Удаление PornoBlocker c компьютера

mish-kok, 13.01.2011 - 2:12

Если компьютер заблокирован окном-вымогателем, а сайты антивирусов ничем помочь не смогли делаем - следующее:
Загружаем компьютер в Безопасном режиме
Видим черный экран с VGA-шным разрешением и в центре ненавистное окно вымогателя.
ЧТО ДЕЛАЕМ:
Зажимаем левой рукой клавиши Ctrl+Shift+Esc и не отпускаем!!!

На экране происходит быстрое переключение окна-вымогателя на окно Диспетчера задач Windows и обратно. (Видно, что Работает задача Form1, EXE, итд. - это и есть троян).

Не отпуская нажатые клавиши, наводим курсор мыши на нижнюю кнопку Снять задачу в периодически высвечиваемом Диспетчере задач Windows и начинаем кликать на эту кнопку левой кнопкой мыши. При разрешении 640x480 (БЕЗОПАСНЫЙ сценарий) практически сразу удается закрыть работу вируса.

Если курсор не двигается за пределы поля (в моём случае на XP вирус EXE) повторяем процедуру нажатия и пытаемся вывести курсор.

Окно вируса-вымогателя наконец-то исчезает, а на черном экране будет открыто окно Диспетчера задач Windows без активных задач.

Отпускаем зажатые клавиши и нажимаем в окне Диспетчера задач Windows кнопку Новая задача.
Открывается окно Создать новую задачу.

В поле ввода набираем: explorer.exe

Далее по обстоятельствам: Запускаем с внешнего носителя лечащую утилиту типа Virus Removal Tool 2010 или подобную, ищем зловреда, очищаем временные папки, сохраняем файлы итд..

Автор идеи Владимир Блохин

HugoBo-SS, 13.01.2011 - 4:28

А можно так:
1. запустить по Ctrl+Alt+Del диспетчер задач; причем необязательно в безопасном режиме.
2. запустить задачу regedit.
3. найти по ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ключ Shell и изменить его значение на explorer.exe.
Предыдущее значение является файлом вируса с путем
4. После в комфортных условиях ищем остатки трупа вируса любимыми и не очень антивирусами

Вчера как раз у приятеля разблокировал голый рабочий стол

Syrax, 13.01.2011 - 6:14

Так лечится только небольшая часть "легких" баннеров, многие из них наглухо блокируют систему и раб. стол после экрана приветствия. На манипуляции с комбинациями кнопок кейборда не реагируют совсем. Поэтому диспечера нет, по реестру в поисках Shell команд тоже не порыскать.

Безопасный режим тоже не вариант, иногда пмогает перевод даты в биосе на год вперед (затем при нажании на кнопку банера он самоликвидируется), либо грузиться с live CD и проводить поиски зловреда вручную.

dodik, 13.01.2011 - 8:16

Кроме shell еще надо часто править userinit.Иногда этих обоих ключей просто нет!Вобщем зачем то же инопланетяне подарили людям erd comander!По сабжу то что надо.

Котенка, 13.01.2011 - 11:43

Такие экраны переодически появляются у друзей, обычно избавляемся при помощи кодов с сайта Webа и удалением файла в ручную
__http://www.drweb.com/.../index/?lng=ru такое есть еще на сайте касперского вроде, но сама не видела

Syrax, 13.01.2011 - 14:31

Да у касперского тоже есть называется Deblocker:

http://support.kasper...uses/deblocker

Описание:

http://support.kasper...?qid=208638485

TAPZAH, 13.01.2011 - 16:13

У клиента был баннер, который блокировал клавиатуру и мышь. Можно было ввести только цифры для кода.

Я заметил, что этот баннер немного опаздывает при включении, а при выключении - одним из первых отключается. Вот!

Нажал кнопку выключения и в момент, когда исчез баннер, нажал Pause Break и завершение работы приостановилось. Получилось: почти рабочая винда (часть стандартных приложений и служб закрылись). После этого проверил Касперским и почистил комп от остатков вируса.

