Уничтожаем вирус "Blocker"
| |
compserv | Дата: Пятница, 11.09.2009, 19:59 | Сообщение # 1 |
Генералиссимус
Группа: Администраторы
Сообщений: 35
Статус: Offline
| Многие видели такое окно на экране своего компьютера или ноутбука, сразу после загрузки. Цветовое оформление может быть разным. Фон может быть красным или черным. Работать на компьютере не представляется возможным. На манипуляции мышью и клавиатурой - реакции никакой. Наряду с внешним видом, мутирует "начинка" и само поведение этого вируса. Кстати, одно из его названий Winlock. Раньше, достаточно было подождать, и через некоторое время вирус самоуничтожался. Позднее, от Winlocka лечились, вводя код, из специального генератора. Но последние версии уже не поддаются перечисленным видам воздействий. Вирус совершенствуется. На самом деле если вы владеете элементарными навыками работы с компьютером, избавиться от него довольно просто. Итак первое: -- скачиваем выложенный на этом сайте "Alkid LiveCD" >>>СКАЧАТЬ<<<. Загружаемся с диска (если не знаете как, то оставьте эту затею, значит маловато опыта у вас). Далее переходим в меню "ПУСК", и далее как на рисунке >>> Запускаем редактор реестра >>> Выбираем учетную запись администратора, загрузится профиль >>> Переходим по адресу и смотрим ветку HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon, смотрим параметры Userinit, должно быть C:\Windows\system32\userinit.exe, ...Если после запятой что-то прописано, то это и есть путь этого вируса. В нашем случае прописана лишняя запись C:\Temp\help.exe. Очищаем лишнюю запись реестра, заходим в диск C: и удаляем папку, в нашем случае папка Temp. (Конечно путь может быть прописан разный). Перегружаем копьютер и наслаждаемся чистой системой.
|
|
| |
compserv | Дата: Пятница, 29.01.2010, 12:38 | Сообщение # 2 |
Генералиссимус
Группа: Администраторы
Сообщений: 35
Статус: Offline
| В продолжении нашумевшей темы В последнее время число различных блокираторов-троянов-вымогателей, просящих отправить смс значительно увеличилось. Чтобы избежать подобной пакости советую не скачивать, если предлагают на каком-либо сайте, никакие проигрыватели и другие подобные вещи. Очень распространен так называемый "Flash-Player". Для просмотра видео-содержимого сайтов действительно есть такой плейер, при установке например веб-браузера "Opera", и выхода в интернет Опера предлагает скачать такой плейер. Вы перемещаетесь на сайт http://get.adobe.com/flashplayer/, скачиваете и устанавливаете действительно нужную вещь. Очень часто хакеры маскируют свои "изделия" под этот плейер. Если вы ранее уже устанавливали такой плейер, и на каком-либо сайте снова предлагают скачать его --- покиньте этот сайт. Если загрузка началась, то попытайтесь отменить ее, нажав "Отмена". Если же после перезагрузки компьютера вы увидели порно-баннер, просящий отправить смс, то читайте что нужно сделать ниже, должно помочь. Для начала пробуем самый простой способ. Пробуем загрузится в безопасном режиме, после перезагрузки системы, несколько раз нажимаем клавишу "F8". Если все нормально и баннер не появился, заходим меню ==> Пуск => Выполнить => Msconfig, далее переходим на вкладку "Автозагрузка" . Снмаем галочки со всех подозрительных процессов. Внимательно смотрим где прописался процесс или файл, идем туда идаляем. Можно также забить имя файла в поиск ,Windows сама найдет его, вам останется только его удалить. Если безопасный режим не помог. Тогда нужно загрузится с LiveCD.