Добро пожаловать на Компьютерный форум forum.diagservice.ru.
   
Страница 1 из 2 12 ПоследняяПоследняя
Показано с 1 по 10 из 12
  1. #1
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28

    Удаление баннеров / снятие блокировки Windows

    Уже несколько лет наблюдается рост числа зараженных компьютеров/ноутбуков от такой напасти как "блокировка windows" различными видами троянов.

    С первыми случаями заражения подобной разновидностью троянов приходилось встречаться еще в 2008 году. Тогда действие троянцев было практически "безобидным" и удалялось сравнительно легко, т.к. в основном они заражали сам браузер. К примеру в браузере Opera подгружался троянец через изменение папки по-умолчанию "папка пользовательских файлов JavaScript", обнулив настройки до дефолтных, можно избавиться от баннера (как правило экзотического содержания) в половину окна браузера. Баннер в Internet Explorer удалялся подобным образом путем сброса всех пользовательских настроек.

    Но способы заражения ПК спустя пару лет стали куда более сложными и оригинальными. Теперь в большинстве случаев загрузив систему зараженной машины в штатном режиме, остается только лицезреть различного рода порнушный баннер с вызывающим содержанием. Диспетчер устройств заблокирован (стандартная спасительная в других случаях комбинация ctrl+alt+del не работает). Служба explorer.exe не работает должным образом, т.е. не удастся заглянуть в автозагрузку и почистить все лишнее.

    Но решения по удалению баннеров разумеется имеются, а переустановка системы во многих случаях заражения может оказаться поспешным и более длительным решением.

    В данной теме буду периодически выкладывать описание различных вариантов блокировки операционной системы и способы их устранения из личной практики.

  2. #2
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28

    Удаление баннера - Trojan.Winlock.3252 - 22CC6C32.exe

    Trojan.Winlock.3252 - получил широкое распространение сравнительно недавно, но способ заражения является достаточно оригинальным. Если большинство троянцев прописывается в автозагрузку, изменяет значения параметров userinit и explorer.exe или добавляя к стандартным значениям этих параметров свои пути запуска исполняющего файла, то этот троян также еще и подменяет некоторые файлы в папке windows на зараженные.

    Чтобы избавиться от баннера нужно сделать следующее (только для Windows XP):

    1. Скачать 2 файла - [HIDE="0"]zip архив[/HIDE]
    2. Загрузиться с загрузочного дистрибутива типа live CD/DVD (Alkid Live CD, Bart PE и др.).

    3. Удалить исполняемый файл 22CC6C32.exe из каталога c:\Documents and Settings\All Users\Application Data\ Этот файл меняет файлы userinit.exe и taskmgr.exe на свои заражённые. Кроме того троян изменяет эти файлы так, что при загрузке системы userinit.exe запускает другой файл такой же userinit.exe, только тот, который является резервным для восстановления системы, а этот файл генерирует файл 22CC6C32.exe по указанному выше пути.

    4. Меняем заражённые файлы c:\WINDOWS\system32\userinit.exe, c:\WINDOWS\system32\dllcache\userinit.exe и c:\WINDOWS\system32\taskmgr.exe, c:\WINDOWS\system32\dllcache\taskmgr.exe на здоровые. Если есть файл «03014D3F.exe» в папке windows/system32 то переименовываем из 03014D3F.exe в userinit.exe. Родные файлы для замены выложены в п.1

    5. Далее нужно подгрузить реестр зараженной машины. Запускаем утилиту regedit.exe . Пуск => выполнить => пишем "regedit" . Щелкаем на ветку реестра к примеру "HKEY_LOCAL_MACHINE" => файл => загрузить куст => указываем файл SOFTWARE по пути "C:\Windows\System32\config\" => указываем любое имя или цифру к примеру "111" => следуем по ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и меняем значение параметра shell на explorer.exe, если параметр userinit отличается от стандартного, также меняем его на "C:\Windows\system32\userinit.exe" => файл => выгрузить реестр

    6. Перезагружаем ПК.

    Если все сделано согласно вышеприведенной инструкции баннер 22CC6C32.exe будет удален. Данная инструкция приведена для системы widows xp, с заражением windows 7 или windows vista баннером 22CC6C32.exe не приходилось встречаться.
    Миниатюры Миниатюры Нажмите на изображение для увеличения. 

Название:	22сс6с32.jpg 
Просмотров:	2383 
Размер:	84.4 Кб 
ID:	92  

  3. #3
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    Несколько дней назад встретился с новым троянцем, который на момент лечения не знали утилиты AVZ и CureIt c последними базами.