Traytor, 13.01.2011 - 18:23

Такое же было у знакомого на ноуте, или похожее, я не успел увидеть. Просили 400 р на билайн. Я попал к нему спустя 2 дня, всё это время ноут лежал на шкафу с вытянутой батареей.
Вставил батарею, включил - норм. рабочий стол, блокер как-то самоиспарился. Т.к. система уже давно требовала переустановки, мудрить не стал.

HugoBo-SS, 13.01.2011 - 18:44

основной вывод: не будьте беспечными при серфинге.

dodik, 14.01.2011 - 1:01

Ну да!Не стоит нажимать ссылки типа: "Проверь свой инетеллект!","Обнови свой плеер"а так же "Пугачева опозорилась" или "Студента убили за тарелку супа сиденьем от унитаза"! Вчера опять приносили с баннером,антивирус(каспер) с диска воообще ничего не показал.

mish-kok, 14.01.2011 - 1:19

Свежачок!
У меня за вчера три звонка и на сегодня один. Два на XP один на 7 макси.
Каспер и доктор молчат, удалял ручками по приведённой выше схеме.
Для того и запостил.

Кстати один их клиентов просто закрыл всплывший "кружочек". Другие - "чего то нажали"..

Syrax, 14.01.2011 - 4:26

Обычно для таких целей используют AVZ c последними базами, а не антивирус.

dodik, 14.01.2011 - 4:49

Антивирус тут скорее дополнительная мераAVZ хорош,если в самой системе запустится,да и то "мастер проблем",реестр восстановить это да,как антивирусный сканер avz г...о полное.Если попадается банер,то просто исправляю автозагрузку вручную с диска а потом уже когда система грузится смотрю что дальше.часто просто отдаю хозяину,если хочет пусть сам сканит на вирусы.

kostya-chist, 14.01.2011 - 19:31

А с какого перепугу антивирус ругаться должен? Там НЕТ вредоносного кода, программа всего навсего окно на экран выводит. Подумаешь, замена ключа реестра. Большинство эту функцию антивируса сразу вырубают (да и не у всех антивирусов защита реестра есть)

sudden, 15.01.2011 - 1:38

Что касперски, что др. веб и остальные уже давно перестали обновлять свои онлайн разблокировщики, так что толку от них мало

Syrax, 15.01.2011 - 4:02

А смысл их обновлять все основные способы борьбы с банерами уже описаны, смотришь по номеру нужный и делаешь по инструкции.

джер, 17.01.2011 - 18:16

Ща уже триста просят...блин, супруга гдето отловила... сижу ноут с экспишкой кувуряю... удалось разблокировать по схеме HugoBo-SS... запустил ща AVZ ну и потом наверно контрольный в голову зловреда авирой... на что ещё обратить внимание? Есть какие тонкости?

kostya-chist, 17.01.2011 - 20:46

Если хоть один из антивирусов найдёт зловреда, сообщи хоть, как он называется.

ua9zag, 17.01.2011 - 21:28

Не ищите вы идеальных ативирусников,их просто быть не может.К примеру как работае компания Касперского, вы думаете большой офис и штат в котором сидят много програмистов, увы это не так. Штат подобран из лучших програмистов, которые находятся в разных регионах и сидя дома пишут и внедряют вирусы на сайты и в ативирусник вставляют алгоритмы ативируса который создан.Некоторое время другие антивирусники этого вируса не видят пока не раскопают алгоритм вируса проходит время. И так происходит я думаю во всём мире антивирусных компаний. Наказать этих вирусописателей практически не возможно так как они пишут базу антивирусов. Для России самый мощьный вирусописатель Касперский так как перестройка заставляет шевелить мозгами чтобы заработать на хлеб и не только. Вот так и пришол к нам бизнес от америкосов. С одной стороны вроде и хорошо что ищут дыры в алгоритмах а сдругой стороны мы их кормим и что лучше ХЗ.

mish-kok, 17.01.2011 - 21:55

kostya-chist
Уже обсуждали..
https://softoroom.org/topic49243s40.html
Опять из пустого в порожнее
Я предупреждал, что тема станет актуальной, идея делится опытом не нашла поддержки.
Прекращаем демагогию тема в разделе Безопасность в сети

джер
Название вируса не запомнил? Мне удалось найти простым поиском на диске С в sistem32 файл с именем EXE.
Далее правил Shell и чистил папки TEMP
Всё нормально. это на XP

К теме:
При загрузке Windows XP не появляются меню пуск и содержимое рабочего стола. Грузиться только фоновая картинка.

