Подскажите, куда послать принтер? (с)
читать дальше Эланимиэль (11:51:19 14/01/2008)
слуш, у нее нортон антивирус стоит. шо ей посоветовать делать?
vesper-bot (11:51:56 14/01/2008)
в общем он прописался в драйвера
а у нее все-таки троян? смотреть надо, если троян грузится до антивируса, то он может защищаться от обнаружения
Эланимиэль (11:52:32 14/01/2008)
ы. ты это, не шали. скажи по-человечески и так, чтобы я могла ей обьяснить шо делать)))
vesper-bot (11:53:22 14/01/2008)
о-ой... здесь надо сидеть с головой под руками...((
во-первых, нужно загрузиться в бензопасном режиме и запустить с антивируса полную проверку системы
vesper-bot (11:53:29 14/01/2008)
*безопасном
Эланимиэль (11:53:48 14/01/2008)
далььше?
vesper-bot (11:53:59 14/01/2008)
дальше, просмотреть список процессов на предмет "левых" процессов, не выходя из безопасного режима
Эланимиэль (11:54:17 14/01/2008)
джальше?)
vesper-bot (11:54:20 14/01/2008)
виндоус какой? ХР?
vesper-bot (11:54:42 14/01/2008)
там в списке процессов даже в безопасном режиме крутятся довольно много вещей
Эланимиэль (11:54:48 14/01/2008)
*Элани чешет репу и думает, как бы Оле обьяснить что такое виндоуз*
Эланимиэль (11:54:56 14/01/2008)
Хр, да
Эланимиэль (11:55:21 14/01/2008)
ну и дальше что?:
vesper-bot (11:55:23 14/01/2008)
что должно быть - CSRSS, LSASS, System, Explorer, SVCHOST
Эланимиэль (11:55:34 14/01/2008)
ыгы. все остальное удалять?)
vesper-bot (11:55:42 14/01/2008)
остальные записать на бумажку и просмотреть поиском по каждому имени
vesper-bot (11:55:52 14/01/2008)
я просто их не все помню
vesper-bot (11:56:06 14/01/2008)
там не удалять, а завершать
Эланимиэль (11:56:17 14/01/2008)
поиском? зачем?
vesper-bot (11:56:34 14/01/2008)
поиском по файловой системе, чтобы определить, из какого места запущен файл
vesper-bot (11:56:46 14/01/2008)
на файл можно жать правой кнопкой и смотреть его версию
vesper-bot (11:57:06 14/01/2008)
у всех микрософтовских файлов заполнены атрибуты "версия", "производитель" итп
vesper-bot (11:57:29 14/01/2008)
если нашелся файл без атрибутов, записать его имя
Эланимиэль (11:57:36 14/01/2008)
ыгы
vesper-bot (11:57:43 14/01/2008)
потому как не всегда это вирус
vesper-bot (11:58:03 14/01/2008)
вот... дальше идти в программу RegEdit (редактор реестра)
Эланимиэль (11:58:19 14/01/2008)
ыгы
vesper-bot (11:58:20 14/01/2008)
записывай, это серьезно... там надо очень и очень аккуратно
Эланимиэль (11:58:25 14/01/2008)
понял
vesper-bot (11:58:36 14/01/2008)
реестр, он виден как дерево
Эланимиэль (11:58:49 14/01/2008)
фотосинтезирует?
