные утилиты: antirootkit, Bootsektor-Repairtool, RegistryCleaner
4. Avast
   • Официальный сайт
   • Бесплатная утилита для лечения только некоторых вирусов Cкачать
   • Загрузочный avast! BART CD. К сожалению, очень заморочный и демо. Но, к счастью, можно на 14 дней получить лицензию Cкачать

[Dead_Soul]

А вот это вы пробывали http://www.free-av.de/en/download/3/...oval_tool.html ? Мно во многих случаях помогало, иногда ловит даже то, что CureIt! не поймал.

[Max_Boy]

SmitFraudFix 2.378

Программный продукт, предназначенный для обнаружения и удаления «вредителей», например, изменяющих рисунок рабочего стола без ведома пользователя (Desktop Hijack). Приложением успешно идентифицируются и устраняются следующие «угонщики»: Smitfraud, Win32.puper, AVGold, Security iGuard, Spyware Vanisher, quicknavigate.com, updateSearches.com, startsearches.net, Virtual Maid и др.

Уничтожает следы таких "гадостей" как:
Advanced Antivirus, AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyCheck, AntiSpyware Expert, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirGear, Antivirus 2009, Antivirus 2010, AntiVirus Lab 2009, Antivirus Master, Antivirus Sentry, Antivirus XP 2008, AntivirusGolden, AVGold, Awola, BraveSentry, IE Defender, Internet Antivirus, MalwareCrush, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, Micro Antivirus 2009, MS Antivirus, PC Protection Center 2008, Personal Defender 2009, PestCapture, PestTrap, Power Antivirus, Power-Antivirus-2009, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smart Antivirus 2009, Smitfraud, Spy Protector, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Guard 2008, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareRemover, SpywareSheriff, SpywareStrike, Startsearches.net, System Antivirus 2008, TheSpyBot, TitanShield Antispyware, Total Secure 2009, Trust Cleaner, Ultimate Antivirus 2008, UpdateSearches.com, Virtual Maid, Virus Heat, Virus Protect, Virus Protect Pro, VirusBlast, VirusBurst, VirusRay, Virus Remover 2008, VirusResponse Lab 2009, VirusTrigger, Win32.puper, WinHound, Vista Antivirus 2008, WinDefender 2009, XLG Security Center, XP Security Center, XPert Antivirus, Brain Codec, ChristmasPorn, DirectAccess, DirectVideo, EliteCodec, eMedia Codec, EZVideo, FreeVideo, Gold Codec, HQ Codec, iCodecPack, IECodec, iMediaCodec, Image ActiveX Object, Image Add-on, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LookForPorn, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, NetProject, Online Image Add-on, Online Video Add-on, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, Pornovid, PrivateVideo, QualityCodec, Silver Codec, SearchPorn, SexVid, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, Video Add-on, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec...

Search:
• Double-click SmitfraudFix.exe
• Select 1 and hit Enter to create a report of the infected files. The report can be found at the root of the system drive, usually at C:\rapport.txt

Clean:
• Reboot your computer in Safe Mode (before the Windows icon appears, tap the F8 key continually)
• Double-click SmitfraudFix.exe
• Select 2 and hit Enter to delete infect files.
• You will be prompted: Do you want to clean the registry ? answer Y (yes) and hit Enter in order to remove the Desktop background and clean registry keys associated with the infection.
• The tool will now check if wininet.dll is infected. You may be prompted to replace the infected file (if found): Replace infected file ? answer Y (yes) and hit Enter to restore a clean file.
• A reboot may be needed to finish the cleaning process. The report can be found at the root of the system drive, usually at C:\rapport.txt

Optional:
• To restore Trusted and Restricted site zone, select 3 and hit Enter.
• You will be prompted: Restore Trusted Zone ? answer Y (yes) and hit Enter to delete trusted zone.

http://rapidshare.com/files/171098135/SmitfraudFix.exe
http://depositfiles.com/files/5jdy417ou

[ofry]

Кстати, по умолчанию базы Касперского обновляются раз в 3 часа.

