-
Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.
Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.
Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.
Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.Задать вопрос Новые сообщения Как правильно спроситьЕсли пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.
Удаляем порнобаннеры
- Автор темы krekerman
- Дата начала
Resident_W
Новые
- Регистрация
- 3 Июл 2010
- Сообщения
- 136
- Реакции
- 1
- Баллы
- 0
или ещё попробуйте
сначала код #1: 28527548, затем код #2: 35676549
Mass
Новые
- Регистрация
- 30 Мар 2009
- Сообщения
- 120
- Реакции
- 0
- Баллы
- 0
Тема от способа лечения заразы, перешла в Help зараженным 
По теме, если винда доступа в обычном режиме - то коды разблокировки, Dr.Web CureIt, AVPTool, avz, ComboFix (последние не для новичков).
Если еще доступен безопасный режим - реестр, программы выше, msconfig.
Если заблокированы оба режима - изменении даты в биосе, LiveCD с антивирусами.
В самых тяжелых случаях, LiveCD с поддержкой редактирования реестра зараженной винды.
Последние всё чаще и чаще попадается
По теме, если винда доступа в обычном режиме - то коды разблокировки, Dr.Web CureIt, AVPTool, avz, ComboFix (последние не для новичков).
Если еще доступен безопасный режим - реестр, программы выше, msconfig.
Если заблокированы оба режима - изменении даты в биосе, LiveCD с антивирусами.
В самых тяжелых случаях, LiveCD с поддержкой редактирования реестра зараженной винды.
Последние всё чаще и чаще попадается
почти все порно банеры и подобная ересь пишут себя в автозагрузку в то время как вы считаете что обновляете флешплеер или вы можете в ставить флешку...
а строка автозагрузки как правило находится здесь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
если машина инфицирована почти всегда вы найдете здесь под ключом Userinit множество всяких записей через запятую
этот ключ должен содержать ТОЛЬКО ЗАПИСЬ О МЕСТОНАХОЖДЕНИИ USERINIT.EXE
(все остальное можно удалить)
другой более интересный вопрос о том как это сделать.
если вирус блокирует загрузку в безопасном режиме, диспетчер задач, и проникновение в реестр(пуск-выполнить-regedit) я обычно пользуюсь системой live(winpe) она позволяет мне загрузиться в независимой операционной системе использующей виртуальный диск в оперативной памяти и посредством erdcomander произвести ручную чистку реестра. Скачать такой диск достаточно легко в рунете есть множество вариантов с разным набором инструментов , мне очень приглянулась сборка alkidlive.
так какие ключи нам надо изменить?
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(userinit),(shell).
2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System (DisableTaskMgr(0))
3)Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\folder\showall\(CheckedValue(1))(DefaultValue(2))
4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes(должно быть пустым)
так же чере erd при помощи утилиты "управление компьютером" чистим автозагрузку.
вот в общем то и всё(возможный минимум)
дальше рекомендую поставить нормальный антивирус(norton(is),kaspersky(is),nod32(smart)) и провести тщательную проверку дисков .
конечно всё это работает если на вашей машине нет сонма вирусов однако это наиболее распространённый вид инфекции в моей практике.
а строка автозагрузки как правило находится здесь
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
если машина инфицирована почти всегда вы найдете здесь под ключом Userinit множество всяких записей через запятую
этот ключ должен содержать ТОЛЬКО ЗАПИСЬ О МЕСТОНАХОЖДЕНИИ USERINIT.EXE
(все остальное можно удалить)
другой более интересный вопрос о том как это сделать.
если вирус блокирует загрузку в безопасном режиме, диспетчер задач, и проникновение в реестр(пуск-выполнить-regedit) я обычно пользуюсь системой live(winpe) она позволяет мне загрузиться в независимой операционной системе использующей виртуальный диск в оперативной памяти и посредством erdcomander произвести ручную чистку реестра. Скачать такой диск достаточно легко в рунете есть множество вариантов с разным набором инструментов , мне очень приглянулась сборка alkidlive.