Решение
Загрузите Windows. Нажмите Alt + Ctrl + Del - диспетчер задач - новая задача - введите regedit. Удалите следующие ключи:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe

Перезагрузите компьютер;

Нажмите Alt + Ctrl + Del – диспетчер задач – новая задача – введите regedit. Найдите ключ
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon

Затем параметр «Shell» и задайте ему значение «explorer.exe». Если такого параметра нет, необходимо его создать (тип строка).
После перезагрузите компьютер;

Если при нажатии Alt + Ctrl + Del выскакивает сообщение «Диспетчер задач отключен администратором» необходимо загрузиться с диска Windows LiveCD и запустить программу ERD-commander. C ее помощью можно получить доступ к реестру.


Скачайте программу AVZ и запустите ее. Нажмите «Файл» -«Восстановление системы». Выберите «5. Восстановление настроек рабочего стола», «9. Удаление отладчиков системных процессов», «16. Восстановление ключа запуска Explorer» и нажмите «Выполнить отмеченные операции».

Перезагрузите компьютер.

HugoBo-SS, 18.01.2011 - 1:39

дополню. Антивирусы могут не находить подобные вещи, поскольку эти зловреды - не всегда вирусы. Бывают просто вымогатели, да еще и топорно заделанные

dodik, 18.01.2011 - 2:13

Ручками ручками! ,смотрим что прописано заместо explorer.exe и userinit.exe в реестре,это и удаляем соот-но.Еще и в автозагрузке часто шняга какаято типа end.exe и documents и пр.

Syrax, 18.01.2011 - 7:50

Поскольку банеры в основном проявляют себя после перезгрузки системы, не будет для каждого утомительно сделать небольшой bat, в котором прописаны основные пути нахождения (автозагрузка, winlogon в реестре shell и т.д.) и всегда запускать его перед выключением/перезагрузкой, после запуска он установит все прежние значения параметров, от греха подальше.

джер, 18.01.2011 - 11:45

В диспетчере задач был исполняемый файл calc[1].exe... как и советовали выше снял задачу,
авира потом нашла ещё какихто два зловреда и удалила, но я не обратил внимания на их названия.
Комп заработал нормально.
Сегодня по совету mish-kok скачал с сайта каспера Virus Removal TOOL, запустил его с высоким приоритетом проверки и он снова нашёл зловреда calc[1].exe - HEUR:Trojan.Win32.Generic, но по-видимому уже не активного или остатки от него...
сидел в: .....Local Setting\Temporary Internet Files\Content.IE5\9TQUW6LE\calc[1].exe

userinit.exe в реестре был без изменений, в автозагрузке тоже всё норм...

пс: вот ещё нашёл что это был за вирус, его псевдонимы и как лечить

vic171, 18.01.2011 - 12:46

Ребят вчера с одним возился, заблокировал все, клаву, мышь и т.д., кое как вышел в безопасный режим, сделал откат, а потом чистил вручную

джер, 29.01.2011 - 23:28

опаньки))) а вот такое это что?




опять мои дефченки полазили с ноута в инете...

результат: браузеры лиса, ишак и хром показывают одну и ту же картинку... если перегружаюсь в убунту, то всё нормально... прошёлся по винде всеми известными мне лечащими утилитами, вирусы поудалялись, но в инет бук из под винды так и не идёт показывая одну и ту же картинку... готов переустановить там винду, но интересно что за фигня такая?

