Твой софтовый форум > Интернет > Безопасность в сети

Удаление PornoBlocker c компьютера

,

если вход в систему заблокирован, то...

Дата публикации: 04.06.2011 - 06:59
Pages: 1, 2, 3, 4, 5
TAPZAH
Увидел более умный блокер. Помимо того, что он заменяет explorer в реестре, он еще и userinit заменяет в папке с виндой. Благо, можно скопировать его с LiveCD

Если кто не знает, userinit на диске находится по пути: *LiveCD*\I386\SYSTEM32
Файл userinit.exe копируется в: Системный диск C:\WINDOWS\System32

Вирусы можно увидеть визуально, у них ярлык непонятный, цветной, обычно сиреневого цвета в разноцветную крапинку или полоску
mish-kok
Сегодня попался интересный блокер.
Сразу после включения компьютера вместо загрузки XP черный экран, на котором красными бувами написано что то типа
"За скачивание и распространении нелегального материала..итд, ваш компьтер заблокирован, если Вы в течении 5 часов не пополните счет xxxxxxx оператора MTC все данные будут уничтожены...
Поле ввода цифер"
Реакции на клавиши нет.

Проблема решилась неожиданно легко.

Загрузился с LiveCD win7 (раннее скачан с поста 112) с флешки запустил Kaspersky Virus Removal Tool 2010
(http://support.kasper...ol2010?level=2)
Установил на один из жёстких дисков и поставил галочки проверки всех носителей (кроме оптического привода).
После сканирования и удаления всей заразы (рекомендованные действия) винда загрузилась целой и невредимой, больше ничего делать не пришлось. Весь процесс занял около получаса.

kostya-chist
Цитата | Quote(mish-kok @ 1.06.2011 - 21:33)
Весь процесс занял около получаса.
*


Долго. Способ правки реестра занимает от 10 до 20 минут (в зависимости от быстродействия компа), со всеми перезагрузками.
Больше времени занимает загрузка/перезагрузка компа, чем сам процесс лечения.
Принцип действия практически вех блокировщиков один, записать себя вместо Explorer.exe. По параметру этого ключа и видно, где зловред живёт, там его и придушить сразу.
mish-kok
Цитата | Quote
Долго. Способ правки реестра занимает от 10 до 20 минут
Там далеко не эксплорер.
kostya-chist
Цитата | Quote(mish-kok @ 2.06.2011 - 5:46)
Там далеко не эксплорер.
*


Сам блокировщик - именно подмена эксплорера, насмотрелся я на эти надписи.
А то, что там ещё зараза сидела, это уже вопрос к установленному антивирусу.
TAPZAH
Вирусописание на месте не стоит. Могли подменить или запускать совместно файл, прописанный в (как вариант) boot.ini, winlogon и т.д. Файлов много. Самые известные (explorer, userinit) мы знаем и умеем бороться. Что стоит написать новый вирус, который эти файлы и не затрагивает, но выдает финты по-круче?
mish-kok
TAPZAH
С liveCD заметил одну странность.
Открыв мк, помимо жестких дисков и оптических носителей висела папка boot с прог файлами. Особого внимания не уделил. После лечения она соответственно исчезла. Ещё интересная деталь. Картинка грузилась сразу, ещё до (вместо) винды. При нажатии Ctrl+Alt+Del - вылет в биос.

Возможно что то типа этого:
http://www.securitylab.ru/news/311373.php
Nebel
Да уже давно написаны вирусы, не трогающие explorer.exe smile.gif Воевал и с такими.. Правда последний зловред перехитрил, кроме userinit'a еще где то прописался и блокировал по прежнему запуск уже правильных файлов...
kostya-chist
Цитата | Quote(TAPZAH @ 3.06.2011 - 0:25)
Вирусописание на месте не стоит. Могли подменить или запускать совместно файл, прописанный в (как вариант) boot.ini, winlogon и т.д. Файлов много. Самые известные (explorer, userinit) мы знаем и умеем бороться. Что стоит написать новый вирус, который эти файлы и не затрагивает, но выдает финты по-круче?
*


Зачем подменять критические файлы? И даже вносить в них изменения? Это может вызвать реакцию антивируса и не привести к задуманному эффекту. Гораздо проще и эффективней подменить запись в реестре (очень немногие антивирусы контролируют изменения реестра) безобидной картинкой просящей денех

Цитата | Quote(mish-kok @ 3.06.2011 - 7:45)
TAPZAH
С liveCD заметил одну странность.
Открыв мк, помимо жестких дисков и оптических носителей висела папка boot с прог файлами. Особого внимания не уделил. После лечения она соответственно исчезла. Ещё интересная деталь. Картинка грузилась сразу, ещё до (вместо) винды. При нажатии Ctrl+Alt+Del - вылет в биос.

Возможно что то типа этого:
http://www.securitylab.ru/news/311373.php
*


Если мне не изменяет память wink.gif то виртуальная папка boot создаётся самим LiveCD, после перезагрузки она соответственно исчезает.
mish-kok
Цитата | Quote
виртуальная папка boot создаётся самим LiveCD, после перезагрузки она соответственно исчезает.
Создаётся виртуальный носитель, возможно отобразился как папка. В принципе левая скрытая папка должна находится в корне одного из жёстких дисков, скорее всего системного.

Быстрый ответ:

 Включить смайлики |  Добавить подпись


Pages: 1, 2, 3, 4, 5


SoftoRooM.NeT lite версия, полная версия - здесь: Удаление PornoBlocker c компьютера
SoftoRooM.NeT © 2004-2020