Форум группы "Казань-Космопоиск"

Разное => Разное => Компьютерная тематика => Тема начата: nostromo от 07 Июнь 2011, 10:15

Название: Вирусология
Отправлено: nostromo от 07 Июнь 2011, 10:15
В последнее время частенько стали встречаться винлокеры. Вирусня, которая вымогает денежку. Как правило просят закинуть рублей 400-500 на какой-то номер (МТС, Билайн), а код разблокировки якобы получите в терминале оплаты :crazy: (синий такой баннер - это для справки).
НИ В КОЕМ СЛУЧАЕ НЕ ЗАКИДЫВАЙТЕ ДЕНЬГИ НИ НА КАКОЙ НОМЕР ВО ВСЕХ СЛУЧАЯХ!!!! Во всех случаях всё равно получите дырку от бублика, а не код разблокировки.
Чтоб избавится от этой заразы можно:
1. Обратится к знакомому компьютерщику.
2. Выковырять самостоятельно.
Первый случай понятен всем.
Для второго случая вам понадобятся пару дисков. Первый диск - LiveCD любой, с возможностью копировать файлы и редактировать реестр. Второй диск - диск с "чистой" виндой.
Грузимся с LiveCD. Лезем в реестр в ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon. Там нас интересует параметр Shell. В нем должно стоять значение Explorer.exe. Если что-то другое перепечатываем это на Explorer.exe. Прежде чем перепечатывать, посмотрите путь этой заразы, которая грузится вместо Explorer.exe. Зайдите по этому пути и пристрелите эту гадину :). В этой же ветке проверьте параметр Userinit, там должно быть значение C:\Windows\system32\userinit.exe, и ничего больше.
Дальше нам нужно поменять 2 файла в папке [буква вашего диска, где лежит винда:]WINDOWS\SYSTEM32\ на чистые. Файлы называются userinit.exe и taskmgr.exe. Эти же файлы нужно положить ещё и в папку %\WINDOWS\system32\dllcache. Эта папка скрытая, её нужно сделать видимой, чтоб поменять файлы.
Когда все действия будут произведены, можно перегружать кампутер.
Название: Re: Вирусология
Отправлено: Maks от 07 Июнь 2011, 17:49
еще как способ - это позвонить знакомому, у которого есть выход в инет (или с другого компа/ноута зайти). Нужно запомнить номер, на который предлагают отправить СМС, текст сообщения и ввести в генератор паролей на сайте Касперского (http://support.kaspersky.ru/viruses/deblocker) или Доктора веба (http://www.drweb.com/unlocker/index)
Название: Re: Вирусология
Отправлено: nostromo от 08 Июнь 2011, 10:31
Практика показывает, что коды именно к этой хрени не подходят. Быстрее и легче руками вынуть эту дрянь, тем более не так сложно. Вся процедура занимает минут 15-30, в зависимости от компа.
Название: Re: Вирусология
Отправлено: Ninon от 08 Июнь 2011, 13:25
Я просто загружаю комп в безопасном режиме, ставлю поиск файлов за определённый период времени, нахожу  и удаляю вирус.
Название: Re: Вирусология
Отправлено: Maria от 08 Июнь 2011, 15:57
В последнее время частенько стали встречаться винлокеры. Вирусня, которая вымогает денежку. Как правило просят закинуть рублей 400-500 на какой-то номер (МТС, Билайн), а код разблокировки якобы получите в терминале оплаты :crazy: (синий такой баннер - это для справки).
НИ В КОЕМ СЛУЧАЕ НЕ ЗАКИДЫВАЙТЕ ДЕНЬГИ НИ НА КАКОЙ НОМЕР ВО ВСЕХ СЛУЧАЯХ!!!! Во всех случаях всё равно получите дырку от бублика, а не код разблокировки.
Чтоб избавится от этой заразы можно:
1. Обратится к знакомому компьютерщику.
2. Выковырять самостоятельно.
Первый случай понятен всем.
Для второго случая вам понадобятся пару дисков. Первый диск - LiveCD любой, с возможностью копировать файлы и редактировать реестр. Второй диск - диск с "чистой" виндой.
Грузимся с LiveCD. Лезем в реестр в ветку HKLM\Software\Microsoft\WindowsNT\CurrentVersion\WinLogon. Там нас интересует параметр Shell. В нем должно стоять значение Explorer.exe. Если что-то другое перепечатываем это на Explorer.exe. Прежде чем перепечатывать, посмотрите путь этой заразы, которая грузится вместо Explorer.exe. Зайдите по этому пути и пристрелите эту гадину :). В этой же ветке проверьте параметр Userinit, там должно быть значение C:\Windows\system32\userinit.exe, и ничего больше.
Дальше нам нужно поменять 2 файла в папке [буква вашего диска, где лежит винда:]WINDOWS\SYSTEM32\ на чистые. Файлы называются userinit.exe и taskmgr.exe. Эти же файлы нужно положить ещё и в папку %\WINDOWS\system32\dllcache. Эта папка скрытая, её нужно сделать видимой, чтоб поменять файлы.
Когда все действия будут произведены, можно перегружать кампутер.

