-
Junior Member
- Вес репутации
- 47
Разблокирование компьютера+вопрос Helper'ам
Здравствуйте уважаемые форумчане!
Хочу предложить Вам свою личную, проверенную ДЛИТЕЛЬНЫМ ОПЫТОМ инструкцию по удалению банеров(СМС-вымогателей)с рабочего стола.
Это на мой взгляд наиболее ОБЩАЯ ИНСТРУКЦИЯ и подходит в БОЛЬШИНСТВЕ случаев.
1. Необходимо получить доступ к реестру зараженного компьютера(Предлагаю использовать Hiren's boot CD или любой др Live CD на котором есть возможность загрузить miniWindowsXP и подключить удаленный реестр)
2. Проверить(исправить) ключи shell и userinit в разделе winlogon куста [HKLM]
3. Проверить раздел RUN(тоже в реестре) на предмет наличия подозрительных(неизвестных) программ. Удалить их если таковые имеются.
4. Очистите в папке личного профиля каталог temporary internet files, кэши в браузерах.
Особое внимание обратить на каталоги Local settings и application data на предмет наличия *.exe файлов(их там вообще не должно быть, смело удаляйте)
5. Почистить каталоги \\windows\tasks; \\windows\temp; \\windows\prefetch; \\System volume information(!!! если не пользуетесь восстановлением системы); \\Recycler
6. Обратите внимание на дату изменения файла userinit.exe и winlogon.exe в каталоге \\windows\system32\. Если дата "свежая", значит эти файлы не родые, и вирус их изменил(переписал). При этом необходимо заменить эти файлы оригинальными(лучше взять из дистрибутива соответствующей версии windows)
6. Перезагружаемся. Работоспособность должна восстановиться.
PS. Чтобы облегчить себе жизнь в будущем, установите альтернативный диспечтер задач(например proWise или processExplorer). Чаще всего Смс вирусы блокируют СТАНДАРТНЫЙ диспетчер, а альтернативный продолжает запускаться). Вы сразу сможете "срубить" зловредный процесс и закрыть окно баннера т.е. обойтись без Live-CD и удаленного реестра).
PPS. Так же имейте в своем арсенале альтернативный редактор реестра, поскольку стандартный regedit может не запускаться.
Последний раз редактировалось alex050881; 08.06.2011 в 14:23.
Причина: несоответстие п5 правил
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
А я Вам больше скажу - современный локер подменяет mbr(имеет функционал буткита), так что всё, что Вы перечислили не имеет для него ни малейшего значения.
-
-
Здравствуйте, уважаемый alex050881.
Хочу немного покритиковать Вашу "всеобъемлющую инструкцию" с позиции не очень продвинутого юзера.
Буду краток.
Итак, приступим...
Сообщение от
alex050881
1. Необходимо получить доступ к реестру зараженного компьютера(Live CD или др.)
Как это сделать? Хоть бы пару слов или сцылочку...
Сообщение от
alex050881
2. Проверить(исправить) параметры winlogon и userinit [HKLM]
Winlogon - это ключ (подраздел), параметр только userinit. Еще я где-то слышал про параметр Shell. А также есть HKCU, и там тоже winlogon и иже с ними... В общем, я запутался, а что на что исправлять - и вовсе непонятно.
Сообщение от
alex050881
3. Проверить автозагрузку(тоже в реестре) на предмет наличия всякой лишней дряни.
Что такое "лишняя дрянь"?
Сообщение от
alex050881
4. Очистить ВСЕ Temp'ы, Recycler,System volume information(!!! опасно),temporary internet files, всякие кэши в браузерах, каталог prefetch в windows. Особое внимание обратить на каталоги Local settings и application data на предмет наличия посторонних *.exe файлов.
Чем опасно и зачем тогда чистить?
Где находятся кэши моих браузеров?
Чем префетч не угодил?
Какие *.exe считать посторонними?
Сообщение от
alex050881
5. Почистить каталог \\windows\tasks.
Зачем?
Сообщение от
alex050881
6. ПЕРЕЗАГРУЖАЕМСЯ. Работоспособность должна восстановиться.
Ой ли? А если нет, тогда что?
А теперь вопрос Вам, но уже с позиции модератора: п.5 правил форума сами прочтете или процитировать? И что с Вашим постом надо сделать согласно этому пункту - подсказать или сами догадаетесь?
