ТАРАКАНОВОДСТВО

[по большей части себе на заметку]

Началось всё с того что я открыл exe’шник весьма миролюбивого вида.  Оказалось всё как нельзя кстати, он был вредоносным. Понасоздавал файлы с названием  regsvr.exe разместив их в C:\WINDOWS и C:\WINDOWS\system32. Причём NOD32 не видит всё это. Пришлось всё убирать ручками…

Для начала комп был запушен в безопасном режиме, ибо нех… Не удаляются эти файлики простым Shift+Del. Кстати в компьютер была воткнута флешка которая моментально и заразилась (обычно флеш носители и являются переносчиками этой заразы). Ну так вот, были удалены все файлы, как и с флешки. Можно было радоваться, что компьютер снова чистый и аккуратный. Но не очень приятная табличка выскакивающая при загрузке, немного омрачило и без того трудное состояние.

Винда всем видом обращается к пользователю, что хочет видеть присутствие regsvr.exe, который уже давно прибывает в нулевом состояние. Так как в папке автозагрузка ничего нет, значит что-то прописанное в реестре на автозагрузку этого файла.

Попытки зайти в реестр через C:\WINDOWS\regedit.exe ничем хорошим не увенчались. Был закрыт доступ к регистру вот такой забавной надписью: «Редактирование реестра запрещено администратором системы».

Дело в том, что вирусы «прописываются» в Реестре Windows, при этом в разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableRegistryTools со значением 1. А чтобы их (вирусы) нельзя было выкорчевать из системы, они и делают невозможным запуск Редактора реестра Windows.

Чтобы вновь сделать его доступным, нажал Пуск –> Выполнить… –> в поле Открыть: ввёл gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра (Состояние по умолчанию – Не задана) вызвал окно Свойства: Сделать недоступными средства редактирования реестра –> установлен переключатель Включен –> поставил Отключен –> Применить –>OK.

Закрыл окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК свернул все открытые окна (это можно сделать щелкнув кнопку «Свернуть все окна» на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом «Windows+D»), нажал клавишу F5 (ну ещё можно щелкнуть правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню «Обновить»).

И слава всем компьютерным богам реестр заработал. Где и были удалены все строчки с текстом нашего трояна «regsvr.exe«. После чего злосчастная табличка уже не появлялась.

зы вот интерсный линк, про этого трояна.