Изгнание вируса из компьютера группы

Пошел я сегодня на факультет примериться перед вторничной конференцией: не слишком ли загажена computer room. Комната для поставленных задач сгодится, но вот главный компьютер за полтора года пребывания в общем пользовании зарос вирусами и прочими всплывающими окнами. Там не то, что Skype, там интернет сегодня утром пахать не хотел. Перезагрузка привела к тому, что вирус по имени AntiSpy Safeguard, на дал запуститься Windows Explorer'у, а потребовал номер банковской карточки. Делать нечего, надо звать главного по компьютерам. А надо вам сказать, что главный по компьютерам в нашей группе это я сам. И компьютерные проблемы я решаю так же, как вожу машину: с помощью и руками брата.

Пришел брат и через три с половиной часа все было приведено в норму. Если знать, что делать, то можно и за час разобраться, потому на будущее составляю себе мануал. (Если бы пригласил Jeff'а, нашего факультетского админа, то лечение могло растянуться на недели).

Первым делом брат перегрузился в safe mode'e (F8) и стер все файлы в папке Temp. Установленная программа Autoruns вредных процессов в безопасном режиме не видела. Потому перегрузились еще раз в нормальном режиме. Когда всплыл AntiSpy Safeguard, нажал Alt+Ctrl+Del и через File>New task... запустил Explorer. Затем были сняты все подозрительные процессы. Далее используя Autoruns (весьма полезная в таких случаях программа), нынешние загружаемые процессы были сравнены с копией, сделанной летом. Вирусы и трояны были удалены как из autorun'а, так и потерты на диске (через Free Commander установленный по случаю). Заняло это минут десять и дальше начался поиск решения главной проблемы.

Какой-то ранний вирус перед смертью напакостил: отменил обновления Windows. А без обновлений неудивительно, что новые гады к нам заползли. При попытке найти и скачать обновления возникала ошибка номер 80246008, которую официальный сайт поддержки предлагает решать походом в Control Panel>Administrative Tools>Services и изменением параметров Background Intelligent Transfer Service (BITS). Просто было на бумаге, но в искомой папке такого сервиса не оказалось. Попытки скачать его заново или разные repair kits к нему ни к чему не привели. Система заявляла, что с BITS все в порядке.

Поиск по форумам в конце концов привел к решению. Не только мой брат не знал, что нужно предпринять. Люди и по 20 часов тратили. Проблема была в том, что вирус изменил реестр (тот, что открывается regedit'ом). Иногда он прописывал в пути fystem вместо System, но у нас никаких fystem не нашлось. Тщательная сверка того, что нашлось с тем, что должно было быть, обнаружила отсутствие одной маленькой строчки Start. В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS добавили через New>DWORD, имя Start, значение 3 (можно 2). После перезагрузки BITS обнаружился в Control Panel, где был изменен с Manual на Automatic.

Теперь оставалось смиренно ждать, пока комп скачает, установит и переварит 40 важных обновлений, накопившихся за время вирусной оккупации. Все время лечения я сидел по правую руку от брата и подавал гаечные ключи: по мере сил искал на соседнем компе в интернете и старался запоминать шаги.

Брат говорит, что Windows Vista – тестовый проект, но надо покупать и ставить Windows 7. Как бы я ни был согласен, я и на своем домашнем компе не переставил систему: лень, лень, лень устанавливать потом программы. Надеюсь, что до вторника комп доработает, а там пусть мои labmates что угодно ставят.