8 (8453) 46-00-00
Помощь
Ведь не такой секрет откуда самая большая вероятность эту гадость можно поймать.Первые блокеры были примитивны и просто закрывали часть рабочего стола, побороть их можно было с заражённой "винды". Сейчас они блокируют абсолютно всё - какой-нибудь однотонный фон, а посередине надпись с телефоном и суммой. Поэтому предложу вариант как я поступаю.
Нужна любая LiveCD - хоть с диска, хоть с флешки, главное чтобы в ней был редактор реестра. Заходим в реестр, проходим по пути HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, если там имеется параметр Shell, то смело его удаляем, в нём обычно поселяется значение с путем к вирусу, заодно узнаете где он лежит
Там же есть параметр ParseAutoexec, в нём тоже прописывается путь к вирусу, также смело его удаляем. Далее переходим по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В параметре Userinit должно быть только C:\Windows\system32\userinit.exe, (смотря где у вас "винда" установлена), в параметре Shell должно быть explorer.exe. Так как мы уже знаем название того скаченного троянофайла, то ищем его клоны обычном поиском, соответсвенно их все удаляем. А вообще желательно проверить свеже скаченным CureIt'ом. Перезагружаемся и наслаждаемся Хотя разновидности разные, поэтому желательно в реестре проверить все пути поиском по winlogon и userinit.К сведению. На системе стоял Nod32 v4 с последними базами и он даже не пискнул, когда человек нарвался на блокер. Но когда я этот блокер скачал на флешку (коллекционирую их
), и вставил в комп с тем же нодом, то он сразу его удалил. А человек сидел через оперу. Вобщем не всегда антивирусы следят за вашими действиями в инете Не знаю помогают ли сейчас сервисы деактивации вымогателей-блокеров, я всегда их ручками удаляю, но ссылки вот:
http://support.kaspe...ruses/deblocker
http://www.drweb.com...r/index/?lng=ru
http://virusinfo.info/deblocker/
http://www.esetnod32...upport/winlock/
Так же отквочу старания Soft'а, хотя с новыми блокераторами это уже не прокатит, но может кто найдёт старые версии
Цитата
Решила жена книжечку из инета скачать, и вот оно - "Здрасьте. Теперь я у вас жить буду". До этого критерием уничтожения блокеров было время - быстро удалил - быстро удалился сам. В этом случае мне представлялась возможность поговорить с ним дооолгий разговор, благо ночь, пиво, и соответствующая картинка ))).
Выводы и истории:
1) Рекомендую любопытный, на мой взгляд, способ выгрузить из памяти блокер.
Как не трудно заметить зараза висит впереди (always on top) и ничего мимо себя из интересных ей событий не пропускает (хотя эт не совсем правда). Следует заметить, что не все события ей на самом деле "интересны" )))
И так - извращаемся мышой, тачпадом или клавой, но выполняем важное действие - открываем/создаем любой документ MS Office (Word, excel и т.д.) и вносим в него любое изменение.
Теперь спокойно и уверенно (но не настойчивее 2х секунд) нажимаем кнопку на системнике "power". Неожиданно???? ))) А вот и нет, все логично - блокер как бегущий впереди-паравоза, первым улавливает "всем в даун" и выгружается как законопослушное приложение....
А теперь в бой вступает изделие MS - у него то, не сохранен измененный документ! "Всем стоять!!!" орет он "Нельзя винду выгружать!!!!", а нам в лицо выплевывает окошко "дакамент сохраним или ну его нах?".
Итог - имеем включенный комп с выгруженным блокером.
2) сидел я и смотрел ему в лицо (лицо кстате было женского полу и лицо меня меньше всего то и волновало). Поиграем в ловкость рук????
нажимаем св. ctrl+alt+del - как то ничего не происходит (эт правда не самый распространенный случай) - точнее происходит .. и я даже успеваю увидеть как открывается и тут же закрывается TaskManager .... Хм
пуск -> выполнить -> regedit - та же картина
пуск -> выполнить -> cmd - та же картина
но я же успеваю увидеть окно прежде оно умирает ..... Плохо написанная прога - время от времени "смотрит" окна???? Проверяем - быстро-быстро делаем
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd.
ВИОЛА!!!! (Букина мл.) запустилось 5 окон. Последнее т.е. активное померло, а неактивные так и висят в фоне. Хм я начинаю переживать за наше будущее - если шороху наводят такие на-каленке-написанные блокеры, что же будет когда за дело возьмутся профи?!?! Ну да ладно. Значит блокер "смотрит" только активное окно - запоминаем.
Как удачно! на компе есть еще программа для "посмотреть убить процессы" (тотли process wathcer толи еще, что то в этом роде) - запускаем! упс - померла наша программа ... интересно - как блокер знал что это по его душу???