так какие ключи нам надо изменить?
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(userinit),(shell).
2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System (DisableTaskMgr(0))
3)Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\folder\showall\(CheckedValue(1))(DefaultValue(2))
4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes(должно быть пустым)
так же чере erd при помощи утилиты "управление компьютером" чистим автозагрузку.
вот в общем то и всё(возможный минимум)
дальше рекомендую поставить нормальный антивирус(norton(is),kaspersky(is),nod32(smart)) и провести тщательную проверку дисков .
конечно всё это работает если на вашей машине нет сонма вирусов однако это наиболее распространённый вид инфекции в моей практике.
katerina073
Новые
- Регистрация
- 13 Ноя 2009
- Сообщения
- 30
- Реакции
- 0
- Баллы
- 0
можно еще, не используя никаких программ, войти в систему командной строкой и ввести Explorer.exе, тогда появится рабочий стол, а автозагрузка программ не будет произведена и уже устранять вирус
~NeoMaster~
Ученик
- Регистрация
- 20 Янв 2011
- Сообщения
- 1
- Реакции
- 0
- Баллы
- 0
Про баннеры можно писать много и долго, но есть примерные алгоритмы действий при появлении оных на мониторах
вашего пк.
(Советы описанные ниже применительны для Windows XP, но другие актуальные операционки (Vista, Windows7) примерно
аналогичны
Попадает к вам на пк файл вируса, прописываетсяв автозагрузку и творит своё чёрное дело.
Решение обычно: выявление этого файла(группы файлов), полное удаление их с пк.
Как вычислить?
Баннер - это файл (группа файлов), который находится физически у вас на пк и соответственно подвязывается в
автозагрузку.
Самые излюблинные места таких файлов: папки Temp, Windows, System32, Temporary Internet Files, Application Data,
Program Files.....могут конечно быть и другие!
Большинство баннеров можно вычислить сразу, заглянув в реестр (regedit.exe), в ветки:
1) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurentVersion\Run
2) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurentVersion\Run
3) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurentVersion\Winlogon
....в большинстве случаев этих веток хватает!
В этих ветках находятся ключи автозагрузки различных программ (ключей запуска программ там может и не быть....у
кого как!!!).
Файл вируса может запускаться отдельным ключом, либо прописаться в уже созданный ключ обычной программы после
запятой (в таком случае стартуют обе программы!!!)
От вас требуется провести тщательный "аудит" содержащихся там ключей (если сами сомневаетесь в том, что вам
хватит опыта не убить реестр и систему, то лучше попросить того кто ЗНАЕТ КАК ОБРАЩАТЬСЯ С РЕЕСТРОМ!!!! Автор
ответственности не несёт за ваши действия!!!)
Последняя ветка ( 3) ) самая интересная т.к. в ней содержатся ключи запуска графического интерфейса -
explorer.exe (вирусы очень любят подменять его названием своего файла), загрузчик Windows (logonui.exe) и
userinit.exe (бывали случаи, когда вместо userinit.exe было написано userini.exe, а это уже совсем другой
файл!). Часто вирусы прописываются к этим ключам, либо вместо них!!!
Так же стоит отметить, что имя вируса может быть схоже с названием системного процесса и второпях можно упустить
столь важный момент!
Если вы обнаружили в этих ветках прописанный вирус, то удаляйте этот ключ либо правьте его (стирая запиь запуска
ненужной программы). Обычно после удаления ключа запуска вируса, требуется перезагрузка пк (т.к. вирус в памяти
уже загружен и правка реестра повлияет на запуск программы только после рестарта системы)
Затем необходимо зайти в директорию на которую ссылалась запись реестра, найти файл вируса и удалить его
(желательно не в корзину....shift+del). Ну и естесственно открывать файл перед удалением не стоит
После всего этого (если вирус удалось побороть), необходимо провести полное антивирусное сканирование
(желательно несколькими антивирусами....последовательно!)
