Удаление PornoBlocker c компьютера

Увидел более умный блокер. Помимо того, что он заменяет explorer в реестре, он еще и userinit заменяет в папке с виндой. Благо, можно скопировать его с LiveCD

Если кто не знает, userinit на диске находится по пути: *LiveCD*\I386\SYSTEM32
Файл userinit.exe копируется в: Системный диск C:\WINDOWS\System32

Вирусы можно увидеть визуально, у них ярлык непонятный, цветной, обычно сиреневого цвета в разноцветную крапинку или полоску

Сегодня попался интересный блокер.
Сразу после включения компьютера вместо загрузки XP черный экран, на котором красными бувами написано что то типа
"За скачивание и распространении нелегального материала..итд, ваш компьтер заблокирован, если Вы в течении 5 часов не пополните счет xxxxxxx оператора MTC все данные будут уничтожены...
Поле ввода цифер"
Реакции на клавиши нет.

Проблема решилась неожиданно легко.

Загрузился с LiveCD win7 (раннее скачан с поста 112) с флешки запустил Kaspersky Virus Removal Tool 2010
(http://support.kasper...ol2010?level=2)
Установил на один из жёстких дисков и поставил галочки проверки всех носителей (кроме оптического привода).
После сканирования и удаления всей заразы (рекомендованные действия) винда загрузилась целой и невредимой, больше ничего делать не пришлось. Весь процесс занял около получаса.

Долго. Способ правки реестра занимает от 10 до 20 минут (в зависимости от быстродействия компа), со всеми перезагрузками.
Больше времени занимает загрузка/перезагрузка компа, чем сам процесс лечения.
Принцип действия практически вех блокировщиков один, записать себя вместо Explorer.exe. По параметру этого ключа и видно, где зловред живёт, там его и придушить сразу.

Там далеко не эксплорер.

Сам блокировщик - именно подмена эксплорера, насмотрелся я на эти надписи.
А то, что там ещё зараза сидела, это уже вопрос к установленному антивирусу.

Вирусописание на месте не стоит. Могли подменить или запускать совместно файл, прописанный в (как вариант) boot.ini, winlogon и т.д. Файлов много. Самые известные (explorer, userinit) мы знаем и умеем бороться. Что стоит написать новый вирус, который эти файлы и не затрагивает, но выдает финты по-круче?

TAPZAH
С liveCD заметил одну странность.
Открыв мк, помимо жестких дисков и оптических носителей висела папка boot с прог файлами. Особого внимания не уделил. После лечения она соответственно исчезла. Ещё интересная деталь. Картинка грузилась сразу, ещё до (вместо) винды. При нажатии Ctrl+Alt+Del - вылет в биос.

Возможно что то типа этого:
http://www.securitylab.ru/news/311373.php

Да уже давно написаны вирусы, не трогающие explorer.exe Воевал и с такими.. Правда последний зловред перехитрил, кроме userinit'a еще где то прописался и блокировал по прежнему запуск уже правильных файлов...

Зачем подменять критические файлы? И даже вносить в них изменения? Это может вызвать реакцию антивируса и не привести к задуманному эффекту. Гораздо проще и эффективней подменить запись в реестре (очень немногие антивирусы контролируют изменения реестра) безобидной картинкой просящей денех


Если мне не изменяет память то виртуальная папка boot создаётся самим LiveCD, после перезагрузки она соответственно исчезает.

Создаётся виртуальный носитель, возможно отобразился как папка. В принципе левая скрытая папка должна находится в корне одного из жёстких дисков, скорее всего системного.