компьютерный форум
Вернуться   Компьютерный форум > Компьютерный форум > Операционные системы и ПО > Защита от вирусов

Ответ
 
LinkBack Опции темы Опции просмотра
Старый 02.03.2011, 15:14   #1
Пользователи
 
Аватар для Sultan
 
Регистрация: 03.12.2004
Сообщений: 786
Thumbs down

Доброго всем.
Вирус вымогатель.
В последнее время очень часто сталкиваюсь с подобными вирусами, и все реже получается избавится от него введя код с официальных сайтов антивирусных программ. Не всегда проходят они по какой то причине и все тут.
Так же в последнее время вирус прописывается и при загрузке винды в безопасном режиме, что по сути не дает шансов его убить! Конечно если у вас нет загрузочного диска LiveCD.
И так, поехали:

При загрузке системы жмём F8, на чёрном экране нам предлагают варианты загрузки системы:

Безопасный режим
Безопасный режим с загрузкой сетевых драйверов
Безопасный режим с поддержкой командной строки
Включить протоколирование загрузки
Включить режим VGA
Загрузка последней удачной конфигурации
Восстановление службы каталогов
Режим отладки


Выбираем Безопасный режим с поддержкой командной строки и пробуем запустить редактор реестра, прописав в командной строке regedit. Редактор реестра запустился, начинаем просматривать ключи реестра, отвечающие за автозагрузку windows. Основные ключи, по которым загружается вирус лежат вот в этих разделах реестра.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon


В разделе HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionWinlogon также содержится ряд строковых параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:


Userinit - определяет список программ, запускаемых процессом WinLogon в контексте пользователя при его регистрации в системе. По умолчанию это userinit.exe, nddeagnt.exe для Windows NT и userinit.exe для Windows 2000 / XP.
Shell - задает оболочку (вернее, список программ, формирующих пользовательский интерфейс) Windows (по умолчанию taskman, progman, wowexec для Windows NT и explorer.exe для Windows 2000 / XP).
System - определяет список программ, запускаемых процессом WinLogon в контексте системы во время ее инициализации. По умолчанию - lsass.exe, spoolss.exe для Windows NT и lsass.exe для Windows 2000 / XP.
VmApplet - определяет список программ или программу, запускаемую процессом WinLogon для оперативной настройки параметров виртуальной памяти - по умолчанию его значение rundll32 shell32, Control_ RunDLL «sysdm.cpl».

Так как программное обеспечение на всех машинах стоит разное, то и составляющие параметры автозагрузки у всех пользователей будут соответственно разными, так что сами смотрите какие у кого стоят программы и решайте какой ключ может вести к вирусу.

Как пример приведу следующее, стандартное значение параметра Userinit, как было написано выше, C:WINDOWSsystem32userinit.exe, но вместо этого значения было C:WINDOWSsystem32userinit.exe,Cocuments_and_Sett ingsAll_UsersApplication Datalocker.exe. То есть значение параметра было изменено и теперь запускается, ещё какой то не известный исполняемый файл blocker.exe. Изменяем этот параметр к стандартному виду C:WINDOWSsystem32userinit.exe,.



Так как мы удали только автозапуск вируса, а не сам вирус неплохо было бы удалить и сам exe файл, для этого закрываем редактор реестра, в командной строке вводим команду explorer, тем самым запуская проводник. Так как вирус может прописаться в системных папках и файлах необходимо сделать следующее. В проводнике выбрать меню Сервис - Свойства папки - Вид, в появившемся окне убираем галочку скрывать защищённые системные файлы, ставим галочку напротив показывать скрытые файлы и папки.



Далее по пути на который ссылался ключ реестра находим вирус в нашем примере это был путь Cocuments and SettingsAll UsersApplication Datalocker.exe и удаляем этот вирус, с ним в паре был файл blocker.ini, который так же подлежит удалению.

Способ действенный и проверенный!!! (с)

От себя: Я чаще встречал на практике, что в значении параметра Shell в место Explorer.exe прописан путь загрузки этого баннера (обычно из папки файлов интернета). Прописываем правильное значение Explorer.exe, а по пути указанному ранее идем и удаляем папку с вирусом. НО, на этом еще не все! Рекомендую заранее на незараженном компьютере скачать утилитки Dr.Web CureIt!, ATF Cleaner и записываем на диск (именно записать, для того, что бы вирус не мог изменить софт). Загрузится в Безопасном режиме, запустить Dr.Web CureIt!, идем в настройки – изменить настройки – типы файлов – отмечаем сканировать все файлы, файлы в архивах, далее вкладка действия - меняем параметр инфицированные - лечить, неизлечимые - удалить. Там же снимаем галочку с запроса подтверждения. Жмем ок и запускаем полную проверку. Ждем.
По окончании работы Dr.Web CureIt! запускаем утилиту ATF-Cleaner, ставим все галочки (или жмем Select All), а затем “Empty Selected” (очистить).
Перезагружаемся в обычном режиме, обновляем антивирус. Все.




