Показано с 1 по 8 из 8.

Разблокирование компьютера+вопрос Helper'ам

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    4
    Вес репутации
    24

    Разблокирование компьютера+вопрос Helper'ам

    Здравствуйте уважаемые форумчане!
    Хочу предложить Вам свою личную, проверенную ДЛИТЕЛЬНЫМ ОПЫТОМ инструкцию по удалению банеров(СМС-вымогателей)с рабочего стола.
    Это на мой взгляд наиболее ОБЩАЯ ИНСТРУКЦИЯ и подходит в БОЛЬШИНСТВЕ случаев.
    1. Необходимо получить доступ к реестру зараженного компьютера(Предлагаю использовать Hiren's boot CD или любой др Live CD на котором есть возможность загрузить miniWindowsXP и подключить удаленный реестр)
    2. Проверить(исправить) ключи shell и userinit в разделе winlogon куста [HKLM]
    3. Проверить раздел RUN(тоже в реестре) на предмет наличия подозрительных(неизвестных) программ. Удалить их если таковые имеются.
    4. Очистите в папке личного профиля каталог temporary internet files, кэши в браузерах.
    Особое внимание обратить на каталоги Local settings и application data на предмет наличия *.exe файлов(их там вообще не должно быть, смело удаляйте)
    5. Почистить каталоги \\windows\tasks; \\windows\temp; \\windows\prefetch; \\System volume information(!!! если не пользуетесь восстановлением системы); \\Recycler
    6. Обратите внимание на дату изменения файла userinit.exe и winlogon.exe в каталоге \\windows\system32\. Если дата "свежая", значит эти файлы не родые, и вирус их изменил(переписал). При этом необходимо заменить эти файлы оригинальными(лучше взять из дистрибутива соответствующей версии windows)
    6. Перезагружаемся. Работоспособность должна восстановиться.

    PS. Чтобы облегчить себе жизнь в будущем, установите альтернативный диспечтер задач(например proWise или processExplorer). Чаще всего Смс вирусы блокируют СТАНДАРТНЫЙ диспетчер, а альтернативный продолжает запускаться). Вы сразу сможете "срубить" зловредный процесс и закрыть окно баннера т.е. обойтись без Live-CD и удаленного реестра).
    PPS. Так же имейте в своем арсенале альтернативный редактор реестра, поскольку стандартный regedit может не запускаться.
    Последний раз редактировалось alex050881; 08.06.2011 в 13:23. Причина: несоответстие п5 правил

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,403
    Вес репутации
    1267
    А я Вам больше скажу - современный локер подменяет mbr(имеет функционал буткита), так что всё, что Вы перечислили не имеет для него ни малейшего значения.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Здравствуйте, уважаемый alex050881.

    Хочу немного покритиковать Вашу "всеобъемлющую инструкцию" с позиции не очень продвинутого юзера.
    Буду краток.
    Итак, приступим...


    Цитата Сообщение от alex050881 Посмотреть сообщение
    1. Необходимо получить доступ к реестру зараженного компьютера(Live CD или др.)
    Как это сделать? Хоть бы пару слов или сцылочку...

    Цитата Сообщение от alex050881 Посмотреть сообщение
    2. Проверить(исправить) параметры winlogon и userinit [HKLM]
    Winlogon - это ключ (подраздел), параметр только userinit. Еще я где-то слышал про параметр Shell. А также есть HKCU, и там тоже winlogon и иже с ними... В общем, я запутался, а что на что исправлять - и вовсе непонятно.

    Цитата Сообщение от alex050881 Посмотреть сообщение
    3. Проверить автозагрузку(тоже в реестре) на предмет наличия всякой лишней дряни.
    Что такое "лишняя дрянь"?

    Цитата Сообщение от alex050881 Посмотреть сообщение
    4. Очистить ВСЕ Temp'ы, Recycler,System volume information(!!! опасно),temporary internet files, всякие кэши в браузерах, каталог prefetch в windows. Особое внимание обратить на каталоги Local settings и application data на предмет наличия посторонних *.exe файлов.
    Чем опасно и зачем тогда чистить?
    Где находятся кэши моих браузеров?
    Чем префетч не угодил?
    Какие *.exe считать посторонними?

    Цитата Сообщение от alex050881 Посмотреть сообщение
    5. Почистить каталог \\windows\tasks.
    Зачем?

    Цитата Сообщение от alex050881 Посмотреть сообщение
    6. ПЕРЕЗАГРУЖАЕМСЯ. Работоспособность должна восстановиться.
    Ой ли? А если нет, тогда что?

