day & night

Удаление PornoBlocker c компьютера, если вход в систему заблокирован, то...
Дата обновления: , перейти к новому сообщению
#1
mish-kok



профи!
[SoftoRooMTeaM] Group Icon

Группа: СуперМодераторы
Сообщений: 6.623
Регистрация: 30.11.2005
Из: Россия
Пользователь №: 34


Респектов: 3392
-----XXXXX




Удаление PornoBlocker c компьютера


Если компьютер заблокирован окном-вымогателем, а сайты антивирусов ничем помочь не смогли делаем - следующее:
Загружаем компьютер в Безопасном режиме
Видим черный экран с VGA-шным разрешением и в центре ненавистное окно вымогателя.
ЧТО ДЕЛАЕМ:
Зажимаем левой рукой клавиши Ctrl+Shift+Esc и не отпускаем!!!

На экране происходит быстрое переключение окна-вымогателя на окно Диспетчера задач Windows и обратно. (Видно, что Работает задача Form1, EXE, итд. - это и есть троян).

Не отпуская нажатые клавиши, наводим курсор мыши на нижнюю кнопку Снять задачу в периодически высвечиваемом Диспетчере задач Windows и начинаем кликать на эту кнопку левой кнопкой мыши. При разрешении 640x480 (БЕЗОПАСНЫЙ сценарий) практически сразу удается закрыть работу вируса.

Если курсор не двигается за пределы поля (в моём случае на XP вирус EXE) повторяем процедуру нажатия и пытаемся вывести курсор.

Окно вируса-вымогателя наконец-то исчезает, а на черном экране будет открыто окно Диспетчера задач Windows без активных задач.

Отпускаем зажатые клавиши и нажимаем в окне Диспетчера задач Windows кнопку Новая задача.
Открывается окно Создать новую задачу.

В поле ввода набираем: explorer.exe

Далее по обстоятельствам: Запускаем с внешнего носителя лечащую утилиту типа Virus Removal Tool 2010 или подобную, ищем зловреда, очищаем временные папки, сохраняем файлы итд..

Автор идеи Владимир Блохин

-----*-----

Унивесальное средство для удаления блокеров!
AntiWinLocker 3.x LiveCD RUS
тыкать сюда
User is offline
Go topGo end

Ответов(40 - 49)
23.05.2011 - 10:53
#41
TAPZAH



Специалист
****

Группа: Пользователи
Сообщений: 472
Регистрация: 22.10.2007
Из: Владимир
Пользователь №: 565.349


Респектов: 53
-----X----


Предупреждений:


Увидел более умный блокер. Помимо того, что он заменяет explorer в реестре, он еще и userinit заменяет в папке с виндой. Благо, можно скопировать его с LiveCD

Если кто не знает, userinit на диске находится по пути: *LiveCD*\I386\SYSTEM32
Файл userinit.exe копируется в: Системный диск C:\WINDOWS\System32

Вирусы можно увидеть визуально, у них ярлык непонятный, цветной, обычно сиреневого цвета в разноцветную крапинку или полоску
User is offline
Go topGo end
1.06.2011 - 21:33
#42
mish-kok



профи!
[SoftoRooMTeaM] Group Icon

Группа: СуперМодераторы
Сообщений: 6.623
Регистрация: 30.11.2005
Из: Россия
Пользователь №: 34


Респектов: 3392
-----XXXXX




Сегодня попался интересный блокер.
Сразу после включения компьютера вместо загрузки XP черный экран, на котором красными бувами написано что то типа
"За скачивание и распространении нелегального материала..итд, ваш компьтер заблокирован, если Вы в течении 5 часов не пополните счет xxxxxxx оператора MTC все данные будут уничтожены...
Поле ввода цифер"
Реакции на клавиши нет.

Проблема решилась неожиданно легко.

Загрузился с LiveCD win7 (раннее скачан с поста 112) с флешки запустил Kaspersky Virus Removal Tool 2010
(http://support.kasper...ol2010?level=2)
Установил на один из жёстких дисков и поставил галочки проверки всех носителей (кроме оптического привода).
После сканирования и удаления всей заразы (рекомендованные действия) винда загрузилась целой и невредимой, больше ничего делать не пришлось. Весь процесс занял около получаса.

User is offline
Go topGo end
1.06.2011 - 23:22
#43
kostya-chist



профи!
[SoftoRooMTeaM] Group Icon

Группа: Модераторы
Сообщений: 1.211
Регистрация: 20.04.2006
Из: Ростов Великий
Пользователь №: 152.532


Респектов: 192
-----X----




Цитата | Quote(mish-kok @ 1.06.2011 - 21:33)
Весь процесс занял около получаса.
*


Долго. Способ правки реестра занимает от 10 до 20 минут (в зависимости от быстродействия компа), со всеми перезагрузками.
Больше времени занимает загрузка/перезагрузка компа, чем сам процесс лечения.
Принцип действия практически вех блокировщиков один, записать себя вместо Explorer.exe. По параметру этого ключа и видно, где зловред живёт, там его и придушить сразу.
User is offline
Go topGo end
2.06.2011 - 5:46
#44
mish-kok