Пробуем запустить FAR!!! - работает!!! (ИМХО ФАР лучше чем виндовс!!!!! Тадам!!![ну и что что это разные вещи? )))]) а FAR?,то зачем??? как зачем? Мы хотим посмотреть, что же раздражает блокер настолько, что он убивает окошко .... В фаре создаем папку "process", заходим в нее и .... помер FAR (плакать не будем - запустим еще один). Итого-игого опыт показал, что умираются окна у которых в заголовке есть слово "process".
Что же делать? ... а вот чего - в плагине фара "process list" все сделано "по уму" (в фаре иначе и быть не должно) - есть языковой файлик far/plugins/proceng.lng и в нем записаны все диалоги. Все просто - автозаменой заменяем слово "process" на "proces" (не грамотно конечно, но что поделать - я с рождения неграмотный). Зато теперь после перезапуска фара он тоже становится неграмотным - спокойно запускается плагин F11 -> proclist и блокер его игнорирует )))) у автора видно было 5 по русскому (английскому) а вот по программированию явно не 5 ))). Вобщем, процесс опять убит)))
3) Убить блокер делом оказалось не сложным ... что бы такое что бы ууууухххх!!!!?????
В давние давние времена когда .... чой то я???? Аааа - про консоль ))) помнится где то выше нашли мы способ запустить cmd (пусть в фоне, но все же запустить).. Воспользуемся? отчего же нет?
пуск -> выполнить "reg export HKCU c:\ohlonom-1.txt" (2 раза - ибо один из них умрет). Опляля! у нас в фоне отработал экспорт ветки реестра "HKCU" ....
повторяем почти тоже
пуск -> выполнить "reg export HKLM c:\ohlonom-2.txt" (2 раза - одним по прежнему жертвуем). ветка "HKLM" наша!
пиво+чипсы+рок-н-рол и рассматриваем файлы которые у нас есть ..(прошло минут 20)... неудобно с этим блокером смотреть текстовые файлы (. Лезем в память (собсную) и шагаем смотреть HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (файлик c:\ohlonom-2.txt) так и есть - какая то срамота написана в параметре shell после explorer.exe ( т.е. explorer.exe blablabla.exe). вот оно где запускается ))))
в давние давние времена ... от блин ... опять консоль )))
выполняем
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /t REG_SZ /d rexplorer.exe /f (как и ранее 2 раза)
перегружаемся - упс - облом (
смотрим внимательнее - интересно интересно а у меня 2!!!! ветки HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon !!!!!!!
Как такое может быть? а просто вторая в конце имеет пробел (не в физиологическом, что можно подумать надувшись пивом и опять таки имея ))) перед носом картинку призывающую все бросить, а в самом обычно конкатенационном) о как!
вобщем делаем тоже самое только с пробелом после слова "Winlogon"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon " /v shell /t REG_SZ /d rexplorer.exe /f (как и ранее 2 раза)
перегружаемся и .... таки не запустился блокер ))))
Ладушки хватит - буквы заканчиваются )
P/S/ если боремся "вручную":
не забываем шорткаты - даже если ваше окно ЗА блокером и его не видно, то нажав alt а потом стрелку вниз попадаем в системное меню окна (можем выдвинуть из за блокера в видимую область)
для того чтообы увеличить видимую область залезаем в настройки монитора и увеличиваем разрешение рабочего стола.
и самое главное - что бы все получилось пьем пиво holsten!!! )))
Выводы и истории:
1) Рекомендую любопытный, на мой взгляд, способ выгрузить из памяти блокер.
Как не трудно заметить зараза висит впереди (always on top) и ничего мимо себя из интересных ей событий не пропускает (хотя эт не совсем правда). Следует заметить, что не все события ей на самом деле "интересны" )))
И так - извращаемся мышой, тачпадом или клавой, но выполняем важное действие - открываем/создаем любой документ MS Office (Word, excel и т.д.) и вносим в него любое изменение.
Теперь спокойно и уверенно (но не настойчивее 2х секунд) нажимаем кнопку на системнике "power". Неожиданно???? ))) А вот и нет, все логично - блокер как бегущий впереди-паравоза, первым улавливает "всем в даун" и выгружается как законопослушное приложение....
А теперь в бой вступает изделие MS - у него то, не сохранен измененный документ! "Всем стоять!!!" орет он "Нельзя винду выгружать!!!!", а нам в лицо выплевывает окошко "дакамент сохраним или ну его нах?".
Итог - имеем включенный комп с выгруженным блокером.
2) сидел я и смотрел ему в лицо (лицо кстате было женского полу и лицо меня меньше всего то и волновало). Поиграем в ловкость рук????