добавлю: бук через вайфай с роутера, а комп в то же время, через тот же роутер нормально на софторуме живёт

и айпишник у них одинаковый

mish-kok, 29.01.2011 - 23:40

джер
Malwarebytes' Anti-Malware
http://www.malwarebytes.org/mbam.php
free версию и в путь

джер, 30.01.2011 - 0:01

Миш, прошёлся я этой штукой щас, удалено было ещё каких то три заразы, но браузеры так и показывают ту же картинку... куки все поудалял... ссклинером тож поработал... в инет можно зайти, но не везде... поисковики, например сразу этой картинкой отвечают... на софторум заходит, на другие некоторые ресурсы тоже....но не везде

mish-kok, 30.01.2011 - 0:03

джер
конкретно по твоему случаю:
http://forum.kaspersk...p/t188513.html

sudden, 30.01.2011 - 0:03

джер,
в файле hosts нет посторонних записей?

DarckImperator, 30.01.2011 - 0:10

а если вот сюда HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes и все значения если они есть нафиг удалить ну те что будут справа

джер, 30.01.2011 - 0:15

хех...почитал... мне это сложновато... проще им ща систему переустановить...

чесно? не знаю... мошть и есть... тока я не особо разбираюсь какие из них постороннии..

проверил... там пусто((

переустановлю я ща винду им... добавлю шадоу дефендер и пусть в следущий раз куда хотят, туда и нажимают...

kostya-chist, 30.01.2011 - 0:26

В первую очередь в подобном случае проверяются файл C:\Windows\system32\drivers\etc\hosts там должна быть только одна запись:
127.0.0.1 Localhost
и настройки прокси в каждом браузере

TAPZAH, 30.01.2011 - 14:34

Считаю, что переустановка винды - хороший способ только тогда, когда все остальные версии проверены.

Например, у меня был случай, когда блокер был на весь экран, клава и мышь были заблокированы, проверка на вирусы ничего не дала и файл hosts был чист.

Syrax, 30.01.2011 - 14:58

Самый лучший и надежный формат c: Либо установка с нуля или если есть то чистый бэкап.

Котенка, 30.01.2011 - 15:04

А если он прячется еще не на системном диске?

Syrax, 30.01.2011 - 15:11

Тогда скопировать нужную инфу на запасной носитель и отформатировать вобще все.

К счастью банеры не такие зловреды как вирусы и не клонируют себя на другие диски и система сканирования дисков в системе у них тоже я думаю отсутствует.

Поэтому им задается любая 100% существующая папка на системном диске для последующего запуска от туда. Ну или если ее случайно не окажется вероятно он создаст ее сам.

джер, 30.01.2011 - 16:54

Что я с успехом и сделал к примерно к полпятого утра... родной виндусовый диск не хотел грузиться ваще... скачал от зверя и им пытался удалять разделы и форматировать...акронисы там всякие разные использовал... потом фтыкнул снова родной установочный... ни фига не заработал... перегрузился в убунту и гпартедом поудалял всё и везде и форматнул... после этого семёрка х32 встала на ноут с 1гигом оперативки "как родная"... и выделенку сразу нашла, и вайфай отловила... остальной необходимый софт уже после сна "докрутил"

зы. а значимую и ценную инфу на компе хранить - это, как минимум, не правильно...имхо..

TAPZAH, 30.01.2011 - 21:33

Только что как раз пришел от клиента, у которого был WinLock. Правда, это оказался самый простой блокер в моей практике.

Черный экран на весь стол загружался после рабочего стола (панель задач, ярлыки и все такое) с текстом.
Стандартный способ - Диспетчер задач сотню раз. Естественно, он моргал и не показывался, но я заметил, что если ткнуть мышью в то место, где появлялся ДЗ, то некоторое время с ним можно было работать. Нашел в процессах непонятный процесс и завершил. После отключил его из автозагрузки и удалил сам файл.

Нашел способ от Касперского, чтобы никакие WinLock'и не нарушали работу системы

и сразу же сохранил Настройки Каспера для клиентов.