vesper-bot (11:59:19 14/01/2008)
растет, ага)) в каждой ветке что-то полезное находится, вирусы научились там же прятаться
vesper-bot (11:59:52 14/01/2008)
Идешь по следующему пути:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
vesper-bot (12:00:06 14/01/2008)
там находятся ссылки на программы, запускающиеся при старте системы
vesper-bot (12:01:04 14/01/2008)
там будет несколько значений, каждое из которых запускает какую-то программу. Там указан полный путь, и надо смотреть каждый файл, и где он находится, и что он за файл
vesper-bot (12:01:21 14/01/2008)
Если файл по написанному пути не найден, значение можно честно удалить
vesper-bot (12:01:33 14/01/2008)
Если найден, смотришь вначале, что это за программа
vesper-bot (12:01:52 14/01/2008)
там есть и антивирусы, и такие невинные вещи, как автозапускающаяся аська
vesper-bot (12:02:13 14/01/2008)
там же иногда находятся программы, проверяющие состояние принтеров итп
Эланимиэль (12:02:15 14/01/2008)
ыгы
vesper-bot (12:03:07 14/01/2008)
вот... если что-то не понравилось, изменяешь значение, добавляешь в начале "echo" и пробел, если что, туда же лезешь и убираешь добавленное
Эланимиэль (12:03:38 14/01/2008)
это все?_
vesper-bot (12:03:47 14/01/2008)
echo - это команда, ничего не делающая, если же ее выполнить из-под командной строки, она просто выведет строку после echo на экран
vesper-bot (12:03:51 14/01/2008)
нет... не всё
Эланимиэль (12:03:56 14/01/2008)
ыыы(
vesper-bot (12:04:04 14/01/2008)
ну да, а ты как думала?)))
vesper-bot (12:04:13 14/01/2008)
но подавляющее большинство вирусов так можно извести
Эланимиэль (12:04:22 14/01/2008)
да у меня персональных админом - забейся. так что я ни гугу
vesper-bot (12:05:16 14/01/2008)
дальше... такой же раздел есть в дереве HKEY_CURRENT_USER, начиная с Software, там сделать то же самое
vesper-bot (12:06:10 14/01/2008)
в дереве HKEY_LOCAL_MACHINE рядом с Run есть такой раздел - ShellServiceObjectDelayLoad
его надо изучить... но с ним намного сложнее
Эланимиэль (12:06:32 14/01/2008)
так.ю я чувствую, проще будет попросить кого нить из админов настроить ей...
vesper-bot (12:06:53 14/01/2008)
там в нормальном состоянии три или 4 параметра, с названиями SysTray, WebCheck, (название антивируса) и еще может быть что-то вроде CDBurn
vesper-bot (12:07:08 14/01/2008)
ессно будет проще, но ты попробуй сама, хотя бы первые две части
Эланимиэль (12:07:24 14/01/2008)
так я то смогу, а вот барыщня моя не знаю)))
vesper-bot (12:07:53 14/01/2008)
как их проверять, что есть что... SysTray и WebCheck не трогаешь, остальные - нужно скопировать значение и искать его в дереве HKEY_CLASSES_ROOT
vesper-bot (12:08:35 14/01/2008)
там будет совпадающий раздел, а в нем (только в этом разделе) будет параметр InProcServer32 (щас поточнее посмотрю)
vesper-bot (12:09:29 14/01/2008)
а, не параметр, а раздел, в нем в значени "по умолчанию" стоит имя файла, вот его тоже так надо проверить
vesper-bot (12:11:23 14/01/2008)
если его там нет, или у него нет версии, нужно:
1. переписать имя файла (может и вирус)
2. экспортировать верку реестра из изначального места (не где нашли, а откуда искали, т.е. HKEY_LOCAL_MACHINE\...\ShellServiceObjectDelayLoad) куда-нибудь в сторону в виде файла *.reg
3. удалить значение с подозрительным кодом из этого места.
vesper-bot (12:11:32 14/01/2008)
*ветку реестра
vesper-bot (12:12:26 14/01/2008)
если туда влезть, нейтрализуется еще больше вирусов, но не все
vesper-bot (12:12:44 14/01/2008)
ну, если правильно там определить, что это вирус))
vesper-bot (12:13:39 14/01/2008)
как завершишь лазить, перегружаешься еще раз в безопасный режим, и еще раз сканируешь, можно только папку WINDOWS, и вроде всё... потом опять перегружаешься, уже в нормальный режим
vesper-bot (12:13:50 14/01/2008)
и обновляешь антивирус))
Эланимиэль (12:14:59 14/01/2008)
всьо?)))
vesper-bot (12:15:28 14/01/2008)
да, это будет всё
Эланимиэль (12:15:35 14/01/2008)
спс
vesper-bot (12:15:47 14/01/2008)
потому как если не вытравишь, уже можно решаться на переустановку винды
Эланимиэль (12:15:55 14/01/2008)
понятно
слуш, у нее нортон антивирус стоит. шо ей посоветовать делать?