    Сам баннер не пришлось увидеть, со слов клиента баннер повисел пару дней и сам пропал, но остались такие вот последствия:

    1. Не запускаются вордовские документы, т.е. файлы с расширением .doc, .docx;
    2. Не открываются некоторые сайты;
    3. Соединение PPPoE подключения к интернет периодически самопроизвольно обрывается;
    4. Система в целом прилично виснет.

    Чтобы вылечить систему от последствий заражения предпримем следующее:
    1. Несмотря на то, что система грузится, попытки удаления последствий заражения из под обычного режима загрузки системы врядли увенчаются успехом, поэтому загружаемся с live CD дистрибутива (предварительно поставив в настройках bios загрузку с CD/DVD привода приоритетным).
    2. Удаляем файл с именем c69111e.exe , который висит в папке учетной записи пользователя в корне.
    3. Чистим временные папки такие как Temp (в папке с системой windows), System Volume Information и др. (полезно также в профилактических целях для ускорения загрузки системы).
    3. Открываем редактор реестра , подгружаем внешний куст реестра (как это сделать более подробно расписано в предыдущем посте), открываем ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon , меняем значение параметра userinit на explorer.exe, удалив приписку к значению с:\windows\apppatch\dwcqbpx.exe , далее выгружаем куст реестра.
    5. Перезагружаемся в обычном режиме. пуск=> выполнить => пишем msconfig и снимаем галку с подгрузки библиотеки wpbt0.dll из папки временных файлов Temp , который мы удалили в 4-ом пункте инструкции.
    Миниатюры Миниатюры Нажмите на изображение для увеличения. 

Название:	reestr281111.jpg 
Просмотров:	977 
Размер:	88.3 Кб 
ID:	93  

  4. #4
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    Еще одна разновидность Trojan.Winlock.3252 - 22CC6C32.exe

    Выглядит баннер все также, но номер другой и аппетиты злоумышленников поднялись, инфляция видимо))
    Зараженная система - Windows 7 , лечится немного проще вышеприведенного варианта, подмены файлов userinit.exe и taskmgr.exe троян не делает.

    Сам текст баннера звучит так:

    Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и

    насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей на номер Билайн 8-906-798-

    11-85. В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код

    разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку "Разблокировать". После снятия блокировки Вы

    должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен,

    все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства

    по статье 242 ч.1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных,

    включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.
    Все тот же подтчерк, тот же способ стимулировать поднять задницу от компа и быстрей бежать к терминалу пока не схватил ремня от родителей))
    Да... и тот же уровень безграмотности при составлении текста.

    Баннер удаляется схожим способом как и вышеизложенный, также потребуется загрузка с live dvd, подгрузка куста внешнего реестра software, изменение параметров userinit и shell на дефолтные. В случае заражения параметры имеют следующие значения:

    Userinit - C:\ProgramData\22CC6C32.exe
    Shell - C:\ProgramData\22CC6C32.exe


    Также удаляем файл 22CC6C32.exe из каталога C:\ProgramData\

  5. #5
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    Включаем компутер, загружаем систему... долго грузится система и ... вот вам такая вот прелесть!

    Приложением Microsoft Security Essentials был зафиксирован неправомерный доступ к информации порнографического содержания, а также, копирование и тиражирование видеоматериалов, содержащих элементы насилия или педофилии...
    Для активации системы необходимо:
    Пополнить номер абонента МТС: 743462 на сумму 1000 руб.
    Расчет производится в любом из терминалов для оплаты сотовой связи. На выданном чеке вы найдете ваш персональный код...
    Иллюстрации прикреплены ниже.

    да, совсем зажрались уже троянораспространители, 300-сот рублей им уже стало мало!

    Лечим данную заразу следующим способом:
    1) Грузимся в безопасном режиме с поддержкой командной строки (до загрузки системы жмем F8 многократно до появления списка вариантов загрузки системы)
    2) В командной строке подгружаем службу explorer , написав explorer.exe
    3) пуск=>выполнить=> пишем msconfig , на вкладке автозагрузка убираем все "лишнее" + самое главное строчку с путем до временной папки с файлом 991.exe
    991.exe - это собственно и есть сам троянец, загружаемый вместе с системой.
    4) Удаляем вручную троянца, находится по пути указанному в автозагрузке выше.
    5) Перезагружаем систему... и больше по порнухе не лазаем) ... шутка! вы ведь не на таких сайтах этот банер словили, правда?
    Миниатюры Миниатюры Нажмите на изображение для увеличения. 