Спасибо за важную информацию!
Название: Re: Вирусология
Отправлено: nostromo от 08 Июнь 2011, 16:55
Я просто загружаю комп в безопасном режиме, ставлю поиск файлов за определённый период времени, нахожу  и удаляю вирус.
С этой "маркой" вируса это не прокатит. Потому как в безопасном режиме будешь точно так же лицезреть информацию о твоем долге заплатить Н-ную сумму за распространение какой-то там белеберды.
Более того, откат на более раннее состояние винды тоже ниче не дает, т.к. поганка заменяет нормальные файлы на свои и в резервных копиях.
Название: Re: Вирусология
Отправлено: Maks от 08 Июнь 2011, 17:23
Вирусы разные бывают, пишут их разные люди и процедура работы у них разная. Это я к тому, что универсального средства нет, но инфа твоя, nostro, оч полезная и действительно не так много времени затрачивается на это, правда надо обладать определенным "арсеналом". Случай был, у друга, баннер подобный грузился при запуске Оперы. Вредоносный код был в каком-то java-script файле, снес его и все нормально стало. :)
Название: Re: Вирусология
Отправлено: Ninon от 08 Июнь 2011, 18:20
Я просто загружаю комп в безопасном режиме, ставлю поиск файлов за определённый период времени, нахожу  и удаляю вирус.
С этой "маркой" вируса это не прокатит. Потому как в безопасном режиме будешь точно так же лицезреть информацию о твоем долге заплатить Н-ную сумму за распространение какой-то там белеберды.
Более того, откат на более раннее состояние винды тоже ниче не дает, т.к. поганка заменяет нормальные файлы на свои и в резервных копиях.
Для меня, как чайника, путь избавления от вируса сложноват. (((
Вирусы разные бывают, пишут их разные люди и процедура работы у них разная. Это я к тому, что универсального средства нет, но инфа твоя, nostro, оч полезная и действительно не так много времени затрачивается на это, правда надо обладать определенным "арсеналом". Случай был, у друга, баннер подобный грузился при запуске Оперы. Вредоносный код был в каком-то java-script файле, снес его и все нормально стало. :)
У меня самый первый вирус на домашнем компе занимал баннером полэкрана, когда я загружала Интернет Эксплорер. Удалила тем путем, как я описывала, потому что повторная перезагрузка другого браузера не помогла. Четыре дня тогда мучилась, не знала, что делать. :-[
Название: Re: Вирусология
Отправлено: Maks от 09 Июнь 2011, 12:15
Молодец, что нашла выход!)))
Название: Re: Вирусология
Отправлено: Ninon от 09 Июнь 2011, 18:04
Молодец, что нашла выход!)))
:-[ @}-->--
Название: Re: Вирусология
Отправлено: RedEyes от 20 Июль 2011, 13:32
Это всё цветочки :) А теперь ягодки:
сейчас есть зараза, которая правит boot раздел и загружается ДО Windows :) Последний раз када ковырялся, так и не решил проблему, но было довольно поздно... а так может и вышло б что...
Название: Re: Вирусология
Отправлено: nostromo от 20 Июль 2011, 17:05
Это всё цветочки :) А теперь ягодки:
сейчас есть зараза, которая правит boot раздел и загружается ДО Windows :) Последний раз када ковырялся, так и не решил проблему, но было довольно поздно... а так может и вышло б что...
AVZ решит проблему:).
Название: Re: Вирусология
Отправлено: RedEyes от 20 Июль 2011, 17:16
Ну, это отнюдь не самый простой способ, полагаю :)
Название: Re: Вирусология
Отправлено: Maks от 21 Июль 2011, 22:17
Самый простой способ выкинуть комп в окно :)
Название: Re: Вирусология
Отправлено: nostromo от 22 Июль 2011, 08:29
Самый простой способ выкинуть комп в окно :)
Ага, и кому-нить на голову, или ещё хуже на Бентли чё-нить.
Название: Re: Вирусология
Отправлено: RedEyes от 22 Июль 2011, 09:41
Самый простой способ выкинуть комп в окно :)
Боюсь, что столь радикальный метод решения проблемы придется не всем по душе :) Но я по долгу работы встречал тех, кто отправлял деньги и СМСки... а если код не приходил/не подходил, делали это еще раз :))
Название: Re: Вирусология
Отправлено: Ninon от 22 Июль 2011, 15:56
Это всё цветочки :) А теперь ягодки:
сейчас есть зараза, которая правит boot раздел и загружается ДО Windows :) Последний раз када ковырялся, так и не решил проблему, но было довольно поздно... а так может и вышло б что...
AVZ решит проблему:).
А он с антивирусниками не конфликтует?  ???
Название: Re: Вирусология
Отправлено: RedEyes от 22 Июль 2011, 16:47
Ну, антивирусы выключить надо просто, затем запустить обе службы AVZ (в сервисе есть), а потом копать-копать :)
Название: Re: Вирусология
Отправлено: nostromo от 22 Июль 2011, 16:53
AVZ решит проблему:).
А он с антивирусниками не конфликтует?  ???
Нет. Это довольно мощная утилита и работает так просто, без установки. Ею тока можно ковырять имея определенные навыки, или когда совсем ниче непонятно, но подозрения есть или вирус уже закрыл какие-то вещи (например редактор реестра не запускается или диспетчер задач не активная кнопка). При правильном применении он заблочит все работающие проги и затестит на наличие вирусни, даже неизвестной. В нем же есть и спицальные штучки, исправляющие ключи в реестре или сетевых настройках, ну, после того, как вирусня накосячила, он исправит.
Название: Re: Вирусология
Отправлено: Ninon от 22 Июль 2011, 19:33
Спасибо за ответ! @}-->--
Ну, поскольку я чайник, то работать пока с этой прогой не буду.  :)
Название: Re: Вирусология
Отправлено: Maks от 23 Июль 2011, 13:30
Цитировать
Ага, и кому-нить на голову, или ещё хуже на Бентли чё-нить.
Так ты с моста в реку! Хотя реке это явно не понравится  )D