Изба-флудильня orz

Раскрывай рот, говори, что хочешь. Слабомодерируемый раздел для праздной болтовни

Войдите

или зарегистрируйтесь!

Это вам пригодится, когда вы решите поделиться с нами советом, проголосовать за совет или оставить комментарий. И заодно пропадёт этот надоедливый текст!

Например, лекарства

Убить баннер-блокиратор! Миссия выполнима. +6+8/-2, 59 прочитавших

Просто история, хотя кому-нибудь может будет даже полезно. Приключилось сие со мной на днях. При попытке скачать фильм в анаглифе с сайта torrent3d.ru поймал winlock баннер. Картина нарисовалась следующая: проводник, рабочий стол, все запущенные программы и даже мой до этого любимый антивир-Avira были отправлены зловредной программой куда подальше, причём во время атаки Avir'е удалось только нервно пискнуть предупреждая меня о вторжении. Но врага было не остановить — появился баннер синего цвета размером почти на весь монитор с текстом гневно осуждающим моё "анти-социальное" поведение. Оказывается "Невидиммое Око" узрело что я не "Ледниковый период" в анаглифе хотел скачать, а кое чего по-круче… Экх… Гхм… Даже сказать боюсь — вдруг "Оно" услышит… :) И "да не придет вам в голову мысль боротся с баннером — вас ждёт страшное форматирование ВСЕГО". Ну да ладно. Никакие сочетания клавиш, ни перезагрузка, ни безопасный режим, ни перевод часов в БИОСе, ни мои истошные вопли не помогали. Озадачился. Всё это происходило на работе (вне рабочего времени естессьно :)), поэтому восстановить работоспособность рабочего компа нужно было край как. Иначе — срыв сроков и нервов у начальства. Благо в офисе есть ещё компутеры с выходом в сеть. Пошёл читать в сети чего делать. Надо сказать я не IT-специалист и даже не сист.адм. поэтому моментального решения проблемы в голове не возникло. Жаль. Потратил бы меньше времени. Итак я начал пробовать способы разблокировки (коих немало), любезно предоставленные гуглом.
1. Попробовал подключиться к больному компу с другой машины через лок.сеть с помощю cmd.exe и вырубить вирусный процесс. НЕ ПОМОГЛО. Нет доступа. Ладно пробуем дальше.
2. Попробовал воспользоваться он-лайн сервисом от Касперского, Д-веба и Езета — НЕ ПОМОГЛО. Эти сервисы для разблокировки баннеров-вымргателей по смс. А мой просит пополнить счёт. (Ага, щас!)
3. Написал на сайт добродетельному дяденьке, предлагающему бесплатно! прислать активационный код от баннера. НЕ ПОМОГЛО. Не дождался ответа.
4. Скачал Касперский Рескью Диск. Смонтировал на флешку. Загрузился с флешки. Проверил за 50 минут диск С. Нашёл кучу вирусов-троянов. Обезвредил их. Радостно перезагрузился. НЕ ПОМОГЛО! Баннер остался.
5. Скачал самый свежий Доктор Веб Лив ЮЗБ. Смонтировал на флешку. Загрузился с флешки. Проверял с полтора часа диск С. Нашёл ещё одну кучу вирусов-троянов и смс-сендеров. Исцелил всё. Что не исцелилось — удалил. С опаской перезагрузился. НЕ ПОМОГЛО!!! Баннер остался. Посетила мысль проверить ещё и диск D, который значительно объёмней С. Не стал, ибо пришлось бы ночевать на работе, чего сильно не хотелось.
6. Скачал Антибаннер ЮЗБ. При попытке монтирования на флеш — запросил флешку не более 2 ГБ. А у меня 4. НЕ ПОМОГЛО. Что за прихоти такие у антибаннера — не знаю.
7. Прочитал, что можно поставить на флешку Убунту или что- нибудь другое Линуксоподобное. Их вирусы не едят. Задумался. Вспомнил что у меня есть XP LiveCD. Нашел диск, загрузился — ура я вижу свои файлы! Где только теперь тут вирус… Для начала очистил ТЕМР. Полез в поиск — задал искать все файлы созданные за последний день. Нашел кучу файлов. Отсортировал по типу. Нашёл приложения. Начал запускать по одному. И вот… ДА! При попытке запуска одного из файлов всплыл уже знакомый баннер. Userinit.exe. Ого, да он заразил системные файлы. Но свобода действий сохранилась — мы же в ЛивСД. Диспетчером задач вырубил процесс вируса. Переименовал userinit.exe в userinit.ex и удалил его. Так, дальше. Следующий зараженный — taskmgr.exe. Сделал с ним то же самое. Но где сам вирь? Продолжил поиск. И ВОТ!!! ВОТ ОН!!! 22СС6С32.exe! Какое-то дурацкое название. В топку его! Так ему! После ещё немного поискал хвосты. Перезагрузился радостный, но всё-таки с опаской. ПОМОГЛО! Нету баннера! Стоп, но и ярлыков, панели задач и кнопки "Пуск" тоже нет… ?:%*:(::%;;??:?(* Да… Ну ладно хотя бы диспетчер задач запускается, а там есть меню "выполнить". Запустил восстановление системы. Восстановился. Всё равно нету моего рабочего стола… Опять полез в сеть. Нашёл инструкцию:

