[sergey_dsv]

возможно поможет эта программка

[Severny]

1. Запустить проводник, включить показ скрытых и системных файлов: Сервис - Свойства папки - снять галку "Скрывать защищенные системные файлы" и отметить "Показывать скрытые файлы и папки".

2. Просмотреть корневые каталоги всех разделов на жестких дисках и всех имеющихся съемных дисков (вплоть до фотоаппаратов и мп3-плееров), а также папку Windows\System32 и удалить там все файлы с именем autorun и любым расширением. Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.

3. Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи:

а) Раскрыть ключ
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon
и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более.


б) Удалить целиком ключ
HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Последний пункт повторить для всех пользователей системы, затем перезагрузиться.

[Greyman]

Борьба с троянами, шпионскими и рекламными модулями
...включая приведенные линки...

[VladimirB]

Analysis
Once executed, this Trojan copies itself to the Windows system folder with the same file name.

It adds the following registry key in order to insure an automatic execution at every Windows startup:

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"(FileName)" = "(FileName).exe"
where FileName varies in different variants, it is the same for both registry key and the actual file name without extension.

It periodically connects to a specific URL, attempting to download a file through HTTP.

It can perform various information stealing and backdoor activities, which may include any of the following:

Download and execute file
Enumerate and terminate process
Gather and send various system information
Delete files
Modify registry keys

Описание с сайта aladdin.ru

[NGL_86]

Народ мож кто сможет мне обьяснить как они работают-ну насчет copy.exe & host.exe. а также почему при двойном нажатии на локальный ресурс он ссылается на copy.exe. типа без него не могу открыть. хочу понять.

[igorgn]

NGL_86
По-моему, Severny всё правильно объяснил. Это - автозапуск. Вот он и даёт ссылку на запуск какого-нибудь файла. В вашем случае "copy.exe". Можно удаление авторанов провести и в Тотал коммандере, включив показ скрытых файлов. Я обычно с помощью него убиваю. А с помощью бесплатного сканера убиваю источники образования ранов: http://poleznosti.ru/soft/file_catal...20060419101532
Кстати, источник неплохо сидит в корзине и в файлах восстановления Винды, и с успехом восстанавливается.

Можно и другим способом сделать. Сперва поубивать автораны, после загрузиться с загрузочного диска и поубивать на всех дисках корзины и System Volume Information. После загрузки Винда их снова создаст, но без гадостей.

[NGL_86]

Цитата:

поубивать на всех дисках корзины и System Volume Information

Вот туда-то он меня и не пускает, говорит типа Используется Программой или у вас нет доступа и че эт я не знаю ,



а к стати я его вылечил, но на каждом компе по разному, где-то нуно просто реестр почистить:
1. просканил Symantec`ом-в принципе без полезно, все рано остается-он их не блокирует а просто кидает инфицированный файл в карантин и усе, виряк запускается с другого файла
2. удалил на всех дисках автозапуски, также copy.exe, host.exe и проделал вот так

Цитата:

Запустить редактор реестра (Пуск - Выполнить - regedit.exe) и сделать две вещи: а) Раскрыть ключ HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/Current Version/Winlogon и проверить значение параметра Userinit. В нем должно быть C:\WINDOWS\system32\userinit.exe, и ничего более. б) Удалить целиком ключ HKEY_CURRENT_USER/Software/Microsoft/Windows/Current Version/Explorer/MountPoints2.

Цитата:

Важно: открывать указанные места исключительно щелчком в левой части окна проводника, в дереве каталогов, а не двойным по иконке диска, ибо в последнем случае, открывая зараженный диск, опять заражаете комп.

3. Скачал сканер NOD32 и просканил систему-после него на 100% ниче не осталось.

ну эт у мня на каждой машине нуно было тот или иной пункт выполнить, а на некторых и вооще все. Вот так