Уважаемые посетители! Форум доступен в режиме чтения. Общение возможно в нашей группе "В контакте" Казань-Космопоиск

Вирусология

Автор Тема: Вирусология  (Прочитано 10516 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн nostromo

  • Модератор раздела
  • Ветеран
  • *****
  • Сообщений: 1458
    • Просмотр профиля
Вирусология
« : 07 Июнь 2011, 10:15 »
В последнее время частенько стали встречаться винлокеры. Вирусня, которая вымогает денежку. Как правило просят закинуть рублей 400-500 на какой-то номер (МТС, Билайн), а код разблокировки якобы получите в терминале оплаты :crazy: (синий такой баннер - это для справки).
НИ В КОЕМ СЛУЧАЕ НЕ ЗАКИДЫВАЙТЕ ДЕНЬГИ НИ НА КАКОЙ НОМЕР ВО ВСЕХ СЛУЧАЯХ!!!! Во всех случаях всё равно получите дырку от бублика, а не код разблокировки.
Чтоб избавится от этой заразы можно:
1. Обратится к знакомому компьютерщику.
2. Выковырять самостоятельно.
Первый случай понятен всем.
Для второго случая вам понадобятся пару дисков. Первый диск - LiveCD любой, с возможностью копировать файлы и редактировать реестр. Второй диск - диск с "чистой" виндой.
Грузимся с LiveCD. Лезем в реестр в ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon. Там нас интересует параметр Shell. В нем должно стоять значение Explorer.exe. Если что-то другое перепечатываем это на Explorer.exe. Прежде чем перепечатывать, посмотрите путь этой заразы, которая грузится вместо Explorer.exe. Зайдите по этому пути и пристрелите эту гадину :). В этой же ветке проверьте параметр Userinit, там должно быть значение C:\Windows\system32\userinit.exe, и ничего больше.
Дальше нам нужно поменять 2 файла в папке [буква вашего диска, где лежит винда:]WINDOWS\SYSTEM32\ на чистые. Файлы называются userinit.exe и taskmgr.exe. Эти же файлы нужно положить ещё и в папку %\WINDOWS\system32\dllcache. Эта папка скрытая, её нужно сделать видимой, чтоб поменять файлы.
Когда все действия будут произведены, можно перегружать кампутер.

Оффлайн Maks

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 4369
    • Просмотр профиля
Re: Вирусология
« Ответ #1 : 07 Июнь 2011, 17:49 »
еще как способ - это позвонить знакомому, у которого есть выход в инет (или с другого компа/ноута зайти). Нужно запомнить номер, на который предлагают отправить СМС, текст сообщения и ввести в генератор паролей на сайте Касперского (http://support.kaspersky.ru/viruses/deblocker) или Доктора веба (http://www.drweb.com/unlocker/index)

Оффлайн nostromo

  • Модератор раздела
  • Ветеран
  • *****
  • Сообщений: 1458
    • Просмотр профиля
Re: Вирусология
« Ответ #2 : 08 Июнь 2011, 10:31 »
Практика показывает, что коды именно к этой хрени не подходят. Быстрее и легче руками вынуть эту дрянь, тем более не так сложно. Вся процедура занимает минут 15-30, в зависимости от компа.

Оффлайн Ninon

  • Почти Ветеран
  • *
  • Сообщений: 518
    • Просмотр профиля
Re: Вирусология
« Ответ #3 : 08 Июнь 2011, 13:25 »
Я просто загружаю комп в безопасном режиме, ставлю поиск файлов за определённый период времени, нахожу  и удаляю вирус.
Нужно искать и находить необычное в обычных вещах

Оффлайн Maria

  • Модератор форума
  • Ветеран
  • *****
  • Сообщений: 4891
    • Просмотр профиля
Re: Вирусология
« Ответ #4 : 08 Июнь 2011, 15:57 »
В последнее время частенько стали встречаться винлокеры. Вирусня, которая вымогает денежку. Как правило просят закинуть рублей 400-500 на какой-то номер (МТС, Билайн), а код разблокировки якобы получите в терминале оплаты :crazy: (синий такой баннер - это для справки).
НИ В КОЕМ СЛУЧАЕ НЕ ЗАКИДЫВАЙТЕ ДЕНЬГИ НИ НА КАКОЙ НОМЕР ВО ВСЕХ СЛУЧАЯХ!!!! Во всех случаях всё равно получите дырку от бублика, а не код разблокировки.
Чтоб избавится от этой заразы можно:
1. Обратится к знакомому компьютерщику.
2. Выковырять самостоятельно.
Первый случай понятен всем.
Для второго случая вам понадобятся пару дисков. Первый диск - LiveCD любой, с возможностью копировать файлы и редактировать реестр. Второй диск - диск с "чистой" виндой.
Грузимся с LiveCD. Лезем в реестр в ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon. Там нас интересует параметр Shell. В нем должно стоять значение Explorer.exe. Если что-то другое перепечатываем это на Explorer.exe. Прежде чем перепечатывать, посмотрите путь этой заразы, которая грузится вместо Explorer.exe. Зайдите по этому пути и пристрелите эту гадину :). В этой же ветке проверьте параметр Userinit, там должно быть значение C:\Windows\system32\userinit.exe, и ничего больше.
Дальше нам нужно поменять 2 файла в папке [буква вашего диска, где лежит винда:]WINDOWS\SYSTEM32\ на чистые. Файлы называются userinit.exe и taskmgr.exe. Эти же файлы нужно положить ещё и в папку %\WINDOWS\system32\dllcache. Эта папка скрытая, её нужно сделать видимой, чтоб поменять файлы.
Когда все действия будут произведены, можно перегружать кампутер.