Загрузите Windows. Нажмите Alt + Ctrl + Del — диспетчер задач — новая задача — введите regedit. Удалите следующие ключи (если они есть): HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe

Перезагрузите компьютер;

Нажмите Alt + Ctrl + Del – диспетчер задач – новая задача – введите regedit. Найдите ключ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon затем параметр «Shell» и задайте ему значение «explorer.exe». Если такого параметра нет, необходимо его создать (тип строка).

После перезагрузите компьютер;

Если при нажатии Alt + Ctrl + Del выскакивает сообщение «Диспетчер задач отключен администратором» необходимо загрузиться с диска Windows LiveCD и запустить программу ERD-commander. C ее помощью можно получить доступ к реестру.

Скачайте программу AVZ и запустите ее. Нажмите «Файл» — «Восстановление системы». Выберите «5. Восстановление настроек рабочего стола», «9. Удаление отладчиков системных процессов», «16. Восстановление ключа запуска Explorer» и нажмите «Выполнить отмеченные операции».

Перезагрузите компьютер;

С другого компьютера скопируйте файл C:\Windows\explorer.exe (где C: — буква системного раздела) и замените им аналогичный файл на нерабочем компьютере.

Перезагрузите компьютер.

Всё это проделал — и о чудо! Рабочий стол вернулся! Потом ещё были чистка реестра, лечение Нортоном и т.д. Такая вот история.

Код для вставки в блог Ой, нет, я лучше руками
×

Получится вот так
...

Написал Pro86 очень давно, 3 июня 2011 в 09:26

Комментарии (34)

  1.   -3
    Написал Like_no_other 3 июня 2011 в 10:19¤
  2.   0

    Like_no_other, не все сис.админы светлые джедаи. Некоторые поражены вирусом stukachok.exe.

    Написал DonKihot 3 июня 2011 в 10:36¤
  3.   0

    DonKihot, именно. К тому же его не было под рукой. И не предвиделось.

    Написал Pro86 3 июня 2011 в 11:11¤
  4.   0

    DonKihot, стучать за то что юзер споймал баннер? зачем? Вообще непонятно откуда у них там на работе права на редактирование реестра. Так можно каждый день баннеры ловить.

    Написал Like_no_other 3 июня 2011 в 11:17¤
  5.   1

    Like_no_other, Баннер, это только показатель того, что интернет используется в личных целях. "Живой" пример:
    Сибирь. Компания, которая считает деньги. Отсутствие наземного канала. Спутниковый, а значит дорогой, интернет. Узкий канал. Большая контора, на которую его нужно распределить. Подключение интернета к рабочему месту только по служебной записке начальника отдела с чётким обоснованием целей на имя генерального директора и то не факт, что дадут разрешение.
    И вот выясняется, что какой-то юзер использует интернет не по назначению, да ещё с вариантом на порчу рабочего места. Стук-стук.
    И вообще, СБ на многих компаниях занимается ещё и информационной безопасностью, а это отслеживание и контроль использования интернета и других средств связи.
    Один админ поймёт и замнёт, а другой пойдёт и "проявит" себя перед руководством. Всяко бывает.