нажимаем св. ctrl+alt+del - как то ничего не происходит (эт правда не самый распространенный случай) - точнее происходит .. и я даже успеваю увидеть как открывается и тут же закрывается TaskManager .... Хм
пуск -> выполнить -> regedit - та же картина
пуск -> выполнить -> cmd - та же картина
но я же успеваю увидеть окно прежде оно умирает ..... Плохо написанная прога - время от времени "смотрит" окна???? Проверяем - быстро-быстро делаем
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd
пуск -> выполнить -> cmd.
ВИОЛА!!!! (Букина мл.) запустилось 5 окон. Последнее т.е. активное померло, а неактивные так и висят в фоне. Хм я начинаю переживать за наше будущее - если шороху наводят такие на-каленке-написанные блокеры, что же будет когда за дело возьмутся профи?!?! Ну да ладно. Значит блокер "смотрит" только активное окно - запоминаем.
Как удачно! на компе есть еще программа для "посмотреть убить процессы" (тотли process wathcer толи еще, что то в этом роде) - запускаем! упс - померла наша программа ... интересно - как блокер знал что это по его душу???
Пробуем запустить FAR!!! - работает!!! (ИМХО ФАР лучше чем виндовс!!!!! Тадам!!![ну и что что это разные вещи? )))]) а FAR?,то зачем??? как зачем? Мы хотим посмотреть, что же раздражает блокер настолько, что он убивает окошко .... В фаре создаем папку "process", заходим в нее и .... помер FAR (плакать не будем - запустим еще один). Итого-игого опыт показал, что умираются окна у которых в заголовке есть слово "process".
Что же делать? ... а вот чего - в плагине фара "process list" все сделано "по уму" (в фаре иначе и быть не должно) - есть языковой файлик far/plugins/proceng.lng и в нем записаны все диалоги. Все просто - автозаменой заменяем слово "process" на "proces" (не грамотно конечно, но что поделать - я с рождения неграмотный). Зато теперь после перезапуска фара он тоже становится неграмотным - спокойно запускается плагин F11 -> proclist и блокер его игнорирует )))) у автора видно было 5 по русскому (английскому) а вот по программированию явно не 5 ))). Вобщем, процесс опять убит)))
3) Убить блокер делом оказалось не сложным ... что бы такое что бы ууууухххх!!!!?????
В давние давние времена когда .... чой то я???? Аааа - про консоль ))) помнится где то выше нашли мы способ запустить cmd (пусть в фоне, но все же запустить).. Воспользуемся? отчего же нет?
пуск -> выполнить "reg export HKCU c:\ohlonom-1.txt" (2 раза - ибо один из них умрет). Опляля! у нас в фоне отработал экспорт ветки реестра "HKCU" ....
повторяем почти тоже
пуск -> выполнить "reg export HKLM c:\ohlonom-2.txt" (2 раза - одним по прежнему жертвуем). ветка "HKLM" наша!
пиво+чипсы+рок-н-рол и рассматриваем файлы которые у нас есть ..(прошло минут 20)... неудобно с этим блокером смотреть текстовые файлы (. Лезем в память (собсную) и шагаем смотреть HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (файлик c:\ohlonom-2.txt) так и есть - какая то срамота написана в параметре shell после explorer.exe ( т.е. explorer.exe blablabla.exe). вот оно где запускается ))))
в давние давние времена ... от блин ... опять консоль )))
выполняем
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /t REG_SZ /d rexplorer.exe /f (как и ранее 2 раза)
перегружаемся - упс - облом (
смотрим внимательнее - интересно интересно а у меня 2!!!! ветки HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon !!!!!!!
Как такое может быть? а просто вторая в конце имеет пробел (не в физиологическом, что можно подумать надувшись пивом и опять таки имея ))) перед носом картинку призывающую все бросить, а в самом обычно конкатенационном) о как!
вобщем делаем тоже самое только с пробелом после слова "Winlogon"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon " /v shell /t REG_SZ /d rexplorer.exe /f (как и ранее 2 раза)
перегружаемся и .... таки не запустился блокер ))))
Ладушки хватит - буквы заканчиваются )
P/S/ если боремся "вручную":
не забываем шорткаты - даже если ваше окно ЗА блокером и его не видно, то нажав alt а потом стрелку вниз попадаем в системное меню окна (можем выдвинуть из за блокера в видимую область)
для того чтообы увеличить видимую область залезаем в настройки монитора и увеличиваем разрешение рабочего стола.
и самое главное - что бы все получилось пьем пиво holsten!!! )))
Так же интересны и другие способы борьбы с блокераторами, а пока я буду дальше легально зарабатывать на их лечении