Sultan вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
02.03.2011, 15:14
Техник
реклама
Thumbs down

Старый 09.03.2011, 18:34   #2
Пользователи
 
Аватар для Sultan
 
Регистрация: 03.12.2004
Сообщений: 786
По умолчанию

кому нибудь надеюсь помог? :unsure:
Sultan вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 09.03.2011, 20:58   #3
PRO-двинутые пользователи
 
Регистрация: 06.04.2004
Сообщений: 3,788
По умолчанию

Наверняка помог Другое дело что не все пишут, многие только читают.
Imperio вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 21.07.2011, 05:36   #4
Пользователи
 
Аватар для LOKER
 
Регистрация: 23.07.2005
Сообщений: 183
По умолчанию

Цитата:
Наверняка помог Другое дело что не все пишут, многие только читают.
а как же...
у меня дружбан есть, так он свой комп от вирусов не лечит... сносит систему, форматирует хард и набивает комп прогами по новой... каждый раз удивляюсь его терпению, видя его за этим занятием
LOKER вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 21.07.2011, 15:17   #5
Пользователи
 
Аватар для masjava
 
Регистрация: 26.08.2006
Сообщений: 1,254
По умолчанию

А чего терпеть и восстанавливать по новой, если можно сделать образ системы со всеми установленными программами и загружать уже его?
__________________
А кто соскучился?! Ну-ка выходи из сумрака!!! (:
masjava вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 21.07.2011, 16:20   #6
PRO-двинутые пользователи
 
Регистрация: 03.07.2005
Сообщений: 2,025
По умолчанию

Цитата:
А чего терпеть и восстанавливать по новой, если можно сделать образ системы со всеми установленными программами и загружать уже его?
а так не интересно, где соучастие в беде с компьютером, где же морально-нравственные страдания
Danil3001 вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 25.07.2011, 12:03   #7
PRO-двинутые пользователи
 
Регистрация: 09.07.2007
Сообщений: 171
По умолчанию

В принципе CureIt можно и на флеху закатать. У них сейчас там режим усиленной защиты есть. Он блокирует всё кроме сканера своего. Да и подцепить винлокер вместе с авторанером очень маловероятно. (по крайней мере я не сталкивался)
(p.s. можно и из под livecd запускать cureit или сразу веберовский livecd скачать, там сразу сканер есть, но устаревает быстро)
RussDrakon вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 25.07.2011, 12:53   #8
Пользователи
 
Аватар для LOKER
 
Регистрация: 23.07.2005
Сообщений: 183
По умолчанию

Цитата:
а так не интересно, где соучастие в беде с компьютером, где же морально-нравственные страдания
мне хватило одного раза подхватить в 90-х годах OneHalf3544, так теперь осторожен...
к сносу системы, как средству решения проблемы излечения от тараканов в компе отношусь весьма отрицательно...
:nono:
LOKER вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 17.01.2012, 17:30   #9
Пользователи
 
Регистрация: 03.03.2005
Адрес: Киев
Сообщений: 581
По умолчанию

Восстановить из образа не проблема. У вас есть гарантии что образ не заражен?
CyberCop вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Старый 18.01.2012, 15:50   #10
Пользователи
 
Регистрация: 24.02.2010
Сообщений: 179
По умолчанию

Цитата:
Сообщение от LOKER Посмотреть сообщение
а как же...
у меня дружбан есть, так он свой комп от вирусов не лечит... сносит систему, форматирует хард и набивает комп прогами по новой... каждый раз удивляюсь его терпению, видя его за этим занятием
Постите,правильно делает(моё убеждение)Три недели "подменял"файлы ,пока "Каспера"скачал;записал;установил................. ..ну сами понимаете"канитель"3 недели или 1(один)час на установку,разница ощутима,я понимаю "Сервак"или "ключи"боязно потерять.Или "Продвинутый и "Каспер"лежит на полке,тогда другое дело,а нам(я не знал что за "чудо"(узеринит ехе),и "Каспера"искал по чужим людям.Как быть таким?Я в итоге восстановил(интерес кто-кого)но нервов потратил............так что прав Ваш друган.
Yura-Khusnet вне форума  
Digg this Post!Bookmark Post in Technorati
Ответить с цитированием
Ответ


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 01:41. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2