    Написал DonKihot 3 июня 2011 в 11:39¤
  6.   0

    DonKihot, баннер это не показатель того что интернет используется в личных целях, его можно принести на флешке с рабочими документами с другого компьютера (который используется в личных целях), например. А если человек качает с торрента ледниковый период (почему вообще юзерам доступна зачачка с p2p?) я думаю там не Сибирь и не спутниковый интернет.

    Написал Like_no_other 3 июня 2011 в 12:17¤
  7.   0

    Like_no_other, ну и что? Поймал баннер? Что качал? Откуда? А ну ка мы сей час проверим все адреса. по которым ты ходил и сколько где сидел. Вот и всё.

    Написал DonKihot 3 июня 2011 в 12:20¤
  8.   0

    DonKihot, тогда дело вообще не в баннере. Админ может просто промониторить кто на какие сайты ходил и бежать к директору. Тогда выход — вообще не ходить на левые сайты.

    Написал Like_no_other 3 июня 2011 в 12:26¤
  9.   0

    Like_no_other, Постоянно никто проверять не будет. А вот выборочно вполне. Засветился — получай.
    Что Вы мне рассказываете? Я сам работаю в подобной компании и говорю, как есть, а не "может быть".

    Написал DonKihot 3 июня 2011 в 12:33¤
  10.   0

    DonKihot, я тоже работаю в подобной компании и если, как вы пишите, админ захочет себя "проявить" ему не нужны баннеры или другой повод, просто заглянет в логи.

    Написал Like_no_other 3 июня 2011 в 13:20¤
  11.   1

    Like_no_other, Всем заглядывать — устанешь. У нас многие лишились инета из-за того, что некоторые IT-шники их засекали на рабочем месте за всякими говноклассниками или ещё чем. Вся контора там торчит, ну может быть, кроме меня, но не все откровенно палятся. Засветились — докладная — объяснительная — разнос.

    Я в кстатиде только :0/

    Написал DonKihot 3 июня 2011 в 13:33¤
  12.   0

    DonKihot, а всем не надо заглядывать. Берете общую статистику по сайтам для всего офиса, находите говноклассники и смотрите кто в них ходил.

    Написал Like_no_other 3 июня 2011 в 13:39¤
  13.   -1

    Like_no_other, можно ещё проще сделать, зайти в одноклассники самому админу. Вся штука в том, что у них других забот хватает и постоянно, как я уже говорил, отслеживать они не будут.
    Теперь тут, баннер. До этого юзер админу нафиг не нужен был, бухгалтерии с своими "а у меня 1С не запускается" по горло хватает. А тут на тебе, кто-то приходит и говорит, что поймал баннер. Все мы знаем, что такие баннеры обычно ловятся на порнушных сайтах. И вот тут уже проверочка, а где поймал? Не на порно? А где? А что ты там делал? А какого хрена трафик жрёшь? И так далее.

    Написал DonKihot 3 июня 2011 в 13:44¤
  14.   0

    DonKihot, хорошо, согласен с вами

    Написал Like_no_other 3 июня 2011 в 13:50¤
  15.   0

    Like_no_other, а как по-правильному? Я понимаю что это бред — я не специалист — расскажите как орудуют профи, плиз.

    Написал Pro86 3 июня 2011 в 11:17¤
  16.   0

    Pro86, каждый баннер отдельная история, они постоянно меняются. Главное добраться до автозагрузки, утилита Autoruns лучше всего покажет все что у вас грузится в системе. Можно использовать Ransomhide — спец. утилита для борьба с баннерами.

    Написал Like_no_other 3 июня 2011 в 11:29¤
  17.   0

    Like_no_other, спасибо, обзательно как-нибудь попробую, если придётся.