До сих пор вроде всё просто! Самое сложное в ситуации с баннером это то, что зачастую отсутствует возможность
пользоваться диспетчером задач, редактором реестра и т.д.
В зависимости от типа и версии вируса решения данных проблем разные, но зачастую помогает запуск пк в
альтернативной системе(Life CD). Желательно, чтобы эта система имела возможность импортировать файлы реестра
вашей основной операционной системы (для анализа на наличие прописанных вирусов и соответственно правки, ежели
таковые выявились).
Есть также вариант зайти в систему в безопасном режиме с поддержкой командной строки (для тех кто умеет
пользоваться командной строкой!!). Для этого обычно необходимо при запуске пк нажать клавишу F8 и из
предложенных вариантов загрузки пк выбрать "безопасный режим с поддержкой командной строки".
Идём дальше.
Что можно попытаться предпринять в загруженной заражённой системе? Тут всё не однозначно и напрямую зависит от
уровня доступа учётной записи, под которой вы загружены (админские права или пользовательские). Если вы админ,
то всё равно случается так, что taskmgr.exe (в простонародье "диспетчер задач") и regedit.exe (редактор реестра)
недоступны. Тут можно попытаться воспользоваться альтернативами данных программ (process explorer например,
заменит диспетчер задач). либо пуск - выполнить - gpedit.msc - ENTER. Откроется окно, где можно попытаться
восстановить запуск диспетчера задач(вирус не всегда позволяет запустить редактор групповых политик и даже если
функция запуска восстановится, не факт, что будет работать долго. Бывали случаи, что окно открывается и
самопроизвольно выключается).
Вариант, почистить папки "Temp" (C:\Documents and Settings\имя пользователя\Local Settings\Temp) и "Temporary
internet files" (C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files).
На самом деле все случаи индивидуальны, размещение и названия файлов разные. Методы устранения угрозы
варьируются, но принцип практически всегда один и тот же.
Кому надо, пишите, постараюсь помочь....
вашего пк.
(Советы описанные ниже применительны для Windows XP, но другие актуальные операционки (Vista, Windows7) примерно
аналогичны
Попадает к вам на пк файл вируса, прописываетсяв автозагрузку и творит своё чёрное дело.
Решение обычно: выявление этого файла(группы файлов), полное удаление их с пк.
Как вычислить?
Баннер - это файл (группа файлов), который находится физически у вас на пк и соответственно подвязывается в
автозагрузку.
Самые излюблинные места таких файлов: папки Temp, Windows, System32, Temporary Internet Files, Application Data,
Program Files.....могут конечно быть и другие!
Большинство баннеров можно вычислить сразу, заглянув в реестр (regedit.exe), в ветки:
1) HKEY_CURRENT_USER\Software\Microsoft\Windows\CurentVersion\Run
2) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurentVersion\Run
3) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurentVersion\Winlogon
....в большинстве случаев этих веток хватает!
В этих ветках находятся ключи автозагрузки различных программ (ключей запуска программ там может и не быть....у
кого как!!!).
Файл вируса может запускаться отдельным ключом, либо прописаться в уже созданный ключ обычной программы после
запятой (в таком случае стартуют обе программы!!!)
От вас требуется провести тщательный "аудит" содержащихся там ключей (если сами сомневаетесь в том, что вам
хватит опыта не убить реестр и систему, то лучше попросить того кто ЗНАЕТ КАК ОБРАЩАТЬСЯ С РЕЕСТРОМ!!!! Автор
ответственности не несёт за ваши действия!!!)
Последняя ветка ( 3) ) самая интересная т.к. в ней содержатся ключи запуска графического интерфейса -
explorer.exe (вирусы очень любят подменять его названием своего файла), загрузчик Windows (logonui.exe) и
userinit.exe (бывали случаи, когда вместо userinit.exe было написано userini.exe, а это уже совсем другой
файл!). Часто вирусы прописываются к этим ключам, либо вместо них!!!
