Удаление баннера(информационная безопасность)

Информация и защита от вирусов

Модератор: YoungMax

Удаление баннера(информационная безопасность)

Сообщение Diesel » 27 фев 2011 15:09

Сегодня принесли бук, с очень веселым баннером (и содержание, и ошибки).
IMG20110227_001.jpg
(667.46 Кб) Скачиваний: 0


Данный блокиратор скомпилирован из 3х вирусов(Tr/Obfuscated.29996c, Tr/Crypt.XPACK.Gen2, Tr/Agent.ccl)
Собственно сабж по удалению:
Загружаемся с любого LiveCD , с какого есть доступ к файловой системе, заходим в корень диска, где установлен windows и удаляем следущие файлы и папки:
RECYCLER(Полностью содержимое папки)саму папку не удаляем
Documets and Setting/Admin/Local Setting/Temporary Internet Files/(все что открылось в этой папке смело стираем)саму папку не удаляем
Documets and Setting/Local Service/Local Setting/Temporary Internet Files/(все что открылось в этой папке смело стираем)саму папку не удаляем
Documets and Setting/Admin/Local Setting/Temp/(все что открылось в этой папке смело стираем)саму папку не удаляем
WINDOWS/system32/pgdebg.exe - этот файл удаляем
Еще вирусом также повреждается файлик ntuser.dat(в нашем случае он также был удален)

Перегружаемся.

Обычно, в таких случаях вирусы блокируют рабочий стол. Т.е. открывается просто чистый рабочий стол, без нижней панели и ярлыков на рабочем столе.
Исправляется это следующим образом.
Нажимаем одновременно Alt+Ctrl+Del. Открываем менеджер процессов, жмем Файл-Новая задача(выполнить) и вводим regedit.
В открывшемся редакторе реестра заходим в ветку
Код: Выделить всё
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
и правим параметр
Код: Выделить всё
Shell
. Он должен быть
Код: Выделить всё
Explorer.exe,
именно с запятой . Сохраняем и перегружаемся.
В принципе все вышеизложенное применимо к любым блокиратором Windows.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1537
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Удаление баннера(информационная безопасность)

Сообщение berckoff » 27 фев 2011 16:34

Как удаляю баннеры я. (в во всех случаях помогало)
1. На флешку копирую тотал коммандер+AnVir Task Manager+Autoruns в принципе этого достаточно.
2. загружаю комп в безопасном режиме с поддержкой командной строки.
3. командами дос захожу на флешку и запускаю тотал, либо жму ctrl+alt+del далее файл->новая задача-> запускаем тотал с флешки.
4. Запускаем AnVir Task Manager и смотрим что висит у нас в автозагрузке и отключаем все лишнее, а лучше определить баннер-программу и удалить ее из автозагрузки, предварительно запомнив путь расположения ее на диске (скорее всего это будет Documets and Setting/******/Local Setting/Temporary Internet Files/) и затем удалить с диска.
5. Запускаем Autoruns или regedit смотрим что загружается в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell. Параметр Shell должен быть со значением Explorer.exe, если не так, то меняем на Explorer.exe.
6. Вот в принципе и все, осталось только перезагрузить комп.

Спасибо.
berckoff
Наблюдатель
Наблюдатель
 
Сообщения: 11
Зарегистрирован:
29 янв 2011 22:07

Re: Удаление баннера(информационная безопасность)

Сообщение Diesel » 27 фев 2011 19:15

berckoff
Данный способ работает, если работает безопасный режим. А многие блокираторы при выборе безопасного режима выдают синий экран смерти.
Главное алгоритм очистки один и тот же.
Еще было бы не плохо в свойствах обозревателя выставить параметр-удалять временные файлы интернета после закрытия браузера.
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1537
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря


Вернуться в Защита от вирусов

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1