    Написал Pro86 3 июня 2011 в 12:02¤
  18.   2

    Pro86, надеюсь не придется :)

    Написал Like_no_other 3 июня 2011 в 12:10¤
  19.   0

    IP heppens
    #1733: Кто на что учился

    20 декабря 2009, 09:00

    рейтинг: 2494

    Закрою-ка я тему с вирусами, требующими отправить SMS. Cкладывается впечатление, что многие из разработчиков этих вирусов учатся в наших институтах, да и то на троечку. Самые запомнившиеся экземпляры из тех, что видел:

    1. Отличный вирус, но имел одну маленькую особенность — закрывался по Alt+F4.

    2. Милая игрушка, которая принимала вообще любой код для «активации».

    3. Показывал порнуху (потоковое видео с какого-то сайта), а когда отрубался инет, тупо вылетал с ошибкой.

    4. Расплодился по всем компам в фирме, кроме машины генерального. Оказалось, пугался двух мониторов, при включении выдавал ошибку и закрывался.

    Самое интересное, что 95% этих вирусов дают доступ к рабочему столу. Большинство из них блокирует все возможные способы обхода и все известные науке антивирусы, но ведётся на старую-старую фишку. Открываем ворд, печатаем любую букву, нажимаем кнопку выключения. Винда закрывает всё, что может закрыть, в том числе и наш вирус, а ворд спрашивает, сохранить ли документ. Нажав на «отмену», мы останавливаем выключение компьютера и имеем отлично работающую винду.

    Написала Gellatar 3 июня 2011 в 19:21¤
  20.   0

    Или еще проще. Я делаю так.

    Кнопочка Виндовс + U — Специальные возможности — Экранная лупа — Вебузел майкрософт — в командной строке выбираем Мой компьютер — диск С — Программные файлы — Антивирус — запустить.

    Специальные возможности имеют повышенный приоритет и вылезают всегда, даже про полной блокировке компьютера.

    Написала Gellatar 3 июня 2011 в 19:26¤
  21.   1

    Gellatar, КАК! открыть Word, если В.С.Ё. заблокировано? Какой-такой комбинацией клавиш? Плиз эксплэйн!

    Написал Pro86 6 июня 2011 в 11:15¤
  22.   0

    Pro86, эмоционально то как! ))) Я скопипастила неплохой, как мне кажется, пост. То, что его поддержало такое количество человек — уже показатель, не правда ли? А что, вирусы бывает вешают не всю систему. Тот-же баннер. Только сейчас его альт+F4 закрыла. )))

    Написала Gellatar 6 июня 2011 в 11:52¤
  23.   1

    Gellatar, ALT+F4, CTRL+ALT+DEL, CTRL+SHIFT+ESC, WIN+R, ALT+ESC, ALT+TAB, а также набранные в отчаянии JUHSD;/ILHHHHASFSSS+DFGKJSHN;;;KJFNWS не работали…

    Написал Pro86 6 июня 2011 в 13:48¤
  24.   0

    Pro86, orz.kstatida.ru/a/7839/ubit-banner-blokirator-missiya-vypolnima#c124675 только вместоантивиря открываете майкрософт офис — ворд — запустить. Далее по тексту.)

    Написала Gellatar 6 июня 2011 в 13:57¤
  25.   0

    Gellatar, ага, спасибо, понял, запомню!

    Написал Pro86 6 июня 2011 в 13:59¤
  26.   0

    Pro86, можете сейчас этот путь пройти. Потом проще будет. Сразу вспомните, что и как.

    Написала Gellatar 6 июня 2011 в 14:04¤
  27.   0

    Если WinLock-вирус блокирует всё, что только можно, но в безопасном режиме с поддержкой командной строки таки даёт загрузиться (это можно видеть по высветившемуся досовскому окошку), вбиваем последовательно (то есть, с энтером между командами):
    reg add "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Shell /t reg_sz /d explorer.exe
    shutdown -r -t 0

    И никаких не надо ЛивСД.

    Просто вирусы записывают путь к себе в ключ winlogon, а этот ключ отвечает за оболочку системы.

    Так что, Like_no_other, зря ты про обращение к админам. Избавиться от этого можно и самостоятельно.