Так же стоит отметить, что имя вируса может быть схоже с названием системного процесса и второпях можно упустить
столь важный момент!
Если вы обнаружили в этих ветках прописанный вирус, то удаляйте этот ключ либо правьте его (стирая запиь запуска
ненужной программы). Обычно после удаления ключа запуска вируса, требуется перезагрузка пк (т.к. вирус в памяти
уже загружен и правка реестра повлияет на запуск программы только после рестарта системы)
Затем необходимо зайти в директорию на которую ссылалась запись реестра, найти файл вируса и удалить его
(желательно не в корзину....shift+del). Ну и естесственно открывать файл перед удалением не стоит
После всего этого (если вирус удалось побороть), необходимо провести полное антивирусное сканирование
(желательно несколькими антивирусами....последовательно!)
До сих пор вроде всё просто! Самое сложное в ситуации с баннером это то, что зачастую отсутствует возможность
пользоваться диспетчером задач, редактором реестра и т.д.
В зависимости от типа и версии вируса решения данных проблем разные, но зачастую помогает запуск пк в
альтернативной системе(Life CD). Желательно, чтобы эта система имела возможность импортировать файлы реестра
вашей основной операционной системы (для анализа на наличие прописанных вирусов и соответственно правки, ежели
таковые выявились).
Есть также вариант зайти в систему в безопасном режиме с поддержкой командной строки (для тех кто умеет
пользоваться командной строкой!!). Для этого обычно необходимо при запуске пк нажать клавишу F8 и из
предложенных вариантов загрузки пк выбрать "безопасный режим с поддержкой командной строки".
Идём дальше.
Что можно попытаться предпринять в загруженной заражённой системе? Тут всё не однозначно и напрямую зависит от
уровня доступа учётной записи, под которой вы загружены (админские права или пользовательские). Если вы админ,
то всё равно случается так, что taskmgr.exe (в простонародье "диспетчер задач") и regedit.exe (редактор реестра)
недоступны. Тут можно попытаться воспользоваться альтернативами данных программ (process explorer например,
заменит диспетчер задач). либо пуск - выполнить - gpedit.msc - ENTER. Откроется окно, где можно попытаться
восстановить запуск диспетчера задач(вирус не всегда позволяет запустить редактор групповых политик и даже если
функция запуска восстановится, не факт, что будет работать долго. Бывали случаи, что окно открывается и
самопроизвольно выключается).
Вариант, почистить папки "Temp" (C:\Documents and Settings\имя пользователя\Local Settings\Temp) и "Temporary
internet files" (C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files).
На самом деле все случаи индивидуальны, размещение и названия файлов разные. Методы устранения угрозы
варьируются, но принцип практически всегда один и тот же.
Кому надо, пишите, постараюсь помочь....
Вариант удаления может быть еще таким:
1. Загрузится в безопасном режиме
2. Открыть проводник Windows комбинацией ctrl+e (бывает, что вирус блокирует стандартный доступ к проводнику).
3. Запустить полное сканирование компьютера антивирусом.
4. На всякий случай еще и какой-то утилитой (желательно все это время не выходить в интернет. То есть утилита должна присутствовать на вашем компьютере).
5. Перезагрузить компьютер и зайти в стандартном режиме
6. Если баннер не исчез, то посмотреть в папке Windows файл explorer.exe (возможно есть explorer.avi.exe тогда удалить этот explorer.avi.exe)
7. Перезагрузить компьютер.
8. Запустить ccleaner и просканировать реестр на наличие ошибок.
1. Загрузится в безопасном режиме
2. Открыть проводник Windows комбинацией ctrl+e (бывает, что вирус блокирует стандартный доступ к проводнику).
3. Запустить полное сканирование компьютера антивирусом.
4. На всякий случай еще и какой-то утилитой (желательно все это время не выходить в интернет. То есть утилита должна присутствовать на вашем компьютере).
5. Перезагрузить компьютер и зайти в стандартном режиме
6. Если баннер не исчез, то посмотреть в папке Windows файл explorer.exe (возможно есть explorer.avi.exe тогда удалить этот explorer.avi.exe)
7. Перезагрузить компьютер.
