Вирус-баннер

[Writer]

Цитата:

Сообщение от Part!zan

Writer, мне просто интересно его вылечить руками.

Ааа.
Дык ить чо там - лайв+поиск недавно созданных файлов.

[Part!zan]

Writer, лучше один раз увидеть...

[Writer]

Это-то да то.
Хотя смыслу кагбэ не вижу.

Можно ещё из-под лайва внедрить какой альтернативный диспетчер задач.

[Part!zan]

Цитата:

Сообщение от Writer

Хотя смыслу кагбэ не вижу

Хочется )

[Teddybear]

Part!zan,
Надо тебе как-нибудь прислать ссылку на ресурс, где ты точно что-нибудь подцепишь.. Вот и будет чем заняться

[Part!zan]

Teddybear, давай ) У меня ни разу подцепить не получалось. ( Трагедия. )))

[shuri]

Цитата:

Сообщение от Катя.

Teddybear,
Завтра иду к одной подруге.
Вин7. Порно баннер, который просит положить 400р на телефон и на чеке будет код разблокировки (ну они совсем уже обнаглели!).
Под семерку еще ни разу не приходилось лечить такое. Есть различия от ХР? Я простым autoruns и ERD comander обойдусь?

Угу, только потом советую пройтись cureit + утилитой от касперского + avast + антималварным софтом (что-то типа ad-aware) Если хочется быстро и руками,то uvs, gmer, avz, autoruns и process explore от руссиновича

[X0R]

Цитата:

Сообщение от Part!zan

все усилия мелкософта с ее UAC - коту под хвост

уверен, что у дамочки он отключен, ну и к тому же надо все же хоть иногда думать перед тем как щелкнуть OK.

Цитата:

Сообщение от shuri

uvs, gmer, avz, autoruns и process explore

рабочий стол может быть заблочен, придется с LiveCD работать.

[Катя.]

Цитата:

Сообщение от X0R

уверен, что у дамочки он отключен

там сборка DNA. отключен-не отключен - даже смотреть не хотелось.

Цитата:

Сообщение от X0R

придется с LiveCD работать.

Так. только так. Использую ERD commander в составе Alkid. Сегодня у меня на все-провсе ушло всего 5 минут. лечение - под спойлером.
зовут его win32.pornoblocker. чтобы избавиться от него, достаточно вернуть в реестре hklm\software\microsoft\windows nt\currentversion\
winlogon\shell дефолтовое значение (c:\windows\explorer.exe). потом с жесткого диска удалить сам файл вируса, который там был прописан. (на самом деле его даже вирусом с трудом назовешь.. так, программа-шутка).

Кстати, есть какие-нить более шустрые win pe? alkid ну просто дикий тормоз.

[Part!zan]

Цитата:

Сообщение от X0R

рабочий стол может быть заблочен

Благодаря любезно предоставленному Катей образцу, я наконец-то столкнулся лицом к лицу с этим образчиком человеческой жадности. И придумал просто нереально гениальный способ избавиться от виря даже не перезагружая комп. (да, я скромный ))) Не знаю, сработает ли он на всех представителях семейства, но на этом - работает.
Катя., я тебе в лс отписал, но и тут еще повторю: эта "шутка" портит параметры безопасного режима. Так что, ты комп недолечила. В реестре HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Saf eBoot\Minimal_ и HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Saf eBoot\Network_ надо переименовать (убрать подчеркивания в конце). А еще он запрещает диспетчер задач. Ну и еще там кое какие приколы есть, но они безобидные.

[Teddybear]

Цитата:

Сообщение от Part!zan

А еще он запрещает диспетчер задач

Хотелось бы узнать детали..

[Part!zan]

Teddybear, тупо запрещает, через политики. Тот же AVZ все восстановит или в реестре руками HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system

[Teddybear]

Part!zan, Спасибо, завтра попробую..

[Катя.]

Я всегда возвращаю его ручками: пуск-выполнить-gpedit.msc; Конфигурация пользователя - Административные шаблоны - Система - Возможности Ctrl-Alt-Del. Дальше там все интуитивно понятно.

[Part!zan]

Цитата:

Сообщение от X0R

уверен, что у дамочки он отключен

Не, там все проще... Приложение само просит разрешения запуститься от имени админа. Просто и со вкусом.

[X0R]

Цитата:

Сообщение от Катя.

Кстати, есть какие-нить более шустрые win pe?

чистый EDR один из самых шустрых, юзаю только его.

Цитата:

Сообщение от Part!zan

эта "шутка" портит параметры безопасного режима

можно так же через AVZ восстановить.

Цитата:

Сообщение от Part!zan

Приложение само просит разрешения запуститься от имени админа. Просто и со вкусом.

Цитата:

Сообщение от X0R

ну и к тому же надо все же хоть иногда думать перед тем как щелкнуть OK.

................

[Катя.]

Цитата:

Сообщение от X0R

чистый EDR один из самых шустрых

он по-моему в интернет выходить не умеет. в этот раз мне помогли virustotal.com, который рассказал как зовут супостата и yandex.ru, который рассказал что в реестре надо подправить.

[Part!zan]

Цитата:

Сообщение от X0R

можно так же через AVZ восстановить

Если есть откуда восстановить, имхо, лучше воспользоваться этим. Там много чего, в этой ветке.