    Написал Crescendo 4 июня 2011 в 06:15¤
  28.   0

    Crescendo, это вы зря решили что все вирусы записывают себя только в winlogon

    Написал Like_no_other 4 июня 2011 в 22:36¤
  29.   0

    Like_no_other, прошу прощения, подумал одно, написал другое. Я имел в виду, конечно, ключ Shell (о чём, собственно, и говорит первая команда). WinLogon — это ветка, где он находится.
    На моей практике был случай, когда вирус менял и ключ Userinit. В этом случае надо вернуть его к исходному состоянию, то есть к C:\Windows\system32\userinit.exe,

    Написал Crescendo 5 июня 2011 в 01:16¤
  30.   0

    Crescendo, так я вам и говорю, вы зря решили что вирусы записывают себя только в ветку winlogon

    Написал Like_no_other 6 июня 2011 в 09:58¤
  31.   0

    Like_no_other, во-первых, я говорил только о случае Pro86, во-вторых, говорил на основании только своей практики. Надо было это подчеркнуть.

    Написал Crescendo 6 июня 2011 в 13:38¤
  32.   0

    Crescendo, Я в ступоре от вашего ответа. Только на основании вашей практики? А бывает по-другому? Человек всегда говорит на основании своей практики. Вы там написали что нужно делать если попался winlock, я добавил что это не всегда поможет, т.к. он может добавить себя не только в раздел winlogon. И раз уж говорить о случае Pro86, с чего вы взяли что у него он был прописан в winlogon?

    Написал Like_no_other 7 июня 2011 в 13:55¤
  33.   0

    Like_no_other, упустил, что он ещё из Image File Execution Options ключи удалял. Наверное, десяток раз, как минимум, наберётся случаев, когда я избавлял своих клиентов от винлока, и всегда обходилось исключительно винлогоном. Но теперь знаю.

    Написал Crescendo 7 июня 2011 в 15:52¤
  34.   1

    На основании моего относительно богатого опыта избавления WinLock-страдальцев от козней порно-вирусов-блокираторов — почти универсальный рецепт. «Почти» — потому, что порою вирус ещё и системные экзешники подменяет (справедливости ради стоит сказать, что такой случай на моей практике был лишь однажды; во всех остальных случаях вирус лишь селился на винте и корёжил реестр). Учтите, что понадобится машина со здоровой операцонкой и выходом в Интернет.
    1. С рабочей машины выходим в Интернет и качаем (rutracker.org/forum/viewtopic.php?t=2840100) это. Из предлагаемого ассортимента образов достаточно выбрать только тот, что соответствует больной операционке (на моей практике — только XP, но рассказывали, что такое происходило и с Севен);
    2. Качаем (mikhail-z.narod.ru/files/genericrepairreg.reg) этот файл и скидываем его на флэшку;
    2. Прожигаем скачанный образ ERD Commander'а на болванку. Для этого можно заюзать, например, (download.imgburn.com/SetupImgBurn_2.5.5.0.exe) эту прогу (Write Image File To Disk -> кнопка с папкой и лупой -> выбираем образ -> прожигаем);
    3. Зайти в БИОС машины с больной операционкой: перезагрузка -> нажатие кнопки Delete или — в случаях со многими ноутбуками — F2 до тех пор, пока не появится синий экран с множеством пунктов;
    4. Выставляем в БИОС'е загрузку с привода оптических дисков. В разных БИОС'ах соответствующие пункты находятся в разных местах и называются по-разному. Ищем что-то вроде Boot Sequence. Выставляем привод первым устройством и не забываем сохранить результаты в конце клавишей F10 -> Y;
    5. Болванка с прожжённым на него образом должна находиться в приводе компа, на котором стоит больная операционка. Дожидаемся, пока ERD Commander загрузится (два ярлыка, панель задач, кнопка Start).
    6. Вставляем флэшку и запускаем с неё тот самый скачанный файл genericrepairreg.reg, на вопрос появившегося после этого диалогового окна отвечаем «Да».
    7. Перезагружаемся, входим в БИОС, возвращаем обратно на загрузку с винчестера, сохраняем изменения, перезагружаемся.
    8. PROFIT.

    Написал Crescendo 19 сентября 2011 в 14:52¤

Незарегистрированные пользователи не могут оставлять комментарии.
Хотите зарегистрироваться? ?