vesper-bot (11:51:56 14/01/2008)
в общем он прописался в драйвера
а у нее все-таки троян? смотреть надо, если троян грузится до антивируса, то он может защищаться от обнаружения
Эланимиэль (11:52:32 14/01/2008)
ы. ты это, не шали. скажи по-человечески и так, чтобы я могла ей обьяснить шо делать)))
vesper-bot (11:53:22 14/01/2008)
о-ой... здесь надо сидеть с головой под руками...((
во-первых, нужно загрузиться в бензопасном режиме и запустить с антивируса полную проверку системы
vesper-bot (11:53:29 14/01/2008)
*безопасном
Эланимиэль (11:53:48 14/01/2008)
далььше?
vesper-bot (11:53:59 14/01/2008)
дальше, просмотреть список процессов на предмет "левых" процессов, не выходя из безопасного режима
Эланимиэль (11:54:17 14/01/2008)
джальше?)
vesper-bot (11:54:20 14/01/2008)
виндоус какой? ХР?
vesper-bot (11:54:42 14/01/2008)
там в списке процессов даже в безопасном режиме крутятся довольно много вещей
Эланимиэль (11:54:48 14/01/2008)
*Элани чешет репу и думает, как бы Оле обьяснить что такое виндоуз*
Эланимиэль (11:54:56 14/01/2008)
Хр, да
Эланимиэль (11:55:21 14/01/2008)
ну и дальше что?:
vesper-bot (11:55:23 14/01/2008)
что должно быть - CSRSS, LSASS, System, Explorer, SVCHOST
Эланимиэль (11:55:34 14/01/2008)
ыгы. все остальное удалять?)
vesper-bot (11:55:42 14/01/2008)
остальные записать на бумажку и просмотреть поиском по каждому имени
vesper-bot (11:55:52 14/01/2008)
я просто их не все помню
vesper-bot (11:56:06 14/01/2008)
там не удалять, а завершать
Эланимиэль (11:56:17 14/01/2008)
поиском? зачем?
vesper-bot (11:56:34 14/01/2008)
поиском по файловой системе, чтобы определить, из какого места запущен файл
vesper-bot (11:56:46 14/01/2008)
на файл можно жать правой кнопкой и смотреть его версию
vesper-bot (11:57:06 14/01/2008)
у всех микрософтовских файлов заполнены атрибуты "версия", "производитель" итп
vesper-bot (11:57:29 14/01/2008)
если нашелся файл без атрибутов, записать его имя
Эланимиэль (11:57:36 14/01/2008)
ыгы
vesper-bot (11:57:43 14/01/2008)
потому как не всегда это вирус
vesper-bot (11:58:03 14/01/2008)
вот... дальше идти в программу RegEdit (редактор реестра)
Эланимиэль (11:58:19 14/01/2008)
ыгы
vesper-bot (11:58:20 14/01/2008)
записывай, это серьезно... там надо очень и очень аккуратно
Эланимиэль (11:58:25 14/01/2008)
понял
vesper-bot (11:58:36 14/01/2008)
реестр, он виден как дерево
Эланимиэль (11:58:49 14/01/2008)
фотосинтезирует?
vesper-bot (11:59:19 14/01/2008)
растет, ага)) в каждой ветке что-то полезное находится, вирусы научились там же прятаться
vesper-bot (11:59:52 14/01/2008)
Идешь по следующему пути:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
vesper-bot (12:00:06 14/01/2008)
там находятся ссылки на программы, запускающиеся при старте системы
vesper-bot (12:01:04 14/01/2008)
там будет несколько значений, каждое из которых запускает какую-то программу. Там указан полный путь, и надо смотреть каждый файл, и где он находится, и что он за файл
vesper-bot (12:01:21 14/01/2008)
Если файл по написанному пути не найден, значение можно честно удалить
vesper-bot (12:01:33 14/01/2008)
Если найден, смотришь вначале, что это за программа
vesper-bot (12:01:52 14/01/2008)
там есть и антивирусы, и такие невинные вещи, как автозапускающаяся аська
vesper-bot (12:02:13 14/01/2008)
там же иногда находятся программы, проверяющие состояние принтеров итп
Эланимиэль (12:02:15 14/01/2008)
ыгы
vesper-bot (12:03:07 14/01/2008)
вот... если что-то не понравилось, изменяешь значение, добавляешь в начале "echo" и пробел, если что, туда же лезешь и убираешь добавленное
Эланимиэль (12:03:38 14/01/2008)
это все?_
vesper-bot (12:03:47 14/01/2008)
echo - это команда, ничего не делающая, если же ее выполнить из-под командной строки, она просто выведет строку после echo на экран
vesper-bot (12:03:51 14/01/2008)
нет... не всё
Эланимиэль (12:03:56 14/01/2008)
ыыы(
vesper-bot (12:04:04 14/01/2008)
ну да, а ты как думала?)))