[X0R]

Цитата:

Сообщение от Катя.

он по-моему в интернет выходить не умеет.

Хз, но у него перед появлением рабочего стола идет обнаружение и настройка сети.

Цитата:

Сообщение от Part!zan

Если есть откуда восстановить, имхо, лучше воспользоваться этим. Там много чего, в этой ветке.

Файл - Восстановление системы - Восстановление параметров загрузки в SafeMode

[Катя.]

X0R, это он по локальной сети может лазить. браузера в нем нет.

[Part!zan]

X0R, я знаю, как пользоваться avz. Я говорил про случай, когда его, например, нет под рукой.

[shuri]

Цитата:

Сообщение от X0R

рабочий стол может быть заблочен, придется с LiveCD работать.

Он практически всегда заблочен.Поэтому не зря упоминал о uvs
http://www.anti-malware.ru/pda/index...howtopic=11667

[Part!zan]

Цитата:

Сообщение от shuri

не зря упоминал о uvs

а как ты его запустишь, если раб. стол заблокирован?

[Катя.]

Part!zan,
можно загрузиться с liveCD и добавить ее в автозагрузку (у меня при запуске она грохнула всё: аську, винамп, оперу. правда бвметр не тронула)

А вообще очень похоже что это программа для оффлайного лечения.

[shuri]

Цитата:

Сообщение от Part!zan

а как ты его запустишь, если раб. стол заблокирован?

В архиве есть каталог DOC в нем описан упрощенный процесс выявления и удаления неизвестного вируса.
Файл "_Как быстро найти неизвестный вирус.txt".
В случае подозрения на присутствие неизвестного руткита стоит прочитать "_Удаление руткитов.txt"
приведенный в тексте метод выявляет любой руткит и те что есть и те что будут через год или два в т.ч. и под x64.
Основная же рекомендация - внимательно относиться к той информации что выдает uvs, утитилита не принимает каких-либо решений самостоятельно и не утверждает что какой-либо файл является зловредом на 100%. Все решения принимает оператор на основе своих знаний и опыта, от этого и зависит конечный алгоритм работы с uvs, каждый может выбрать свой метод удобный ему лично. Например можно сразу отсечь основную часть файлов просто нажав F6 и подождав 5 минут для массовой проверки ЭЦП затем скрыть все проверенное соотв. грыжиком, можно этого не делать, а сперва проверить кучку подозрительных, можно не делать и этого а сразу перейти к интересным категориям и изучать файлы в них. (в случае присутствия руткита рекомендуется сперва зачистить мелочевку потом перейти к самому руткиту, проверкой эцп в _активной системе_ выявить руткит не выйдет)
Есть еще и FAQ в котором тоже можно почерпнуть начальные навыки работы с программой.

Если интересует конкретно винлок, то поможет запуск Startf.exe, который безжалостно выгружает все лишние из памяти включая трояны (в т.ч. слабо скрытые процессы), вирусы, фаеры, антивирусы и прочий хлам не способный себя защитить, в простых же случаях достаточно startd.cmd который создаст чистый и защищенный рабочий стол.
Если окно на весь экран то поможет вставка специального CD - в дистрибутиве есть_autorun.zip в котором лежит инструкция по его изготовлению, можно вместо CD использовать флешку, можно делать мини-диски двойного назначения т.е. загрузочный + autorun.inf, что очень удобно.
Если же совсем ничего не помогает то CD/DVD можно сделать загрузочным на базе PE любой версии, а под PE лечится абсолютно все. (загрузка и проверка эцп возможна только под PE2 и старше, PE1.x нужно дорабатывать чтоб он мог работать с эцп)
Отличий в работе из под PE или активной системы нет соотв. отсылаю к тем же файлам.
http://www.anti-malware.ru/pda/index...ic=11667&st=60
P.S. Это не панацея, но как один из "рабочих" инструментов неплох

[Катя.]

Цитата:

Сообщение от shuri

Если окно на весь экран то поможет вставка специального CD - в дистрибутиве есть_autorun.zip в котором лежит инструкция по его изготовлению, можно вместо CD использовать флешку, можно делать мини-диски двойного назначения т.е. загрузочный + autorun.inf, что очень удобно.

мощно придумано, однако..

[Part!zan]

Цитата:

Сообщение от Катя.

можно загрузиться с liveCD и добавить ее в автозагрузку

А ты знаешь толк в извращениях... )

Цитата:

Сообщение от shuri

Если окно на весь экран то поможет вставка специального CD

Такой вариант мне в голову приходил. Не поможет, если авторан отключен.

Кстати, вдруг кому пригодится... Если вам попался локер как на картинке, то код для него можно самому подобрать. Критерии простые:
8-значное число
цифра 1 !=0
цифра 2 м.б. ==0 если цифра 1 !=1
цифра 3 == цифра1+цифра2
цифры 4-8 - безразличны

[Teddybear]

Цитата:

Сообщение от Part!zan

Если вам попался локер как на картинке

только что вытравил подобный, только с требованием перечислить бабло на счет Вконтакте.

[Part!zan]

Teddybear, а файлик зловреда не сохранился случайно?

[Teddybear]

Цитата:

Сообщение от Part!zan

а файлик зловреда не сохранился случайно?

Не, не подумал как-то, что понадобиться может, убил.