I am not young enough to know everything...
-
-
Сообщение от
alex050881
ВОПРОС СПЕЦИАЛИСТАМ: есть баннеры, которые не пускают указатель мыши за пределы прямоугольной области, ограницивающей баннер. Скажите, какой параметр реестра за это отвечает? Как они это делают?
Реестр здесь ни-при-чем.
А причем, использование функции 'ClipCursor' из системной dll - user32.dll
...причиняю добро и наношу непоправимую пользу...
-
-
Junior Member
- Вес репутации
- 47
Спасибо Bratez,Global Moderator за критику. Подробную инструкцию, признаюсь честно,писать было лень. Сто раз уже написано на вашем форуме как использовать Live-CD, какие ключи реестра, в каких ветках, как должы выглядет(применительно к winlock-вирусам). Раздел autorun в реестре, ясно и понятно нужно смотреть на предмет "всякой дряни" имея минимум знаний. Пользователь как правило знает какие программы он устанавливал а какие нет. Всё ясно из названия программы. В общем нужно быть слепым и бестолковым чтобы не отличить полезный (или как минимум нейтральный софт) от вредоносного. По поводу папки System volume information: в ней хранятся точки отката (Восстановление системы). Периодически, примерно раз в 2-3 месяца ее можно очищать или если не пользуетесь восстановлением вообще его отключить, и ещё эта папка - один из сборщиков вирусов, поэтому чистить ее нужно! Кешы браузеров ищем в своём профиле пользователя в каталоге application data. Prefetch "до кучи" чистим. Вреда никакого ибо это тоже "копилка" мусора. ВСЕ *.EXE-файлы присутствующие в каталогах Local settings и application data СЧИТАТЬ ПОСТОРОННИМИ.
Добавлено через 7 минут
Вышеописанная инструкция не явлеется панацеей от всех winlock-вирусов. Ясно и понятно что они постоянно совершенствуются, злодеи.
Добавлено через 6 минут
Пользователи, которые готовы взять на себя риск, а это именно РИСК, избавиться от баннера на рабочем столе и разблокировать компьютер, наверное, должны "что-то" понимать иначе все инструкции бессмыслены если пользователь "без головы" на плечах. В последнем случае прибегнуть к помощи специалиста со стороны.
Последний раз редактировалось alex050881; 08.06.2011 в 11:43.
Причина: Добавлено
-
Сейчас почти на всех форумах, которые занимаются лечением, есть подобные инструкции. Хорошая от Паука на форуме Доктора Веба, там же есть и видео.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 47
ДОПОЛНЕНИЕ к моей ВСЕОБЪЕМЛЮЩЕЙ инструкции:
забыл написать еще вот что: обратите внимание на дату изменения файла userinit.exe и winlogon.exe. Если дата "свежая", значит эти файлы не родые, и вирус их изменил(переписал). При этом необходимо заменить эти файлы оригинальными(лучше взять из дистрибутива соответствующей версии windows).
Добавлено через 2 минуты
Добавлено через 2 часа 26 минут
Прошу модераторов удалить все "Лишние" на данный момент посты, поскольку они ни несут ничего информативного, а лишь засоряют "Эфир". И оставить только #1 и #6.
Все Ваши замечания принял к сведению. Инструкцию буду дополнять и совершенствовать, делать более подробной.
Спасибо.
Последний раз редактировалось alex050881; 08.06.2011 в 14:17.
Причина: Добавлено
-
Сообщение от
alex050881
Подробную инструкцию, признаюсь честно,писать было лень.
Вот и я о том же. Мне-то ваши пояснения не требуются, а вот простой пользователь, которому Вы адресовали свой опус, как раз в большинстве случаев "бестолковый" и ничего этого не знает.
Сообщение от
alex050881
забыл написать еще вот что: обратите внимание на дату изменения файла userinit.exe и winlogon.exe. Если дата "свежая", значит эти файлы не родые, и вирус их изменил(переписал).
winlogon.exe вроде не был пока замечен в причастности, а вот taskmgr.exe - таки да, засветился.
Сообщение от
alex050881
Все Ваши замечания принял к сведению. Инструкцию буду дополнять и совершенствовать
Давайте.
А эту тему мы чуть позже удалим. ОК?
I am not young enough to know everything...
-