Part!zan,
Надо тебе как-нибудь прислать ссылку на ресурс, где ты точно что-нибудь подцепишь.. Вот и будет чем заняться [Ответ]
Part!zan 17:59 17.08.2010
Teddybear, давай ) У меня ни разу подцепить не получалось. ( Трагедия. )))
[Ответ]
shuri 18:17 17.08.2010
Сообщение от Катя.: Teddybear,
Завтра иду к одной подруге.
Вин7. Порно баннер, который просит положить 400р на телефон и на чеке будет код разблокировки (ну они совсем уже обнаглели!).
Под семерку еще ни разу не приходилось лечить такое. Есть различия от ХР? Я простым autoruns и ERD comander обойдусь?
Угу, только потом советую пройтись cureit + утилитой от касперского + avast + антималварным софтом (что-то типа ad-aware) Если хочется быстро и руками,то uvs, gmer, avz, autoruns и process explore от руссиновича
[Ответ]
X0R 18:47 17.08.2010
Сообщение от Part!zan:
все усилия мелкософта с ее UAC - коту под хвост
уверен, что у дамочки он отключен, ну и к тому же надо все же хоть иногда думать перед тем как щелкнуть OK.
Сообщение от shuri:
uvs, gmer, avz, autoruns и process explore
рабочий стол может быть заблочен, придется с LiveCD работать.
[Ответ]
Катя. 19:57 17.08.2010
Сообщение от X0R:
уверен, что у дамочки он отключен
там сборка DNA. отключен-не отключен - даже смотреть не хотелось.
Сообщение от X0R:
придется с LiveCD работать.
Так. только так. Использую ERD commander в составе Alkid. Сегодня у меня на все-провсе ушло всего 5 минут. лечение - под спойлером.
зовут его win32.pornoblocker. чтобы избавиться от него, достаточно вернуть в реестре hklm\software\microsoft\windows nt\currentversion\
winlogon\shell дефолтовое значение (c:\windows\explorer.exe). потом с жесткого диска удалить сам файл вируса, который там был прописан. (на самом деле его даже вирусом с трудом назовешь.. так, программа-шутка).
Кстати, есть какие-нить более шустрые win pe? alkid ну просто дикий тормоз.
[Ответ]
Part!zan 21:21 17.08.2010
Сообщение от X0R:
рабочий стол может быть заблочен
Благодаря любезно предоставленному Катей образцу, я наконец-то столкнулся лицом к лицу с этим образчиком человеческой жадности. И придумал просто нереально гениальный способ избавиться от виря даже не перезагружая комп. (да, я скромный ))) Не знаю, сработает ли он на всех представителях семейства, но на этом - работает. Катя., я тебе в лс отписал, но и тут еще повторю: эта "шутка" портит параметры безопасного режима. Так что, ты комп недолечила. В реестре HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Saf eBoot\Minimal_ и HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Control\Saf eBoot\Network_ надо переименовать (убрать подчеркивания в конце). А еще он запрещает диспетчер задач. Ну и еще там кое какие приколы есть, но они безобидные.
[Ответ]
Teddybear 21:26 17.08.2010
Сообщение от Part!zan:
А еще он запрещает диспетчер задач
Teddybear, тупо запрещает, через политики. Тот же AVZ все восстановит или в реестре руками HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\system
[Ответ]
Я всегда возвращаю его ручками: пуск-выполнить-gpedit.msc; Конфигурация пользователя - Административные шаблоны - Система - Возможности Ctrl-Alt-Del. Дальше там все интуитивно понятно.
[Ответ]
Part!zan 21:56 17.08.2010
Сообщение от X0R:
уверен, что у дамочки он отключен
Не, там все проще... Приложение само просит разрешения запуститься от имени админа. Просто и со вкусом.
[Ответ]
X0R 22:26 17.08.2010
Сообщение от Катя.:
Кстати, есть какие-нить более шустрые win pe?
чистый EDR один из самых шустрых, юзаю только его.
Сообщение от Part!zan:
эта "шутка" портит параметры безопасного режима
можно так же через AVZ восстановить.
Сообщение от Part!zan:
Приложение само просит разрешения запуститься от имени админа. Просто и со вкусом.
Сообщение от X0R:
ну и к тому же надо все же хоть иногда думать перед тем как щелкнуть OK.
Сообщение от X0R:
чистый EDR один из самых шустрых
он по-моему в интернет выходить не умеет. в этот раз мне помогли virustotal.com, который рассказал как зовут супостата и yandex.ru, который рассказал что в реестре надо подправить.
[Ответ]
Part!zan 22:34 17.08.2010
Сообщение от X0R:
можно так же через AVZ восстановить
Если есть откуда восстановить, имхо, лучше воспользоваться этим. Там много чего, в этой ветке.
