Читайте полезные размышления.....

Прислал Анатолий.

Парочка комментариев (опубликованное в рассылке я взял в кавычки).
"potman: Предлагаю время от времени в рассылке давать ссылки на часто повторяемые вопросы. Например, работа с CD/DVD дисками: рассылки #XXX....YYY; восстановление системы: рассылки# AAA...BBB или "смотри Здесь\Там". Найти ответ на свой вопрос, перебирая весь архив, совсем непросто. Несмотря на океан литературы по восстановлению системы, для многих блондинок любого пола и возраста, вопрос все также актуален."

А как себе potman это представляет? Пишущие в рассылку предоставляют минимум данных - чаще всего не указанна ни версия ОС, ни набор железа. Я уж молчу о том, чтобы описать что делалось и как протекало заболевание ОС. Большинство вопросов решается простым копированием вопроса в поисковик и занесении результатов поиска в ответ. Большинство проблем - это просто страх. Когда показываешь как сделать, пользователь в твоём присутствии боится повторить. А вы предлагаете создать инструкцию, которую со 100%+ результатом можно опубликовать для тех, кто боится что-то сделать.

Нет, хорошо, давайте я опишу вчерашнюю починку ноутбука.
Принесли ноутбук. ОС WinXP SP2 Eng загружается, однако работают только те проги, которые были усыновлены, да и то – кое как. Продолжалось давно. Основная проблема – это невозможность подключить беспроводной модем и заполнять удалённо электронную документацию. Ноут был загажен вирями как гнилой свисток после наводнения илом. При попытке запустить Cure IT! – он обваливался, так как распаковывался, в папку temp, а тем файлам уже никто разрешения не давал. Чтобы запустить что-то приходилось запускать cmd.exe (чтобы её запустить, указал её же) иначе мне предлагали открыть всё каким-то редактором для фото (вирус так потёр).
Потом из командной строки указывал путь к программе Autoruns и Process Exploer от Марка Руссинеовича. Так фирь не нашёл, но хоть мусор подчистил... На ноуте стоял антивирус Trend Micro – rf коптом оказалась большая часть его файлов была инфицирована. Но я не знал – а просто чистил от любых файлов кроме ОС – удалял из загрузки всё, кроме файлов ОС. Все файлы ОС на месте, всё грузиться, но ничего не запускается. Точек отката 2 штуки, да и толку от них никакого.
Запустил через cmd.exe утилиту AVZ – просканировал в режиме загруженного драйвера от этой утилиты + защита его (Guard). Все файлы, которые были отмечены, как подозрительные, как битые архивы – все удалил, все сомнительные файлы Java – все зачистил. Часть вирусов была в Файлы были вычищены. Часть вирусов сидела в System Volume Information в точках отката. Часть в RECYCLER на диске С (при этом файлы были невидимы даже при опции – показывать скрытые файлы принудительно). Выбрал в AVZ меню Файл – Восстановление системы – все пункты, кроме 8 и запустил. Перезагрузился, выгрузил защиту и дрова AVZ – поставил Smart Nod Security 4 и всё прогнал с максимальными эвристиками, везде ловля потенциально опасных файлов, все файлы подряд сканировать. Всё. Работа сделана.

Надо было переставить Java, поставить Office (просили для работы), поставить туда браузер альтернативный, Shockwave Player, Flash Player (IE и не IE свежие версии), Foxit вместо Adobe чтобы вири не лезли, Silverlight.3.0. .Net Фрайемвок 3.5 SP1 (231Мб) ну и там ОС настроить. SP3 думал поставить. Поскольку было часа 2 ночи я взял файл Office 2003 года, который моя половина тоскала на флешке. Мне в темноте не хотелось будить её, а ноут был подключён через сетевую секцию APC Black-UPS ES 550. Всё остальное было свежевыкаченное. И на каком-то моменте я вдруг оказываюсь почти в той же ситуации, что и до вируса. Я к файлу отката – а всё из Панели управления вообще не запускается. Путём недолгих битьёв головой о крышку монитора выяснилось, что запустить всё же можно, но только через run as. Я тогда не знал, что виноват дистр Office – я потом проверил, мой был без вируса, а на флешке вирус интегрировался всюду, где видел файл setup. Да много файлов полегло...