(см начало темы). Загружаем реестр учетной записи администратора. Проверим снова эту ветку реестра ==> HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon Обратите внимание на рисунок выше. Должно быть так как на нем, особенно присмотритесь к выделенным записям реестра. Если что то прописано еще после параметра "Userinit", идем по этому адресу удаляем вирус, очищаем лишнее в реестре. В последнее время очень часто трояны прописывает свои корни в параметре "Shell". Прописано должно быть =>Explorer.exe. Будьте внимательны. Следущий этап.. Пройдите в реестре в район автозагрузки, а именно по адресу => HKEY_LOCAL MACHINE\Software\Microsoft\Windows\currentVersion\Run А затем также еще по адресу => HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Run. Это два района автозагрузки. Внимательно проверьте что у вас загружается при старте. Все лишние и подозрительные файлы удалите, но предварительно(обязательно!!!) пройдите по адресу, прописанному в реестре и удалите вредителя из системы. Идем далее по адресу => HKEY_CURRENT_USER\Control Panel\Desktop Обратите внимание на параметр SCRNSAVE.EXE. Если адрес скринсейвера прописан другой, то возможно это и есть баннер. Можно просто вообще удалить этот параметр, после перезагрузки он появится снова. И вообще если что-то "мертвым грузом" висит у вас на рабочем столе -- ищите здесь и здесь => [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel], а также тут => HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
|
|
| |
compserv | Дата: Вторник, 02.02.2010, 21:45 | Сообщение # 3 |
Генералиссимус
Группа: Администраторы
Сообщений: 35
Статус: Offline
| Еще несколько вариантов удаления. В последнее время зловреды очень часто модернизируются, поэтому конечно полной схемы удаления никогда не будет. Если невозможно открыть сайты yandex.ru, mail.ru, vkontakte.ru. odnoklassniki.ru и т.д. необходимо отредактировать файл hosts, расположенный по умолчанию в папке C:\WINDOWS\system32\drivers\etc. Это умолчание задается в реестре в ветке hkey_local_machine\system\currentControlSet\Services\Tcpip\Parameters в расширяемом строковом параметре DataBasePath, его значение должно быть %SystemRoot%\System32\drivers\etc. В данном файле hosts необходимо оставить текстовую «шапку», расположенную в начале файла (строки, начинающиеся со знака #), а после «шапки» оставить только строку 127.0.0.1 localhost. Остальные строки необходимо удалить. Установите на этот файл атрибут «только для чтения». Проверьте еще следущие ветки реестра: HKEY_CLASSES_ROOT\exefile\shell\open\command и HKEY_CLASSES_ROOT\exefile\shell\runas\command По умолчанию должно быть "%1" %* Недавно я нашел еще одну ветку в реестре, где прописывается зловред. Можно также найти его, зайдя в Пуск\Панель управления\Адиминистрирование\Службы -- "Userinit". Конечно, любой знайющий компьютерщик знает, что такой службы конечно же в Виндовс никогда не было, просто хакеры замаскировали ее под профиль пользователя, кстати данный профиль, не смотря на странный путь, грузится из системной папки system32 и т.д. и его можно также найти через поиск. См. скриншот. Итак, заходим в реестр по адресу HKEY_LOCAL MACHINE\System\CurrentControlSet\Services Удаляем ветку => Userinit. Конечно нужно быть внимательным, поскольку служба и ветка реестра может иметь любое другое имя.