Цитата: Фаервол Очень часто пользователи говорят "антивирус Х гамно, т.к. он не увидел двух троянов, а антивирус Y их нашел". Утверждение крайне недалекое, т.к. троян обычно не несет деструктивных функций, его задача предоставить удаленный доступ. Антивирусы часто не обнаруживают трояны, т.к. это не входит в их задачи.

Вообще-то входит Сигнатуры троянов тоже должен уметь обнаруживать + корректно удалять (чтобы система не сдохла, а троян сдох)

Добавлено через 3 минуты

Цитата: Сообщение от kramolny Для борьбы с драйверами вредосного ПО можно использовать утилиту RootkitUnhooker. В ней есть функция позволяющая затирать содержимое файла на диске нулями. После перезагрузки системы такой драйвер будет не работоспособен

Я лично, если приходится чистить "гадкий защищенный драйвер" или "пропатченный системный файл", делаю:

1) копирую файл (если это не "чистый вирус).
2) лечу копию.
3) гружусь из-под параллельно поставленного линукса.
4) удаляю исходный файл, копию ставлю на место исходного файла(обычно исходный файл в "корзину" линукса)
Моя "убунта" НТФС отлично понимает

[диманыыч]

Думаю, что данный пост будет полезен кому-то.
Дело в том, что на днях обнаружился вирус в файле StashIMAPI.bin в папке C:\WINDOWS\Temp\, причём файл был очень большого размера, порядка 500 Мб.
Искал в нете, но ничего похожего на объяснение нужности файла StashIMAPI.bin не нашёл. С горем пополам удалил данный файл, но вопро так и остался.
Долгие поиски привели к

Цитата: Сообщение от Архив рассылок - OSzone.net Вопрос 10242: В реестре есть ключ, указывает на несуществующий файл, после чистки сново восстанавливается, как его удалить или его нельзя удалять?HKEY_LOCAL_MACHINE\Software\Microsoft\IMAP I\StashInfoStashPath-C:\WINDOWS\Temp\StashIMAPI.bin Отвечает Marat : Проверь на вирусы... Отвечает stahh : Похоже этот ключ указывает путь, с которого был установлен(или распакован)StashIMAPI. Не знаю, чо эт такое(чота дисковое), но оно работает, и восстанавливает ключ.А если прога удалена, а ключ все-равно восстанавливается, то игнорируется из-за расширения .bin. Отвечает Ivachenkov : отключи службу IMAPI а потом удаляй, только вот че будет потом не скажу Отвечает Бородин Дмитрий Анатольевич : Помоему даже очень можно посмотри в настройках учетные полититики безопасности или что-то в этом роде, в общем в настройках/ администрирование. Отвечает Steeply : А вам он так сильно мещает ? Странно как вы вобще его нашли ? Если он не трогает вас и систему, оставте его в покое, при след переустановке он исчезнет. НУ а если вы настойчивый человек и решили добиться своей цели даже ценой выхода из строя ОС, то пожалуста, в реестре есть такой параметр, как распределения файлов по дериктороям (др. словами какая папка где должна находиться и чему соответствовать). Измените путь к этой папки, или вобще снесите снесите строку которая отвечает за этот путь. P.s. если вы снесете в этой строке, хоть 1 лишней символ, вероятность того что система будет стабольно работать равно 60%. (Так как, все пути переплитаються между собой, это как перекресток на дороге, Закройте одну веть движения, и будет пробка на остальных.) Кстате, и счего вы взяли что фаил не существете ? Он может просто быть скрытым. Тем более расширение .Bin Резервный фаил или фаил установки чего либо. (не помню точно) Или зделаетй так что бы снести фаил: Создайте блокнот в котором напишите следущие, затем переименуйте в тра ля ля.reg [-HKEY_LOCAL_MACHINE\Software\ QuickSoft\QuickStart] Благодаря этой записи, подраздел "QuickStart" из раздела "QuickSoft" будет удален со всем содержимым. Для удаления отдельных параметров используйте следующий синтаксис: REGEDIT4 [HKEY_CURRENT_USER\Software] "xxx"=- Отвечает Zaitsev Vitaly : Проверь комп антивирем и антишпионом! Возможно, кто-то из них его и восстанавливает.

