Dmitrii пишет:Расскажите. Виды блокеров бывают разные, поэтому, думается, дополнительная информация будет полезной.
Вообще-то я столкнулся, на мой непрофессиональный взгляд, со стандартным блокером. Но опыта у меня в этом деле мало... Поэтому на первом месте были эмоции, а не холодный ум. Вот ссылка на оригинал с картинками - http://forum.drweb.com/index.php?showtopic=302068. Здесь - с небольшими купюрами и без картинок.
Это не полноценное руководство, скорее альтернативный способ борьбы с заразой подручными средствами. Уверен, что опытные пользователи порекомендовали бы использовать более продвинутые инструменты, однако на тот момент их у меня не было, а желания на их освоение и понимание не было. При этом опыт борьбы с вирусами у меня незначительный, а инциденты случались раз в несколько лет.
Вначале зараза проявила себя небольшим баннером с сообщением о блокировке Windows из-за просмотра "ай-яй-яй" контента.
Через TaskManager закрыл окно браузера, убил все приложения "123" (именно так назывались процессы в списке на моей машине) и решил убедиться, что зараза проникла именно через недавно открытую страничку сайта (честно, это был сайт музыкального содержания) - повторно открыл эту страницу. В результате этой "проверки" вместо одного окна появилось два окна - предыдущее, а за ним новое - с сообщением о блокировке всего компьютера.
А система была уже заблокирована. Перезагрузки в любом из режимов (безопасный, с командной строкой) не помогали. После входа в систему, моментально появлялось второе окошко, которое полностью блокировало систему. Понятно, что необходимо чистить реестр, но доступа к нему нет. И подцепить диск к другому компьютеру не могу - не чем. Нахожу ближайший LiveCD (DrWeb LiveCD), загружаюсь с него (перед этим надо в BIOS изменить порядок загрузки - на первом месте USB HDD или CD/DVD).
Нахожу файл
C:\Windows\System32\config\SOFTWARE
доставляю этот файл на другую машину чтобы удалить заразу.
Здесь на форуме советуют использовать ERD Commander, но его у меня еще нет и надо еще в нем освоиться (что и куда "тыкать"). С давних времен я пользуюсь Far'ом со своим набором плагинов. Один из них Registry Browser - вот на него я и возлагал все свои надежды.
Нахожу ключи и исправляю на правильные:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe"
Перед этим запоминаю предыдущие значения, хранящиеся там - в последствии, вернувшись на зараженную машину, эти файлы надо будет удалить.
Так как зараза может прописать себя сразу в нескольких местах убеждаемся, что ветки реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
не содержат запуска подозрительных программ. Под подозрение сразу подпадают программы, запускаемые из любого другого места, отличного от C:\Program Files или C:\WINDOWS. Содержимое подозрительных ключей запоминаем или сразу находим на зараженной машине и удаляем, а ключи удаляем.
Обновленный файл SOFTWARE возвращаем в систему и, пытаемся перезагрузить машину с диска (вынув загрузочную флешку или CD и вернув прежние настройки BIOS). Для надежности загружаемся в безопасном режиме, входим в систему, проверяем систему и пытаемся загрузиться в нормальном режиме.
Это не 100%-ное избавление от заразы. Нельзя исключать того, что вирус мог вписать себя в другие ветки реестра, или даже бинарные файлы.
( 2 * b ) || ! ( 2 * b )