Название:	IMG_6250.jpg 
Просмотров:	1707 
Размер:	19.4 Кб 
ID:	127   Нажмите на изображение для увеличения. 

Название:	IMG_6249.jpg 
Просмотров:	1012 
Размер:	19.9 Кб 
ID:	128  

  6. #6
    Наш человек

    Регистрация
    01.03.2012
    Сообщений
    177
    Репутация:17
    Самый лучший вариант для удаление этих вирусов, скачать AntiWinlocker (он бесплатный) и прожигать на CD-Диск (загрузиться с usb-флэшки тоже можно но это требует немножко опыта ), загрузиться с диска и нажать на кнопку пуск! Ссылка на AntiWinlocker

  7. #7
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    Цитата Сообщение от Arkalik Посмотреть сообщение
    Самый лучший вариант для удаление этих вирусов, скачать AntiWinlocker (он бесплатный) и прожигать на CD-Диск (загрузиться с usb-флэшки тоже можно но это требует немножко опыта ), загрузиться с диска и нажать на кнопку пуск! Ссылка на AntiWinlocker
    для каждого конкретного случая есть свои более простые или более сложные варианты решения, но универсального способа удаления с помощью утилит автоматического удаления последствий заражения в частности рассматриваемых здесь винлокеров нет, а если на какой-то период времени и появляется, то очень быстро такое решение теряет актуальность, т.к. постоянно появляются какие-то новые оригинальные способы заражения, против которых известная тройка лидеров антивирусного ПО, в том числе и популярные утилиты AVZ и Cureit оказываются бессильны, поэтому приходится вручную подчищать последствия заражения.

  8. #8
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    сегодня встретился с типичным вилокером с типичным текстом - аналогом последнего из вышеописанного. Текст баннера тот же, только другой номер мобильного телефона и предложение положить на счет в терминале 500 руб. (поэтому скрин прикладывать не буду)

    Вылечил, загрузившись в безопасном режиме с поддержкой командной строки. В реестре по привычной ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре shell вместо необходимого значения explorer.exe стоит строка С:\Windows\TEMP\321.exe

    321.exe - исполняемый файл трояна винлокера.

    Меняем значение параметра на нужное, чистим темпы, пройдя по вышеуказанному пути. Перезагружаем ПК в стандартном режиме.

  9. #9
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    Свежая эпидемия троянца винлокера - представляет собой совершенно неоригинальный текстовый баннер, белый текст на синем фоне с коммерческим стимулом выманить 700-1000 руб. с владельца зараженного ПК. За последнюю неделю встретил около 10-15 зараженых подобной разновидностью винлокера машин.

    Как себя ведет:
    Прописывает себя в автозагрузку. Процесс c именем "0" - 0.20392716167732583.exe
    Сам файл с именем 0.20392716167732583.exe располагается в корне учетки пользователя.

    Как удалить баннер
    Загрузить в безопасном режиме с поддержкой командной строки => прописать в командной строке explorer.exe => удалить файл 0.20392716167732583.exe из учетной записи пользователя => удалить из автозагрузки лишний мусор

    Встречен также исполняемый файл баннера с именем 0.13867335752198262.exe и 0.2756561901040524.exe . Элемент автозапуска с именем S150931. Лечится также
    Последний раз редактировалось mi.ru; 12.05.2012 в 16:16.

  10. #10
    Модератор

    Регистрация
    19.02.2008
    Сообщений
    425
    Репутация:28
    Новый винлокер или баннер, называйте как хотите, процесс с именем ms.exe , висит в автозагрузке
    Проявляет себя и лечится аналогично постом выше:
    Как себя ведет:
    Прописывает себя в автозагрузку. Процесс c именем "0" - 0.20392716167732583.exe
    Сам файл с именем 0.20392716167732583.exe располагается в корне учетки пользователя.

    Как удалить баннер
    Загрузить в безопасном режиме с поддержкой командной строки => прописать в командной строке explorer.exe => удалить файл 0.20392716167732583.exe из учетной записи пользователя => удалить из автозагрузки лишний мусор
    Исполняемый файл правда скрытый, но из под безопасного режима с поддержкой командной строки виден
    Последний раз редактировалось mi.ru; 18.05.2012 в 11:07.

 

 

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Рейтинг@Mail.ru