Действительно ключ не удаляется и мало того, файл может достигать размера 800 Мб.
Вирусов на компьютере не обнаружил. Больше файл не появлялся.
Решил вспомнить и воспроизвести ситуацию с появлением вируса.
Оказывается я пытался с помощью виндосовского приложения записать кучу папок с программами и естественно кейгенами на CD. В одном из кейгенов вирус.
Так вот, винда в момент начала записи на CD, создаёт в C:\WINDOWS\Temp\ файл StashIMAPI.bin, который является как бы образом будущего диска. Вот в нём-то и обнаруживался вирус.

Суть данной темки такова, если Вам когда-то придётся обнаружить в C:\WINDOWS\Temp\ файл StashIMAPI.bin огромного размера, не пугайтесь(даже если там вирус!), это образ CD и винда скоро сама его удалит.
А ключ HKEY_LOCAL_MACHINE\Software\Microsoft\IMAPI если Вы и удалите, то винда его восстановит потому, что он ей нужен. Она берёт из него информацию где и каким размером должен быть образ записываемого диска.


Просьба к модераторам, если создал тему не в том месте, перенесите пост. Не удаляйте, т.к. считаю что информация нужная и в нете описания практически нет.

[dirrer]

Спасибо за статью.
Убиванием вирей занимаюсь таким образом:
1. Захожу по F8 в safe mode
2. Удаляю в профиле пользователя посредством shift+del папки Temp и Temprary Internet Files (туда зараза иногда копируется)
3. Прогоняю 2-мя антивирусами (в моем случае Cureit и каспер)
Конечно не панацея, но мне помогает (3 раза тьфу и 3 раза по дереву) )

[summeroff]

много мнений и высказываний прочитал...
как вывод - 89% ламерский бред!!!
более 10 лет гоняю всякую заразу и могу сказать что 99 из 100 гнилых виндовых систем можно вернуть в строй имея в арсенале голову, HirensBootCD, FAR и пару качественных антивирей на нем же!!!

***\m/***
кис - гавно!

[Max_Boy]

Т.е. ты хочешь сказать, что 89% пользователей нашего форума - ЛАМЕРЫ?! Дядь, а не много ты на себя берешь? Что ты тогда тут делаешь?!

[Nickoss]

В ряде случаев вирусы путем переключения флажков в реестре запрещают доступ к некоторым функциям ОС. Вроде запуска мsconfig и regedit, ограничивают права на установку антивирусных прог, скрывают некоторые пункты меню, подменяют файловые ассоциации и т.д. После излечения от вирусов все эти ограничения/запрещения часто остаются. Частично эти вопросы решает AVZ, но лишь частично. Для возвращения Винде первоначального вида могут быть также полезны:
Ashampoo PowerUp XP Platinum
Fresh UI
Tweak-XP Pro
Wintuneup Utilities

Может кто подскажет прогу более компактную, не требующую длительной инсталляции и лекарств для оперативного управления флагами реестра, ограничивающих доступ или мешающим нормальной работе.


summeroff,
Держать антивирусные проги на загрузочном диске не всегда гуд, поскольку они быстро устаревают, их нужно обновлять и заново компоновать образ диска.
Не нужно быть гуру, чтобы излечить комп от вирусов. Главная цель пользователей этого форума сделать это в максимально короткие сроки и без потерь.

[black slayer]

summeroff,
Бред несешь ты . На место кис можно поставить любой без исключений антивирь.
С лив сиди не все вири можно удалять. Некоторые собираются из безопасных компонентов только при загрузке системы ( напр. тот же kido на ранних стадиях заражения) компоненты проверяются без проблем.
По делу - нет абсолютно надежных антивирусов. Есть вири тот же пинч не палимый никем ( версия из инета за 10 баков спец для тебя )
1. Проводить проверку несколькими антивирями. ( например один держать основным "псом", остальные отключены, но обновляются. У меня например их три - аваст семантек и каспер ( делаю на нем свежие ливсд)
2. Изоляция от сети проверка с лив сд и тп со свежими базами.
3. Использование механизма регистрации изменений - есть во многих антивирях нод, каспер и тд.
4. Если заражение обширно, необратимо, требует многочисленных телодвижений с реестром - проще и быстрее - спасти пролечить нужную инфу - отформатировать переставить винду.
5. Не забывать ставить нужные патчи на систему.