Форум » Обсуждение сайта и статей » Ручное удаление баннеров, блокираторов, вымогателей через LiveCD » Ответить
Ручное удаление баннеров, блокираторов, вымогателей через LiveCD
Admin: Самая свежая статья: Лечение баннеров и блокираторов без антивирусных программ Ручное удаление баннеров, блокираторов, вымогателей через LiveCD - http://antivir.host22.com/metodika/0031.html Зеркало: http://koscl.narod.ru/metodika/0031.html [quote]На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправите несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере. Дальше я подробно опишу как записывать LiveCD на болванку и как загружаться с нее...[/quote]
Ответов - 14
Admin: вот еще способ подключиться с реестру зараженной windows: ftp://devbuilds.kaspersky-labs.com/devbuilds/Kaspersky%20Registry%20Editor/ Вставляете диск в привод (или подключаете флешку) и загружаетесь: – когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter – выберите необходимый язык из списка – выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения – установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск – выберите Kaspersky Registry Editor Откроется редактор реестр – выберите нужную систему (та, которая заблокирована), если у Вас их несколько по материалам virusinfo.info
Admin: Добавил: Проверьте наличие в реестре папки HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe если есть, то удалите ее. Конечно, это можно относится и у другим файлам, например процесс Диспетчера задач
Юлёна: Ребят сделала всё как написано... не помогло но когда открула редактор у меня вот этих строк совсем не было HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager. Помогите плиз
Admin: Юлёна попробуйте: 1) http://antivir.h18.ru/metodika/0026.html 2) если первое не помогло, то: http://antivir.h18.ru/metodika/0028.html
Admin: также стоит изучить Автозапуск из особого списка Программы могут запускаться и из следующего раздела реестра: [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows] Параметры: "load"="programma" — программы запускаемые до входа пользователя в систему: "run"="programma" — программы запускаемые после входа пользователя в систему. Эти параметры — аналог автозагрузки из Win.ini в Windows 9х. Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "load"="iexplore.exe" "run"="notepad.exe" Самый примитивный способ старта зловреда через папку Автозапуск. Но местоположение этой папки можно изменить, и поэтому поиск зловреда может быть усложнен при ручной зачистке: Смена папки автозагрузки Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders] "Common Startup"="%ALLUSERSPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для всех пользователей системы. [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \User Shell Folders] "Startup"="%USERPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для текущего пользователя. Сменив путь к папке мы получим автозагрузку всех программ из указанной папки. Например: [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders] "Startup"="c:\mystartup" — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.
Admin: Еще временные папки Windows 7 В Windows 7 также ищите подозрительные файлы в следующих папках: C:\$RECYCLE.BIN C:\USERS\ESS\APPDATA\LOCAL\TEMP C:\TEMP C:\WINDOWS\TEMP C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\TEMP C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP C:\USERS\ESS\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES C:\USERS\ESS\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\GPXY9Y30.DEFAULT\CACHE C:\USERS\ESS\LOCAL SETTINGS\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE C:\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\TEMP C:\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES C:\USERS\DEFAULT\APPDATA\LOCAL\TEMP C:\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
AlexLB: Спасибо Автору! http://antivir.h18.ru/metodika/0031.html Мне удалось убрать баннер через загрузку с LiveCD. После прошелся по указанным данным реестра и ЧУДО - пропал проклятый!!
shtrek: Спасибо Автору! Однако есть такой вот вопрос - сделав всё по советам автора/ручное ред. реестра/, а затем загрузившись с Kaspersky Rescue Disk 10 получил вроде как решение проблемы с банером - он пропал, однако пропала и активация семёрки. Вот и думаю, где я напортачил в чистке реестра, или ещё в чём? Тут вот "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows - удалите подозрительные записи. Также удалите подозрительные записи здесь: HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" Я , как помню поудалял там кой какие записи и вопрос бы по признакам подозрительности файлов, хотелось бы обсудить, может я чего то там не того удалит? И по ходу вопрос - как могла/в результате каких действий/ могла слететь активация Винды? Или может касперский поспособствовал?
tmp: shtrek Если речь идет об слете активации с не лицензионной Windows, то вариантов тут много. Заново активировать получилось?
