Приветствую Вас ГостьВт, 2024-12-03, 8:22 PM

Портал дизайнера ручная раскрутка сайта

Категории раздела
Защищаемся от атак коней! [11]
Ищем простую и доступную программу защиты от троянов
А спамер не спит... [2]
ищем подходящую программу для борьбы со спамерами
Статьи из интернета [7]
на тему о вирусах, способах заражения, способах защиты
Компьютерное [19]
Вопросы по Виндовс и др.
Вход на сайт
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Технические советы » Защищаемся от атак коней!

Блокировщик Windows

Для начала пробуем зайти в безопасный режим и видим этот баннер и там.. Попытки подобрать код через сайт drweb.com ничего не дали. Видимо еще не было похожего варианта вируса. Потому было решено попробовать залезть далее в интернет и поискать метод лечения вируса в сети. Далеко искать не пришлось, опять там же на форуме Веба нашлось решение. Предупреждаю, не для слабонервных, не для тех, кто мало знаком с программами лечения вирусов и не для тех, кто делает все тяп-ляп.

Итак метод лечения:

 

1) Скачать Лечащую утилиту Dr.Web CureIt! с сайта web.com

2) Скопировать файл с расширением .exe (pif, cmd, bat) на флешку

3) В корне флешки создать файл autorun.inf с таким содержанием
 
Код:
 
[AutoRun]
UseAutoPlay=1
;drweb cureit autostart
oPEn= CureIt!.exe
shellexecute= CureIt!.exe
SheLL\oPeN\COMMAnd = CureIt!.exe
shEll\open\DeFAULt=1
shelL\ExPlore\COMMaND = CureIt!.exe 
shELl\AuToplay\commAnd = CureIt!.exe 
Shell\cmd1=Запустить CureIt!.exe
Shell\cmd1\Command = CureIt!.exe
 

4) Вставить флешку (иногда может понадобится запустить Проводник и перейти на флешку, если это возможно).

P.S.
Расширение куреит можно изменить на pif, cmd, bat и соответственно подправить autorun.inf Это делается ввиду того, что вирус иногда знает, что ему пытаются скормить, потому и файл утилиты переименовывается и расшширение его меняется. Пытаемся обмануть вирус.
 

5) А этого уже не было написано в руководстве:

Когда подключится ваша флешка, то ничего не измениться, вам надо будет набрать комбинацию из двух клавиш: клавиша вызова меню пуск (на ней нарисован значок Винды) и клавиша D. Вам откроется рабочий стол, точнее панель внизщу от рабочего стола и вы увидите, что у вас просто открыта заставка от вируса, вы ее закрываете и запускаете антивирусник CureIt! Вам немедленно будет сигнал о том, что найден вирус  и будет написано его имя, запишите себе имя объекта и сохраните фото экрана (по возможности), вы сможете отправить и сам вирус и его описание на форум Веба, пополнив тем самым копиолку вирусов на сайте.

Но это еще не все. Ваш вирус удален (рекомендуется его удалить). но следы от него и поврежденные ветки реестра остались, надо подчистить. Делаем все очень аккуратно.

6) Отключаем наблюдение за дисками (восстановление системы). И просматриваем следующую ветку реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

нас интересует вот это:
Завершающая очистка C:\WINDOWS\Finish.exe

Удаляем эту строчку.

Почему нужно просмотреть именно ее? Это зависит от вашего типа вируса, строчка может оказаться другой, когда вы включите после лечения ваш компьютер, выскочит ошибка, надо ее скопировать себе в блокнотик, вид ошибки будет примерно такой:

Windows не удалось найти 'C:\WINDOWS\Finish.exe'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".

Нужно было через regedit найти и удалить "C:\Windows\Finish.exe"

7) Далее надо скачать еще одну утилиту AVZ.

выполните в AVZ скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Finish.exe','');
BC_DeleteFile('C:\WINDOWS\Finish.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Завершающая очистка');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Вот так вот выглядел баннер.
Предвижу кучу вопросов, как выполнить этот скрипт... Народ, если эти вопросы возникли, задумайтесь, надо ли вам самим с этим делом бороться? А то можно и наломать дров. Читаем тут и думаем самим или все же просить помощи (на форуме, у друзей, кто в этом деле шарит или у меня ;)

8) Теперь качаем другую утилиту HiJackThis.

С ней поступаем так же, запускаем и чистим то, что она вам найдет, смотрим внимательно, что она нашла, прежде, чем удалять. По ссылке выше написано как с ней управляться.

Теперь еще раз прогоняем машину утилитой Веба, проверяем все ли чистенько и перезагружаемся, только после того, как все отлечили, можно включить слежение за дисками (восстановление системы).

 

Категория: Защищаемся от атак коней! | Добавил: admin (2011-01-20)
Просмотров: 8983 | Рейтинг: 0.0/0
Поиск
Наш опрос
На новом сайте

Результаты · Архив опросов

Всего ответов: 4
Мои ссылки