Спасибо за важную информацию!
.........

Оффлайн nostromo

  • Модератор раздела
  • Ветеран
  • *****
  • Сообщений: 1458
    • Просмотр профиля
Re: Вирусология
« Ответ #5 : 08 Июнь 2011, 16:55 »
Я просто загружаю комп в безопасном режиме, ставлю поиск файлов за определённый период времени, нахожу  и удаляю вирус.
С этой "маркой" вируса это не прокатит. Потому как в безопасном режиме будешь точно так же лицезреть информацию о твоем долге заплатить Н-ную сумму за распространение какой-то там белеберды.
Более того, откат на более раннее состояние винды тоже ниче не дает, т.к. поганка заменяет нормальные файлы на свои и в резервных копиях.

Оффлайн Maks

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 4369
    • Просмотр профиля
Re: Вирусология
« Ответ #6 : 08 Июнь 2011, 17:23 »
Вирусы разные бывают, пишут их разные люди и процедура работы у них разная. Это я к тому, что универсального средства нет, но инфа твоя, nostro, оч полезная и действительно не так много времени затрачивается на это, правда надо обладать определенным "арсеналом". Случай был, у друга, баннер подобный грузился при запуске Оперы. Вредоносный код был в каком-то java-script файле, снес его и все нормально стало. :)

Оффлайн Ninon

  • Почти Ветеран
  • *
  • Сообщений: 518
    • Просмотр профиля
Re: Вирусология
« Ответ #7 : 08 Июнь 2011, 18:20 »
Я просто загружаю комп в безопасном режиме, ставлю поиск файлов за определённый период времени, нахожу  и удаляю вирус.
С этой "маркой" вируса это не прокатит. Потому как в безопасном режиме будешь точно так же лицезреть информацию о твоем долге заплатить Н-ную сумму за распространение какой-то там белеберды.
Более того, откат на более раннее состояние винды тоже ниче не дает, т.к. поганка заменяет нормальные файлы на свои и в резервных копиях.
Для меня, как чайника, путь избавления от вируса сложноват. (((
Вирусы разные бывают, пишут их разные люди и процедура работы у них разная. Это я к тому, что универсального средства нет, но инфа твоя, nostro, оч полезная и действительно не так много времени затрачивается на это, правда надо обладать определенным "арсеналом". Случай был, у друга, баннер подобный грузился при запуске Оперы. Вредоносный код был в каком-то java-script файле, снес его и все нормально стало. :)
У меня самый первый вирус на домашнем компе занимал баннером полэкрана, когда я загружала Интернет Эксплорер. Удалила тем путем, как я описывала, потому что повторная перезагрузка другого браузера не помогла. Четыре дня тогда мучилась, не знала, что делать. :-[
Нужно искать и находить необычное в обычных вещах

Оффлайн Maks

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 4369
    • Просмотр профиля
Re: Вирусология
« Ответ #8 : 09 Июнь 2011, 12:15 »
Молодец, что нашла выход!)))

Оффлайн Ninon

  • Почти Ветеран
  • *
  • Сообщений: 518
    • Просмотр профиля
Re: Вирусология
« Ответ #9 : 09 Июнь 2011, 18:04 »
Молодец, что нашла выход!)))
:-[ @}-->--
Нужно искать и находить необычное в обычных вещах

Оффлайн RedEyes

  • Участник
  • **
  • Сообщений: 67
    • Просмотр профиля
Re: Вирусология
« Ответ #10 : 20 Июль 2011, 13:32 »
Это всё цветочки :) А теперь ягодки:
сейчас есть зараза, которая правит boot раздел и загружается ДО Windows :) Последний раз када ковырялся, так и не решил проблему, но было довольно поздно... а так может и вышло б что...
Не ошибается тот, кто ничего не делает.

Оффлайн nostromo

  • Модератор раздела
  • Ветеран
  • *****
  • Сообщений: 1458
    • Просмотр профиля
Re: Вирусология
« Ответ #11 : 20 Июль 2011, 17:05 »
Это всё цветочки :) А теперь ягодки:
сейчас есть зараза, которая правит boot раздел и загружается ДО Windows :) Последний раз када ковырялся, так и не решил проблему, но было довольно поздно... а так может и вышло б что...
AVZ решит проблему:).

Оффлайн RedEyes

  • Участник
  • **
  • Сообщений: 67
    • Просмотр профиля
Re: Вирусология
« Ответ #12 : 20 Июль 2011, 17:16 »
Ну, это отнюдь не самый простой способ, полагаю :)
Не ошибается тот, кто ничего не делает.

Оффлайн Maks

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 4369
    • Просмотр профиля
Re: Вирусология
« Ответ #13 : 21 Июль 2011, 22:17 »
Самый простой способ выкинуть комп в окно :)

Оффлайн nostromo

  • Модератор раздела
  • Ветеран
  • *****
  • Сообщений: 1458
    • Просмотр профиля
Re: Вирусология
« Ответ #14 : 22 Июль 2011, 08:29 »
Самый простой способ выкинуть комп в окно :)
Ага, и кому-нить на голову, или ещё хуже на Бентли чё-нить.