Ik pēc kāda laika atveras reģistrs

[SaWI337]

Sveiki,

šodien pa skype viens atsūtīja kkādu linku, kur sāka lejuplādēties viens fails (Links - http: //84-32-95-7.aktv.lt: 45054/hellbender113/Bonis?i=hellbender113&l=lv&t=r - NEVERIET VAĻĀ TO FAILU, KO PIEDĀVĀS LEJUPLĀDĒT!).Atvēru to failu un tagad ik pēc 10-20sec izlec User Account Control logs, kur pieprasa admina tiesības lai varētu kko izmainīt..

Faila nosaukums, kuru cenšas atvērt - tcmakrbudjm.reg

Lejuplādētais fails - http://virusscan.jotti.org/en/scanresult/58b0c25b1c7766bc94017f06d534e09a3a95b18e (skanēšanas rezultāts)

Saturs:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"EnableLUA"=dword:00000000

"ConsentPromptBehaviorAdmin"=dword:00000000

"ConsentPromptBehaviorUser"=dword:00000000

"EnableInstallerDetection"=dword:00000000

"EnableSecureUIAPaths"=dword:00000000

"EnableVirtualization"=dword:00000000

"PromptOnSecureDesktop"=dword:00000000

"ValidateAdminCodeSignatures"=dword:00000000

"FilterAdministratorToken"=dword:00000000

 

Kā no viņa tikt vaļā? Mēģināju izdzēst to .reg failu, nenostrādāja, restartēju pc, arī nekā..

Labots Decembris 1, 2009 - Leshij
Izmainīju linku, lai nevar nospiest

[SaWI337]

Izskatās, ka viņš izplatās.. Tgd jau sāk vērties vaļā visādi .exe faili un pc slēgties ārā. Uzliku pilnīgi visiem tiem failiem ALL DENY (pat uz read) un it kā vairāk neveras vaļā, bet tomēr viņš ir datorā un izdzēst viņu nevar.

Labots Decembris 1, 2009 - SaWI337

[Firza]

Pats par sevi REG fails nevar būt vīruss, tā ka nav ko cerēt, ka antivīrusi tur kaut ko atradīs, un gaidīt, ka drīz pret to parādīsies "vakcīna". Ja antivīrusi sāks kontrolēt REG failus, tad pēc būtības, tiem vajadzēs celt troksni par jebkura REG faila palaišanu, jo kā gan antivīruss var zināt, kuras izmaiņas Registry ir labas, bet kuras sliktas.

Protams, ar REG failu var izdarīt nepārāk labas darbības, bet tik un tā to nevar uzskatīt par vīrusu, jo vīruss ir datorprogramma, bet no plikām izmaiņām Regitry nekādas programmas neuzrodas.

Dotais “vīruss” izmaina Policies iestatījumus, un “ārstējas” tas, atjaunot vecos šī Registry zara iestatījumus, vai nu ar System Restore, vai ar rokām, saliekot tādas vērtības, kādas tur bija noklusēti, “aizņemoties” tās no kāda cita datora ar tādu pašu OS.

 

Hmm, tad nu gan ir jābūt nu ļooooooti ziņkārīgam, lai palaistu REG failu, nospiestu YES, kad tiek jautāts “Vai jūs tiešām gribat pievienot šo REG failu Registry”, un pēc tam vēl apstiprināt “User Account Control” pieprasījumu pēc Administratora tiesībām.

Labots Decembris 1, 2009 - Firza

[ggg97]

Ja tas ir reg, varbūt var palīdzēt "System restore" uz pirmsvīrusa pozīciju?

[Val]

Palasi divreiz un lēnāk iepriekšējo postu. Un iesākumā tev jātiek vaļā no tā, kas ik pēc 20-30 sekundēm grib veikt reģistrā šīs izmaiņas. Pārējais jau ir sīkums.

 

Windows 7 tas zars izskatās šādi

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=dword:00000001
"ConsentPromptBehaviorAdmin"=dword:00000005
"ConsentPromptBehaviorUser"=dword:00000003
"EnableInstallerDetection"=dword:00000001
"EnableSecureUIAPaths"=dword:00000001
"EnableVirtualization"=dword:00000001
"PromptOnSecureDesktop"=dword:00000001
"ValidateAdminCodeSignatures"=dword:00000000
"FilterAdministratorToken"=dword:00000000

Labots Decembris 1, 2009 - Val