|
|
| |
compserv | Дата: Среда, 16.06.2010, 16:03 | Сообщение # 4 |
Генералиссимус
Группа: Администраторы
Сообщений: 35
Статус: Offline
| В сети появился еще один зловред. Тоже на рабочем столе порно баннер. Характерная черта -- если загрузится с LiveCD и зайти в реестр по адресу HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon, то прописаны примерно следущие ключи -- C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\HTb18gz.exe,\\?\globalroot\systemroot\system32\AAAE3Kh.exe, Explorer.exe rundll32.exe rjuq.mpo owbtiln. Безопасный режим не работает. Характерная черта: --- В диспетчере устройств один из процессов svchost грузит процессор на 100%. Способ удаления. Заружаемся с загрузочного диска LiveCD. Заходим в профиль пользователя в папку автозагрузки, ну например такой -- C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка. и также, не забываем проверить папку автозагрузки в "All Users" ---> C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка Удаляем файл под названием SISXVY32.exe. и на всякий, любые другие странные скрипты и программы. Далее заходим в редактор реестра, по адресу HKEY_LOCAL MACHINE\Software\Microsoft\Windows NT\currentVersion\ winlogon. Находим параметр userinit, в моем случае было прописано следущее: --> C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\HTb18gz.exe,\\?\globalroot\systemroot\system32\AAAE3 Kh.exe, . Открываем поиск и вписываем туда HTb18gz.exe -- все что поиск нашел удаляем. Открываем поиск и вписываем туда AAAE3Kh.exe --- все что поиск нашел удаляем. Очищаем линие записи в ветке, оставляя только C:\WINDOWS\system32\userinit.exe,. Находим параметр shell ( у второго клиента правда этот параметр был чист), в моем случае было следущее --> Explorer.exe rundll32.exe rjuq.mpo owbtiln. Забиваем в поиск rjuq.mpo, удаляем найденный файл и очищаем лишнюю запись реестра, оставляя только Explorer.exe. Для восстановления безопасного режима ХР, скачиваем и запускаем >>>ЭТОТ<<< рег-файл. Для восстановления безопасного режима Vista скачиваем и запускаем >>>ЭТОТ<<<рег-файл. Для восстановления безопасного режима Server 2003 скачиваем и запускаем >>>ЭТОТ<<<рег-файл. Перегружаем компьютер и наслаждаемся чистой системой. P.S. Вообще, при наличии любого намека на вирус, например при щелчке на какой-нибудь ссылке в IE, когда вылезает окошко типа -- Инструкция по адресу .... обратилась ... , и т.д., всегда проверяйте ветку реестра Winlogon -- большинство зловредов живет именно там.
|
|
| |
DalharOloth | Дата: Воскресенье, 04.07.2010, 14:21 | Сообщение # 5 |
Рядовой
Группа: Пользователи
Сообщений: 1
Статус: Offline
| Quote (compserv) В сети появился еще один зловред Огромнейшее спасибо! Специально зарегился на данном форуме, чтобы выразить Вам благодарность за огромную помощь! Комп подвисал капитально из-за этого "зловреда". Название файлов оказалось несколько иным, но суть та же: всё дико висло. Перепробовал кучу всякого и ничего не помогало. Переустановка винды - слишком гиморно, т.к. потом пришлось бы переустанавливать десятки программ. А тут пара ловких надрезов скальпелем и паразит удалён. )
|
|
| |
compserv | Дата: Понедельник, 05.07.2010, 22:10 | Сообщение # 6 |
Генералиссимус
Группа: Администраторы
Сообщений: 35
Статус: Offline
| Всегда рад услужить друзьям и коллегам . Не всегда хватает времени заниматься сайтом, но по мере возможностей буду делиться своим опытом работы.