[Ответ]
X0R 22:40 17.08.2010
Сообщение от Катя.:
он по-моему в интернет выходить не умеет.
Хз, но у него перед появлением рабочего стола идет обнаружение и настройка сети.
Сообщение от Part!zan:
Если есть откуда восстановить, имхо, лучше воспользоваться этим. Там много чего, в этой ветке.
Файл - Восстановление системы - Восстановление параметров загрузки в SafeMode
[Ответ]
Катя. 22:47 17.08.2010
X0R, это он по локальной сети может лазить. браузера в нем нет.
[Ответ]
Part!zan 22:48 17.08.2010
X0R, я знаю, как пользоваться avz. Я говорил про случай, когда его, например, нет под рукой.
[Ответ]
shuri 22:51 17.08.2010
Сообщение от X0R:
рабочий стол может быть заблочен, придется с LiveCD работать.
а как ты его запустишь, если раб. стол заблокирован?
[Ответ]
Катя. 23:02 17.08.2010
Part!zan,
можно загрузиться с liveCD и добавить ее в автозагрузку (у меня при запуске она грохнула всё: аську, винамп, оперу. правда бвметр не тронула)
А вообще очень похоже что это программа для оффлайного лечения.
[Ответ]
shuri 23:15 17.08.2010
Сообщение от Part!zan:
а как ты его запустишь, если раб. стол заблокирован?
В архиве есть каталог DOC в нем описан упрощенный процесс выявления и удаления неизвестного вируса.
Файл "_Как быстро найти неизвестный вирус.txt".
В случае подозрения на присутствие неизвестного руткита стоит прочитать "_Удаление руткитов.txt"
приведенный в тексте метод выявляет любой руткит и те что есть и те что будут через год или два в т.ч. и под x64.
Основная же рекомендация - внимательно относиться к той информации что выдает uvs, утитилита не принимает каких-либо решений самостоятельно и не утверждает что какой-либо файл является зловредом на 100%. Все решения принимает оператор на основе своих знаний и опыта, от этого и зависит конечный алгоритм работы с uvs, каждый может выбрать свой метод удобный ему лично. Например можно сразу отсечь основную часть файлов просто нажав F6 и подождав 5 минут для массовой проверки ЭЦП затем скрыть все проверенное соотв. грыжиком, можно этого не делать, а сперва проверить кучку подозрительных, можно не делать и этого а сразу перейти к интересным категориям и изучать файлы в них. (в случае присутствия руткита рекомендуется сперва зачистить мелочевку потом перейти к самому руткиту, проверкой эцп в _активной системе_ выявить руткит не выйдет)
Есть еще и FAQ в котором тоже можно почерпнуть начальные навыки работы с программой.
Если интересует конкретно винлок, то поможет запуск Startf.exe, который безжалостно выгружает все лишние из памяти включая трояны (в т.ч. слабо скрытые процессы), вирусы, фаеры, антивирусы и прочий хлам не способный себя защитить, в простых же случаях достаточно startd.cmd который создаст чистый и защищенный рабочий стол.
Если окно на весь экран то поможет вставка специального CD - в дистрибутиве есть_autorun.zip в котором лежит инструкция по его изготовлению, можно вместо CD использовать флешку, можно делать мини-диски двойного назначения т.е. загрузочный + autorun.inf, что очень удобно.
Если же совсем ничего не помогает то CD/DVD можно сделать загрузочным на базе PE любой версии, а под PE лечится абсолютно все. (загрузка и проверка эцп возможна только под PE2 и старше, PE1.x нужно дорабатывать чтоб он мог работать с эцп)
Отличий в работе из под PE или активной системы нет соотв. отсылаю к тем же файлам. http://www.anti-malware.ru/pda/index...ic=11667&st=60
P.S. Это не панацея, но как один из "рабочих" инструментов неплох
[Ответ]
Катя. 23:27 17.08.2010
Сообщение от shuri:
Если окно на весь экран то поможет вставка специального CD - в дистрибутиве есть_autorun.zip в котором лежит инструкция по его изготовлению, можно вместо CD использовать флешку, можно делать мини-диски двойного назначения т.е. загрузочный + autorun.inf, что очень удобно.
Сообщение от Катя.:
можно загрузиться с liveCD и добавить ее в автозагрузку
А ты знаешь толк в извращениях... )
Сообщение от shuri:
Если окно на весь экран то поможет вставка специального CD
Такой вариант мне в голову приходил. Не поможет, если авторан отключен.
Кстати, вдруг кому пригодится... Если вам попался локер как на картинке, то код для него можно самому подобрать. Критерии простые:
8-значное число
цифра 1 !=0
цифра 2 м.б. ==0 если цифра 1 !=1
цифра 3 == цифра1+цифра2
цифры 4-8 - безразличны
Изображения