8. Запустить ccleaner и просканировать реестр на наличие ошибок.
Wolf812
Безрадостный
- Регистрация
- 7 Авг 2010
- Сообщения
- 743
- Реакции
- 9
- Баллы
- 0
Еще такой вариант Dr.Web - Бесплатный разблокировщик Dr.Web от Trojan.Winlock. Разблокировать Windows от троянца.
Всем удачи!
Всем удачи!
Если блокируется диспетчер задач, администратор и в безопасном режиме тоже ничего не сделаешь. Следует делать так. Загружаетесь с live CD или live USB, образы и инструкции по их созданию качайте тут удалено, облегченная версия здесь удалено. Далее запускаем встроенный антивирус, можно и свой свежий будет запустить из под live CD. Лечим, скорее всего, он в системных файлах на диске C, потом средствами того же live CD подправляем в реестре путь к explorer.exe и разблокируем диспетчер задач, как это сделать через реестр читаем в постах выше. И будет вам счастье) Кстати, такие баннеры часто оставляют изменения в файле hosts, проверьте на всяк, когда сможете загрузиться.
[mod2]Ссылки на файлообменники удалены, выкладывайте прямые ссылки на официальный источник. Модератор.[/mod2]
[mod2]Ссылки на файлообменники удалены, выкладывайте прямые ссылки на официальный источник. Модератор.[/mod2]
taivan
Новые
- Регистрация
- 30 Дек 2009
- Сообщения
- 19
- Реакции
- 1
- Баллы
- 0
Добавлю свои 5 копеек."Хорошие" блокировщики стали ваять.И в безопасный режим уже не войдёшь.И не всегда Dr. Web Live CD помогает,да и к тому же он ужас,какой медленный.А между прочим,эта зараза лечится руками на раз-два.Нужен лишь загрузочный диск(флешка)с mini Win XP.Загружаемся и ищем открытые исполняемые файлы на день заражения.Похвастаюсь,недавно таким образом вычислил блокировщика,которого не было в базах Dr.Web-а.Потом,правда,приходится восстанавливать реестр,а то лишь голый рабочий стол без пуска.У себя такого ни разу не ловил.А секрет прост:Mozilla Firefox с установленными надстройками No Script и Ad Block Plus
Сегодня тоже одному товарисчу с бука удалил блокировщика. Так этот юноша умудрился заплатить вымогателям 500р а толку ноль. Код не подошел. Злость берет, пока народ платит, будут и блокировщики. Удалил я его в принципе легко, винда загрузилась в безопасном с командной строкой, но заблокировалось переключение раскладки клавиатуры с рус. на англ. Создал на другом компе текстовик с нужными командами и закинул с флешки на бук. Ну а там лишь бы до реестра добраться. Проверил Shell, Userinit и Image File Execution Options. В Userinit после userinit.exe, была какая-то хрень. Удалил и все. Сейчас гоняю на буке CureIt.
thermite
Новые
- Регистрация
- 13 Фев 2011
- Сообщения
- 23
- Реакции
- 0
- Баллы
- 0
Есть банеры которые не сдвигаются с экрана, а просто когда доходят до края экрана, сразу появляются в исходном месте( в центре экрана ), можно сделать самое максимальное разрешение экрана, включить программу ( лупа ) и искать запущенный процесс, у меня назывался systems.exe, был скрытый, я его конечно же удалил, но есть еще один способ - установите пароль, если работаете администратором в сеансе, создайте еще один аккаунт ( с правами пользователя ), зайдите под пользователем, запустите любой файловый менеджер и реестр с правами администратора, найдите вирус и обезвредте его. Да и вообще желательно всегда быть с правами пользователя, но непривычно и не удобно, зато много чего нежелательного не запуститься, так как у вируса или у еще какой нибудь зловредной программы не будет хватать прав на замену системных файлов!