    А теперь вопрос Вам, но уже с позиции модератора: п.5 правил форума сами прочтете или процитировать? И что с Вашим постом надо сделать согласно этому пункту - подсказать или сами догадаетесь?
    I am not young enough to know everything...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iron Monk
    Регистрация
    04.02.2010
    Сообщений
    1,106
    Вес репутации
    256
    Цитата Сообщение от alex050881 Посмотреть сообщение
    ВОПРОС СПЕЦИАЛИСТАМ: есть баннеры, которые не пускают указатель мыши за пределы прямоугольной области, ограницивающей баннер. Скажите, какой параметр реестра за это отвечает? Как они это делают?
    Реестр здесь ни-при-чем.
    А причем, использование функции 'ClipCursor' из системной dll - user32.dll
    ...причиняю добро и наношу непоправимую пользу...

  6. #5
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    4
    Вес репутации
    24
    Спасибо Bratez,Global Moderator за критику. Подробную инструкцию, признаюсь честно,писать было лень. Сто раз уже написано на вашем форуме как использовать Live-CD, какие ключи реестра, в каких ветках, как должы выглядет(применительно к winlock-вирусам). Раздел autorun в реестре, ясно и понятно нужно смотреть на предмет "всякой дряни" имея минимум знаний. Пользователь как правило знает какие программы он устанавливал а какие нет. Всё ясно из названия программы. В общем нужно быть слепым и бестолковым чтобы не отличить полезный (или как минимум нейтральный софт) от вредоносного. По поводу папки System volume information: в ней хранятся точки отката (Восстановление системы). Периодически, примерно раз в 2-3 месяца ее можно очищать или если не пользуетесь восстановлением вообще его отключить, и ещё эта папка - один из сборщиков вирусов, поэтому чистить ее нужно! Кешы браузеров ищем в своём профиле пользователя в каталоге application data. Prefetch "до кучи" чистим. Вреда никакого ибо это тоже "копилка" мусора. ВСЕ *.EXE-файлы присутствующие в каталогах Local settings и application data СЧИТАТЬ ПОСТОРОННИМИ.

    Добавлено через 7 минут

    Вышеописанная инструкция не явлеется панацеей от всех winlock-вирусов. Ясно и понятно что они постоянно совершенствуются, злодеи.

    Добавлено через 6 минут

    Пользователи, которые готовы взять на себя риск, а это именно РИСК, избавиться от баннера на рабочем столе и разблокировать компьютер, наверное, должны "что-то" понимать иначе все инструкции бессмыслены если пользователь "без головы" на плечах. В последнем случае прибегнуть к помощи специалиста со стороны.
    Последний раз редактировалось alex050881; 08.06.2011 в 10:43. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Сейчас почти на всех форумах, которые занимаются лечением, есть подобные инструкции. Хорошая от Паука на форуме Доктора Веба, там же есть и видео.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    07.06.2011
    Сообщений
    4
    Вес репутации
    24
    ДОПОЛНЕНИЕ к моей ВСЕОБЪЕМЛЮЩЕЙ инструкции:
    забыл написать еще вот что: обратите внимание на дату изменения файла userinit.exe и winlogon.exe. Если дата "свежая", значит эти файлы не родые, и вирус их изменил(переписал). При этом необходимо заменить эти файлы оригинальными(лучше взять из дистрибутива соответствующей версии windows).

    Добавлено через 2 минуты

    Добавлено через 2 часа 26 минут

    Прошу модераторов удалить все "Лишние" на данный момент посты, поскольку они ни несут ничего информативного, а лишь засоряют "Эфир". И оставить только #1 и #6.
    Все Ваши замечания принял к сведению. Инструкцию буду дополнять и совершенствовать, делать более подробной.
    Спасибо.
    Последний раз редактировалось alex050881; 08.06.2011 в 13:17. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от alex050881 Посмотреть сообщение
    Подробную инструкцию, признаюсь честно,писать было лень.
    Вот и я о том же. Мне-то ваши пояснения не требуются, а вот простой пользователь, которому Вы адресовали свой опус, как раз в большинстве случаев "бестолковый" и ничего этого не знает.

    Цитата Сообщение от alex050881 Посмотреть сообщение
    забыл написать еще вот что: обратите внимание на дату изменения файла userinit.exe и winlogon.exe. Если дата "свежая", значит эти файлы не родые, и вирус их изменил(переписал).
    winlogon.exe вроде не был пока замечен в причастности, а вот taskmgr.exe - таки да, засветился.

    Цитата Сообщение от alex050881 Посмотреть сообщение
    Все Ваши замечания принял к сведению. Инструкцию буду дополнять и совершенствовать
    Давайте.
    А эту тему мы чуть позже удалим. ОК?
    I am not young enough to know everything...

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 09.04.2010, 07:25

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01258 seconds with 16 queries