Блочим блокеры: полный мануал по борьбе с блокираторами

[SDA]

Ваша система заблокирована! Чтобы активации необходимо отправить код xakep на короткий номер 31337. Под каким только предлогом не заставляют ушастого отправить дорогущую SMS, убеждая его в том, что на компьютере вирусы, или то, что Microsoft поймала его за нелицензионную винду, или, в конце концов, за то, что он посмотрел в Инете "клубничку". Развод срабатывает.

Название "Trojan.Winlock" давно стало характеризовать целую отрасль в вирусостроении, когда малварь не скрывает себя в системе, а наоборот всячески показывает свое присутствие, блокируя работу пользователя. Сначала способы выманивая денег напоминали скорее вымогательства (именно поэтому класс вирусов называется Ransomware – от английского слова ransom, выкуп), явно указывая на то, что экран блокирует вирус и сдастся он только после отправки SMS на платный номер. Позже, методы развода стали более изящными: пользователей припугивают, что появившееся окно является новой системой защиты Microsoft по борьбе с нелицензионным ПО, разыгрывают неплохой спектакль, прикидываясь антивирусом, который разом находит кипу вирусов в системе и так далее – главное, что во всех случаях проблемы предлагается быстро решить отправкой на короткий номер SMS.

Как разлочить систему?
далее http://www.xakep.ru/post/52688/

[PavelA]

Прикольная вещь:

Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла
блокера]

Если пролечить так как написано, то система не заведется и ситуация даже усугубиться.

[antanta]

А неделей раньше, на одном сайте ... http://support.kaspersky.ru/viruses/...&qid=208637133
Ксакеп в своем стиле.

[SDA]

Сделаем послабление, ведь писатель не хелпер ВИ

[PavelA]

Сделаем послабление, ведь писатель не хелпер ВИ

У него аудитория не меньше нашей. Корректоры там не разбирающиеся сидят.

[anton_dr]

Если пролечить так как написано, то система не заведется и ситуация даже усугубиться.

Вот что значит пропущенная запятая

[anton_dr]

У него аудитория не меньше нашей. Корректоры там не разбирающиеся сидят.

В следующий раз "читатели" поищут ресурс, более заслуживающий доверия.

[PavelA]

%systemfolder%\userinet.exe,

Вот это там самое забавное.

[santy]

ну, на самом деле юзеры не пострадают, если внимательно прочтут данный фрагмент...

Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:

Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла
блокера]

Само тело вируса обычно размещается где-нибудь в неприметном месте. Как вариант, прикидываясь временным файлом с расширением tmp, оно находится в каталоге с временными файлами Windows. Обнаружив в этом ключе подозрительные записи, удаляем подозрительные бинарники и возвращаем значение ключа до "%systemfolder%\userinit.exe". Другой распространенный способ для автозапуска для блокеров - прописаться в ключе shell (находится в том же разделе реестра, что userinit), заменив стандартное значение explorer.exe на путь до зловредного бинарника.

опечатка здесь в симптоме, но не в в решении проблемы. (Разве, что запятая упущена.)

[antanta]

А что за запятая? Я усмотрел только userinet, и странную переменную окружения %systemfolder%. Честно говоря, изначально я вообще не вчитывался, поскольку не интересно же. Больше повеселило то, что ксакепы "творчески переработали" статью с сайта ЛК. Плохо скрытый плагиат, да еще и с ашипками, как нам тут подсказали товарищи.

[PavelA]

А что за запятая?

она в этом ключе в конце должна стоять.

[antanta]

PavelA, Загадочная запятая. У меня XP SP3 работает и без нее. Кто-нибудь ведает о назначении этой запятой?

[PavelA]

Кто-нибудь ведает о назначении этой запятой

Я предполагаю, что это для того чтобы производители программ не задумывались на вписывании в этот ключ, просто добавляли свою библиотеку и все.