vesper-bot (12:04:13 14/01/2008)
но подавляющее большинство вирусов так можно извести
Эланимиэль (12:04:22 14/01/2008)
да у меня персональных админом - забейся. так что я ни гугу
vesper-bot (12:05:16 14/01/2008)
дальше... такой же раздел есть в дереве HKEY_CURRENT_USER, начиная с Software, там сделать то же самое
vesper-bot (12:06:10 14/01/2008)
в дереве HKEY_LOCAL_MACHINE рядом с Run есть такой раздел - ShellServiceObjectDelayLoad
его надо изучить... но с ним намного сложнее
Эланимиэль (12:06:32 14/01/2008)
так.ю я чувствую, проще будет попросить кого нить из админов настроить ей...
vesper-bot (12:06:53 14/01/2008)
там в нормальном состоянии три или 4 параметра, с названиями SysTray, WebCheck, (название антивируса) и еще может быть что-то вроде CDBurn
vesper-bot (12:07:08 14/01/2008)
ессно будет проще, но ты попробуй сама, хотя бы первые две части
Эланимиэль (12:07:24 14/01/2008)
так я то смогу, а вот барыщня моя не знаю)))
vesper-bot (12:07:53 14/01/2008)
как их проверять, что есть что... SysTray и WebCheck не трогаешь, остальные - нужно скопировать значение и искать его в дереве HKEY_CLASSES_ROOT
vesper-bot (12:08:35 14/01/2008)
там будет совпадающий раздел, а в нем (только в этом разделе) будет параметр InProcServer32 (щас поточнее посмотрю)
vesper-bot (12:09:29 14/01/2008)
а, не параметр, а раздел, в нем в значени "по умолчанию" стоит имя файла, вот его тоже так надо проверить
vesper-bot (12:11:23 14/01/2008)
если его там нет, или у него нет версии, нужно:
1. переписать имя файла (может и вирус)
2. экспортировать верку реестра из изначального места (не где нашли, а откуда искали, т.е. HKEY_LOCAL_MACHINE\...\ShellServiceObjectDelayLoad) куда-нибудь в сторону в виде файла *.reg
3. удалить значение с подозрительным кодом из этого места.
vesper-bot (12:11:32 14/01/2008)
*ветку реестра
vesper-bot (12:12:26 14/01/2008)
если туда влезть, нейтрализуется еще больше вирусов, но не все
vesper-bot (12:12:44 14/01/2008)
ну, если правильно там определить, что это вирус))
vesper-bot (12:13:39 14/01/2008)
как завершишь лазить, перегружаешься еще раз в безопасный режим, и еще раз сканируешь, можно только папку WINDOWS, и вроде всё... потом опять перегружаешься, уже в нормальный режим
vesper-bot (12:13:50 14/01/2008)
и обновляешь антивирус))
Эланимиэль (12:14:59 14/01/2008)
всьо?)))
vesper-bot (12:15:28 14/01/2008)
да, это будет всё
Эланимиэль (12:15:35 14/01/2008)
спс
vesper-bot (12:15:47 14/01/2008)
потому как если не вытравишь, уже можно решаться на переустановку винды
Эланимиэль (12:15:55 14/01/2008)
понятно
@музыка: в голове фонит что-то странное
@настроение: боевое
@темы: инструкция по эксплуатации, Интересности, Интернет, Работа
-
-
14.01.2008 в 16:25-
-
14.01.2008 в 17:22это просто наставления в форме, довольно непонятной для неспециалиста
то есть ты на работе с реестром остановилась? нормально)) реестр для мелкософта-то темный лес)))