PS: Да, и еще, мож кому пригодится:

Самые распространенные и полезные пункты: 1, 2, 3, 6

TAPZAH, 30.01.2011 - 21:54

Отредактировал. Копировал просто с их сайта, т.к. я Касперу больше всех доверяю (ну и больше знаю)

TAPZAH, 23.05.2011 - 10:53

Увидел более умный блокер. Помимо того, что он заменяет explorer в реестре, он еще и userinit заменяет в папке с виндой. Благо, можно скопировать его с LiveCD

Если кто не знает, userinit на диске находится по пути: *LiveCD*\I386\SYSTEM32
Файл userinit.exe копируется в: Системный диск C:\WINDOWS\System32

Вирусы можно увидеть визуально, у них ярлык непонятный, цветной, обычно сиреневого цвета в разноцветную крапинку или полоску

mish-kok, 1.06.2011 - 21:33

Сегодня попался интересный блокер.
Сразу после включения компьютера вместо загрузки XP черный экран, на котором красными бувами написано что то типа
"За скачивание и распространении нелегального материала..итд, ваш компьтер заблокирован, если Вы в течении 5 часов не пополните счет xxxxxxx оператора MTC все данные будут уничтожены...
Поле ввода цифер"
Реакции на клавиши нет.

Проблема решилась неожиданно легко.

Загрузился с LiveCD win7 (раннее скачан с поста 112) с флешки запустил Kaspersky Virus Removal Tool 2010
(http://support.kasper...ol2010?level=2)
Установил на один из жёстких дисков и поставил галочки проверки всех носителей (кроме оптического привода).
После сканирования и удаления всей заразы (рекомендованные действия) винда загрузилась целой и невредимой, больше ничего делать не пришлось. Весь процесс занял около получаса.

kostya-chist, 1.06.2011 - 23:22

Долго. Способ правки реестра занимает от 10 до 20 минут (в зависимости от быстродействия компа), со всеми перезагрузками.
Больше времени занимает загрузка/перезагрузка компа, чем сам процесс лечения.
Принцип действия практически вех блокировщиков один, записать себя вместо Explorer.exe. По параметру этого ключа и видно, где зловред живёт, там его и придушить сразу.

mish-kok, 2.06.2011 - 5:46

Там далеко не эксплорер.

kostya-chist, 2.06.2011 - 22:35

Сам блокировщик - именно подмена эксплорера, насмотрелся я на эти надписи.
А то, что там ещё зараза сидела, это уже вопрос к установленному антивирусу.

TAPZAH, 3.06.2011 - 0:25

Вирусописание на месте не стоит. Могли подменить или запускать совместно файл, прописанный в (как вариант) boot.ini, winlogon и т.д. Файлов много. Самые известные (explorer, userinit) мы знаем и умеем бороться. Что стоит написать новый вирус, который эти файлы и не затрагивает, но выдает финты по-круче?

mish-kok, 3.06.2011 - 7:45

TAPZAH
С liveCD заметил одну странность.
Открыв мк, помимо жестких дисков и оптических носителей висела папка boot с прог файлами. Особого внимания не уделил. После лечения она соответственно исчезла. Ещё интересная деталь. Картинка грузилась сразу, ещё до (вместо) винды. При нажатии Ctrl+Alt+Del - вылет в биос.

Возможно что то типа этого:
http://www.securitylab.ru/news/311373.php

Nebel, 3.06.2011 - 8:31

Да уже давно написаны вирусы, не трогающие explorer.exe Воевал и с такими.. Правда последний зловред перехитрил, кроме userinit'a еще где то прописался и блокировал по прежнему запуск уже правильных файлов...

kostya-chist, 3.06.2011 - 20:26

Зачем подменять критические файлы? И даже вносить в них изменения? Это может вызвать реакцию антивируса и не привести к задуманному эффекту. Гораздо проще и эффективней подменить запись в реестре (очень немногие антивирусы контролируют изменения реестра) безобидной картинкой просящей денех


Если мне не изменяет память то виртуальная папка boot создаётся самим LiveCD, после перезагрузки она соответственно исчезает.

mish-kok, 4.06.2011 - 6:59

Создаётся виртуальный носитель, возможно отобразился как папка. В принципе левая скрытая папка должна находится в корне одного из жёстких дисков, скорее всего системного.