профи!
[SoftoRooMTeaM] Group Icon

Группа: СуперМодераторы
Сообщений: 6.623
Регистрация: 30.11.2005
Из: Россия
Пользователь №: 34


Респектов: 3392
-----XXXXX




Цитата | Quote
Долго. Способ правки реестра занимает от 10 до 20 минут
Там далеко не эксплорер.
User is offline
Go topGo end
2.06.2011 - 22:35
#45
kostya-chist



профи!
[SoftoRooMTeaM] Group Icon

Группа: Модераторы
Сообщений: 1.211
Регистрация: 20.04.2006
Из: Ростов Великий
Пользователь №: 152.532


Респектов: 192
-----X----




Цитата | Quote(mish-kok @ 2.06.2011 - 5:46)
Там далеко не эксплорер.
*


Сам блокировщик - именно подмена эксплорера, насмотрелся я на эти надписи.
А то, что там ещё зараза сидела, это уже вопрос к установленному антивирусу.
User is offline
Go topGo end
3.06.2011 - 0:25
#46
TAPZAH



Специалист
****

Группа: Пользователи
Сообщений: 472
Регистрация: 22.10.2007
Из: Владимир
Пользователь №: 565.349


Респектов: 53
-----X----


Предупреждений:


Вирусописание на месте не стоит. Могли подменить или запускать совместно файл, прописанный в (как вариант) boot.ini, winlogon и т.д. Файлов много. Самые известные (explorer, userinit) мы знаем и умеем бороться. Что стоит написать новый вирус, который эти файлы и не затрагивает, но выдает финты по-круче?
User is offline
Go topGo end
3.06.2011 - 7:45
#47
mish-kok



профи!
[SoftoRooMTeaM] Group Icon

Группа: СуперМодераторы
Сообщений: 6.623
Регистрация: 30.11.2005
Из: Россия
Пользователь №: 34


Респектов: 3392
-----XXXXX




TAPZAH
С liveCD заметил одну странность.
Открыв мк, помимо жестких дисков и оптических носителей висела папка boot с прог файлами. Особого внимания не уделил. После лечения она соответственно исчезла. Ещё интересная деталь. Картинка грузилась сразу, ещё до (вместо) винды. При нажатии Ctrl+Alt+Del - вылет в биос.

Возможно что то типа этого:
http://www.securitylab.ru/news/311373.php
User is offline
Go topGo end
3.06.2011 - 8:31
#48
Nebel



профи!
Group Icon

Группа: Наши Люди
Сообщений: 924
Регистрация: 20.12.2004
Из: Русь, Усманский уезд
Пользователь №: 3.183


Респектов: 338
-----XX---




Да уже давно написаны вирусы, не трогающие explorer.exe smile.gif Воевал и с такими.. Правда последний зловред перехитрил, кроме userinit'a еще где то прописался и блокировал по прежнему запуск уже правильных файлов...
User is offline
Go topGo end
3.06.2011 - 20:26
#49
kostya-chist



профи!
[SoftoRooMTeaM] Group Icon

Группа: Модераторы
Сообщений: 1.211
Регистрация: 20.04.2006
Из: Ростов Великий
Пользователь №: 152.532


Респектов: 192
-----X----




Цитата | Quote(TAPZAH @ 3.06.2011 - 0:25)
Вирусописание на месте не стоит. Могли подменить или запускать совместно файл, прописанный в (как вариант) boot.ini, winlogon и т.д. Файлов много. Самые известные (explorer, userinit) мы знаем и умеем бороться. Что стоит написать новый вирус, который эти файлы и не затрагивает, но выдает финты по-круче?
*


Зачем подменять критические файлы? И даже вносить в них изменения? Это может вызвать реакцию антивируса и не привести к задуманному эффекту. Гораздо проще и эффективней подменить запись в реестре (очень немногие антивирусы контролируют изменения реестра) безобидной картинкой просящей денех

Цитата | Quote(mish-kok @ 3.06.2011 - 7:45)
TAPZAH
С liveCD заметил одну странность.
Открыв мк, помимо жестких дисков и оптических носителей висела папка boot с прог файлами. Особого внимания не уделил. После лечения она соответственно исчезла. Ещё интересная деталь. Картинка грузилась сразу, ещё до (вместо) винды. При нажатии Ctrl+Alt+Del - вылет в биос.

Возможно что то типа этого:
http://www.securitylab.ru/news/311373.php
*


Если мне не изменяет память wink.gif то виртуальная папка boot создаётся самим LiveCD, после перезагрузки она соответственно исчезает.
User is offline
Go topGo end
4.06.2011 - 6:59
#50
mish-kok



профи!
[SoftoRooMTeaM] Group Icon

Группа: СуперМодераторы
Сообщений: 6.623
Регистрация: 30.11.2005
Из: Россия
Пользователь №: 34


Респектов: 3392
-----XXXXX




Цитата | Quote
виртуальная папка boot создаётся самим LiveCD, после перезагрузки она соответственно исчезает.
Создаётся виртуальный носитель, возможно отобразился как папка. В принципе левая скрытая папка должна находится в корне одного из жёстких дисков, скорее всего системного.

User is offline
Go topGo end

Topic Options
task
Сейчас: 29.03.2024 - 16:10
Мобильная версия | Lite версия