Я кинулся к Nod – от что-то находил, но вирь чувствуется сидел в системе. DrWeb Cure IT вообще плюнул на запуск и не запускался. AVZ запускался, но защищённый драйвер загрузить не мог, поэтому все функции восстановления были бесполезны.
Плюнув – перенёс винт на настольный. Винт снимал и чистил/чистил/чистил – какая-то дрянь там сидела и прятала часть файлов, невидимых даже при скрытом режиме. SATA-диски это конечно удобно – и быстро, и с IDE-переходниками не надо мучаться. После очистки – чистил ручками все папки temp, все битые Cab Jar Zip и прочите части, что мне говорили NOD32 и AVZ. Убирал C:\recycled всё. Чистил
C:\WINDOWS\Temp
C:\WINDOWS\Downloaded Installations
C:\Documents and Settings\%user_name%\Local Settings\Temp
C:\Documents and Settings\%user_name%\Local Settings\Temporary Internet Files\Content.IE5
C:\Documents and Settings\%user_name%\Recent

Они мне говорили фас! – я отрабатывал. Вроде прибил гадину. Вставил винт в ноут и... Вируса не было (тогда я этого не знал, думал что что-то есть). Загрузился по F8 в безопасном – создал нового пользователя, дал ему группу администраторы – но всё без толку. Internet Explorer.exe – раньше на запускался, но теперь запускается, мало того – подхватывает модем беспроводной и выходит в сеть. Но ничего больше не стартовало (только run as... - то есть Запуск от имени…).*.bat файл было к 4 утра уже лень писать, чтобы указать pause второй строчкой и посмотреть, что будет. Хотя если запуск другой программы из под другой ничего не давал. Переставлять ОС – это ну совершенно непрофессионально, мне не хотелось капитулировать, у меня были ещё сутки. Все поиски вируса не увенчались успехом – значит это либо *.dll rootkit который я фиг увижу или всё же остатки испоганенной вирусом системы. Полез C:\WINDOWS и в C:\WINDOWS\system32 и начал запускать файлы напрямую – всё работало (включая элементы Панели Управления). пути на Program Files и %SYSTEMROOT% в порядке. Другой пользователь с админскими правами в (net user /add всякие из командной строки) пробовал безопасном режиме – фиг вам. Есть проблемы с кодировками на ноуте, но имя пользователя было изначально английское, поэтому переименовывать не пришлось. Реестр regedit.exe запускался сам (ну через run as...) не надо было переименовывать в regedit.com. Наверное учу файлы. Полез в Мой компьютер - сервис - св-ва папки - Типы файлов - посмотри есть ли там тип EXE. Это неописуемо, сказал я глядя на баобаб – нет там ничего. Полез в редактор реестра HKEY_CLASSES_ROOT\.exe – со стандартным параметром {098f2470-bae0-11cd-b579-08002b30bfeb}. Без проблем. В сети советовали поменять на exefile и дописать ещё строчку Content Type=application/x-msdownload но я знаете ли не рискнул. MS по этому поводу советов не давала, а она единственная хоть как-то за базар отвечала. Полез я в HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command и... Вот оно – anus oculus (кто хочет, может догадаться). Вместо "%1" %* перед этим словосочетанием стоял ещё один файл (видимо он был инфицирован, потому что файл принадлежал OC MS. Я всё ненужное отгрыз и всё заработало. В 5 утра я наконец закончил – доставил софт – было 6 утра. Через 30 минут на работу надо было бы.

Я всегда ставил софт, потом ставил антивирь (чтобы быстрее было). Теперь придётся пересмотреть точку зрения. И потом ещё полчаса я резал на основной системе какую-то фигню, которая теперь пыталась дрова установить, но не находила их. Утро понедельника – первый день отпуска. Happy! Я дождался своей половины с работы, отдал ноут и уехал хотя бы на неделю на дачу (взяв 2 сезона Dr. House). А то ещё одного пациента притащат.

Предупреждаю - мой мат вырезан, я сохранил на ПК к себе материалы, не первый раз выполняю работу с утилитами по восстановлению, набита рука на написание служебных инструкций пользователям, да и вообще не первый мегабайт текстов пишу. Если это расписывать детально с описание куда и что запускать - это будет часа 3-4-6 времени, если не больше. Времени, изъятого у семьи и у любимой работы. Оно того стоит? Я для себя сделал ответ - нет.
Так что господа - детальных описаний забесплатно даже не ждите.

Читайте - SoftHomeRU - компьютерный мир в вопросах и ответах!

Пополни свой ТЕЛЕФОН
Всё о ПОДРАБОТКЕ в ИНТЕРНЕТЕ !!!
Подпишись на Новости Softa
СОЗДАЙ СВОЙ ИНТЕРНЕТ – МАГАЗИН

WMobmen
Monebookers
Бегун платит мне за этот сайт
Раскрутка 2.0
Е-mail для связи с админом: oleg-se-zam@yandex.ru