|
|
| |
Улыбнуло))) | Дата: Воскресенье, 21.11.2010, 22:26 | Сообщение # 7 |
Рядовой
Группа: Пользователи
Сообщений: 2
Статус: Offline
| дополнение к выше сказанному - будет полезно!-безопасный режим -(если нет безопасный режим с командной строкой( введите explorer.exe)) 2. Нажимаете «Пуск» - «Выполнить» и вводите в окне команду «C:\WINDOWS\system32» 3. В меню окна открывшейся папки идете – «Сервис» - «Свойства папки» - «Вид» и в самом низу открывшегося списка опций ищете пункт - «Показывать скрытые файлы и папки», отмечаете его и нажимаете «ОК» (это для того, чтобы видеть все файлы, которые не нужны пользователю во время обычной эксплуатации компьютера). 4. Далее ищете в панели меню этого же окна папки кнопку «Поиск» и нажимаете ее. Слева у вас появляется окно (столбец) «помощника по поиску», в котором выбираете пункт «файлы и папки». В поле «часть имени файла или имя файла целиком» вводите - *.dll Далее выбираете пункт «Когда были произведены последние изменения» и указываете диапазон или дату того дня, который предшествовал старту компьютера с уже возникшей проблемой (обычно происходит инфицирование во время предыдущей вашей работы и потом, после включения, возникает проблема). То есть, если вы работали в первой половине дня и выключали компьютер, а затем вечером его включили и «обрадовались» то дату следует указывать текущего дня. Жмете кнопку «Найти» 5. Среди найденных файлов, а их будет немножко, и будет ваш файл-проблема. Если вы не устанавливали в эту дату никаких программ, то можете смело удалять все найденные фалы не разбираясь особенно – какой из них паразит (скорее всего там только парочка паразитов и будет), но если файлов много, то присмотритесь к ним, чтобы не удалить нужный системе. Анализировать их следует, прежде всего, по дате появления на вашем компьютере. А названия у них могут быть самые разные. Можете проверить таким же способом и не только файлы с расширением .dll, а вообще, с любым расширением, но это уже или для гурманов или для более сложных случаев, то есть - как сложится. После этого можете перезагружаться в обычном режиме и работать, не забыв опять спрятать скрытые файлы для вашего удобства. Потом уже можете думать об антивирусе и вообще делать выводы, так как у вас появится опыт. В особенно тяжелых случаях, не помогает даже безопасный режим - вирус появляется и там и не дает произвести необходимую процедуру действий. В этом случае, следует загрузить компьютер в режиме командной строки и очистить файлы *.dll требуемой даты в папке C:\WINDOWS\system32 руками в черном экране. Кто слаб в этом, но энергичен в действиях, может подключить свой диск слэйвом временно к другому компьютеру и произвести очистку своего диска с помощью операционной системы другого компьютера в той последовательности, что указана выше. Добавлено (21.11.2010, 22:26) --------------------------------------------- кстати- последнее время пользуюсь mini winda с флехи - быстро грузится шустро работает- я в восторге- много раз выручала при ремонте ос у клиентов - да реестр можно подгрузить ! в google поныряйте!
|
|
| |
compserv | Дата: Понедельник, 22.11.2010, 20:42 | Сообщение # 8 |
Генералиссимус
Группа: Администраторы
Сообщений: 35
Статус: Offline
| Quote 3. В меню окна открывшейся папки идете – «Сервис» - «Свойства папки» - «Вид» и в самом низу открывшегося списка опций ищете пункт - «Показывать скрытые файлы и папки», отмечаете его и нажимаете «ОК» (это для того, чтобы видеть все файлы, которые не нужны пользователю во время обычной эксплуатации компьютера). Тогда уж на всякий случай нужно снять галочку -- "Скрывать защищенные системные файлы", иначе можно не увидеть, если зловред например свои dll-ки сделал системными, например (attrib +h +s). А вообще, чтобы не терять лишнего времени лучше сразу загрузится с LiveCd или с флешки. По дате конечно можно отсортировать... только во-первых есть вирусня, которая дату "своего рождения" искустно прячет, ну а блокеры чаще вообще работают без dll-ок, просто тупо один файл екзешник. Я вообще в основном только пути автозагрузки чищу. Но такой способ тоже может пригодится.
|
|
| |
Улыбнуло))) | Дата: Вторник, 23.11.2010, 15:43 | Сообщение # 9 |
Рядовой
Группа: Пользователи
Сообщений: 2
Статус: Offline
| compserv- согласен с табой - но через сложности приходят знания -да с помощью мини винды можно 95% проблем решить! да винду сейчас с флехи устанавливаю на 30% быстрее чем с болвана, а с хорошей скоростной -типа кингстон - все 50%!
|
|
| |
|