Admin: shtrek Признаки подозрительности - это подозрительное имя файла, подозрительное расположение файла. Например, если файл во временной папке и в автозапуске, то высокая вероятность что это зловред. Кстати, в этой инструкции в конце идут примеры подозрительных папок. Но если у зловреда есть права админа, то он может выглядеть как какой-то нужный файл. В общем, тут нужна тренировка. Посмотрите разделы "помогите" на сайта вирусинфо и касперского - рассмотрите скрипты лечения, которые делают хелпперы пользователям, так вы сможете получить больше представления об отличии зловредных записей от нормальных. А по теме удаления баннеров, советую иметь LiveCD AntiSMS под рукой - отличное средство для удаления троянов одним кликом мыши.
shtrek: tmp пишет: Заново активировать получилось? Получилось... Однако тоже какие то заморочки - при входе, появляется текст - "Вход в систему выполнен с временным профилем" Настраиваю рабочий стол/фон и прочее/... Перезагружаюсь и опять та же байда - "Вход в систему выполнен с временным профилем" зы. после входа смотрю активацию - комп- св-ва - активации нет, а через пару сек. появляется надпись о том, что активация выполнена. перезагружаюсь и опять - смотрю активацию - комп- св-ва - активации нет, а через пару сек. появляется надпись о том, что активация выполнена. никогда таких заморочек не было, вот и думаю может зловред мне чего то напортил в системе?!
tmp: прогоните систему антисмс-ом
shtrek: Проблему с заходом в систему с временным профилем вроде как решил. Делал отсюда http://support.microsoft.com/kb/947215/ru правку реестра первым способом было две папки, имена которых начинаются с S-1-5 и содержат одинаковое длинное число, причем имя одной папки заканчивается на .bak. переименовал их, как предлагалось значение ProfileImagePath было в разных папках разным C\User\Temp и C\User\Штрек И вот я по недоумию сделал их одинаковыми C\User\Штрек хотя может это и нормально и ошибка была в чём то другом/см. ниже/ RefCount в обеих папках был равен изначально равен 0 а вот с разделом State вышла непонятка мелкософтные пишут надо вставить значение 0, а на картинке стоит 100 я поставил 100/было 8100/ перезагрузился получил нормальный/вроде/ вход с профилем Штрек, хотя почему то с черным фоном. Пытаюсь изменить фон раб. стола - ни хрена не меняется. Думаю надо всё таки проставить State равным нулю, правлю и получаю вход нормальный и сразу запрет входа из за каких то сетевых заморочек вход запрещён. Т.е. зайти в винду не могу в принципе. Запускаю Live CD от Касперского/там есть вариант редактора реестра/ правлю всё назад, т.е. обратно переим. и прочее. Значение ProfileImagePath поставил как было и тут вроде и произошла рок. ошибка - когда переименовывал папки они поменялись местами и видно я значения State перепутал. и получил гораздо большую проблему - пропала моя профильная папка с именем Штрек/хотя при правке реестра у одной из папок нач. с S-1-5 у ProfileImagePath была ссыла на мою профильную папку Штрек была и папок с именем нач. с S-1-5 было две - в одной ProfileImagePath ссылался на C\User\Temp вторая на C\User\Штрек видно с значениями State была перепутка перезагрузился имею нормальный вход - раб. стол правится, а вот захожу в C\User и папки Штрек нету, а вот появилась папка Temp, которой раньше не было/. теперь есть только вроде как новая папка по имени Temp которая теперь является моей профильной. В папке Штрек было много много чего, в том числе пару вердовских док. с важными записями. Её, .ля винда удалила. Искал её на компе по названии Штрек - хрена вам - не находится. Может кто подскажет - можно ли её как то/с божьей помощью, или какой то прогой восстановить/? Мне бы её просто найти, а профилем я её как то сделаю/или просто из неё заберу важные для меня файлы вердовские./ зы. или может попробовать откатить систему? восстановит ли это папку Штрек? зы. категорически извиняюсь перед админом за много бУкф, однако думаю мой пример будет о том, что править вручную реестр надо с большой осторожностью...
tmp: Попробуйте программы для восстановления данных, их много. Самая простая Recuva, почитать можно тут: http://www.computerra.ru/terralab/softerra/634923/ Более мощная R-Studio: http://forum.oszone.net/thread-11967.html
полная версия страницы