( Вход | Регистрация | Поиск )
Удаление PornoBlocker c компьютера, если вход в систему заблокирован, то...
Стандартный · [ Линейный ]
Дата обновления: 04.06.2011 - 06:59, перейти к новому сообщению
Удаление PornoBlocker c компьютера
Если компьютер заблокирован окном-вымогателем, а сайты антивирусов ничем помочь не смогли делаем - следующее:
Загружаем компьютер в Безопасном режиме
Видим черный экран с VGA-шным разрешением и в центре ненавистное окно вымогателя.
ЧТО ДЕЛАЕМ:
Зажимаем левой рукой клавиши Ctrl+Shift+Esc и не отпускаем!!!
На экране происходит быстрое переключение окна-вымогателя на окно Диспетчера задач Windows и обратно. (Видно, что Работает задача Form1, EXE, итд. - это и есть троян).
Не отпуская нажатые клавиши, наводим курсор мыши на нижнюю кнопку Снять задачу в периодически высвечиваемом Диспетчере задач Windows и начинаем кликать на эту кнопку левой кнопкой мыши. При разрешении 640x480 (БЕЗОПАСНЫЙ сценарий) практически сразу удается закрыть работу вируса.
Если курсор не двигается за пределы поля (в моём случае на XP вирус EXE) повторяем процедуру нажатия и пытаемся вывести курсор.
Окно вируса-вымогателя наконец-то исчезает, а на черном экране будет открыто окно Диспетчера задач Windows без активных задач.
Отпускаем зажатые клавиши и нажимаем в окне Диспетчера задач Windows кнопку Новая задача.
Открывается окно Создать новую задачу.
В поле ввода набираем: explorer.exe
Далее по обстоятельствам: Запускаем с внешнего носителя лечащую утилиту типа Virus Removal Tool 2010 или подобную, ищем зловреда, очищаем временные папки, сохраняем файлы итд..
Автор идеи Владимир Блохин
-----*-----
тыкать сюда
Ответов(30 - 39)
а если вот сюда HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes и все значения если они есть нафиг удалить ну те что будут справа
Цитата | Quote(mish-kok @ 30.01.2011 - 0:03)
конкретно по твоему случаю:
хех...почитал... мне это сложновато... проще им ща систему переустановить...Цитата | Quote(sudden @ 30.01.2011 - 0:03)
в файле hosts нет посторонних записей?
чесно? не знаю... мошть и есть... тока я не особо разбираюсь какие из них постороннии..
Цитата | Quote
а если вот сюда HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes и все значения если они есть нафиг удалить
проверил... там пусто((переустановлю я ща винду им... добавлю шадоу дефендер и пусть в следущий раз куда хотят, туда и нажимают...
Цитата | Quote(джер @ 29.01.2011 - 23:28)
опаньки))) а вот такое это что?
результат: браузеры лиса, ишак и хром показывают одну и ту же картинку...
результат: браузеры лиса, ишак и хром показывают одну и ту же картинку...
В первую очередь в подобном случае проверяются файл C:\Windows\system32\drivers\etc\hosts там должна быть только одна запись:
127.0.0.1 Localhost
и настройки прокси в каждом браузере
Считаю, что переустановка винды - хороший способ только тогда, когда все остальные версии проверены.
Например, у меня был случай, когда блокер был на весь экран, клава и мышь были заблокированы, проверка на вирусы ничего не дала и файл hosts был чист.
Например, у меня был случай, когда блокер был на весь экран, клава и мышь были заблокированы, проверка на вирусы ничего не дала и файл hosts был чист.
Цитата | Quote(Syrax @ 30.01.2011 - 14:58)
Самый лучший и надежный формат c: Либо установка с нуля или если есть то чистый бэкап.
А если он прячется еще не на системном диске?
Тогда скопировать нужную инфу на запасной носитель и отформатировать вобще все.
К счастью банеры не такие зловреды как вирусы и не клонируют себя на другие диски и система сканирования дисков в системе у них тоже я думаю отсутствует.
Поэтому им задается любая 100% существующая папка на системном диске для последующего запуска от туда. Ну или если ее случайно не окажется вероятно он создаст ее сам.
К счастью банеры не такие зловреды как вирусы и не клонируют себя на другие диски и система сканирования дисков в системе у них тоже я думаю отсутствует.
Поэтому им задается любая 100% существующая папка на системном диске для последующего запуска от туда. Ну или если ее случайно не окажется вероятно он создаст ее сам.
Цитата | Quote(Syrax @ 30.01.2011 - 14:58)
Самый лучший и надежный формат c: smile.gif Либо установка с нуля или если есть то чистый бэкап.
Что я с успехом и сделал к примерно к полпятого утра... родной виндусовый диск не хотел грузиться ваще... скачал от зверя и им пытался удалять разделы и форматировать...акронисы там всякие разные использовал... потом фтыкнул снова родной установочный... ни фига не заработал... перегрузился в убунту и гпартедом поудалял всё и везде и форматнул... после этого семёрка х32 встала на ноут с 1гигом оперативки "как родная"... и выделенку сразу нашла, и вайфай отловила... остальной необходимый софт уже после сна "докрутил"
зы. а значимую и ценную инфу на компе хранить - это, как минимум, не правильно...имхо..
Только что как раз пришел от клиента, у которого был WinLock. Правда, это оказался самый простой блокер в моей практике.
Черный экран на весь стол загружался после рабочего стола (панель задач, ярлыки и все такое) с текстом.
Стандартный способ - Диспетчер задач сотню раз. Естественно, он моргал и не показывался, но я заметил, что если ткнуть мышью в то место, где появлялся ДЗ, то некоторое время с ним можно было работать. Нашел в процессах непонятный процесс и завершил. После отключил его из автозагрузки и удалил сам файл.
Нашел способ от Касперского, чтобы никакие WinLock'и не нарушали работу системы
и сразу же сохранил Настройки Каспера для клиентов.
PS: Да, и еще, мож кому пригодится:
Самые распространенные и полезные пункты: 1, 2, 3, 6
Черный экран на весь стол загружался после рабочего стола (панель задач, ярлыки и все такое) с текстом.
Стандартный способ - Диспетчер задач сотню раз. Естественно, он моргал и не показывался, но я заметил, что если ткнуть мышью в то место, где появлялся ДЗ, то некоторое время с ним можно было работать. Нашел в процессах непонятный процесс и завершил. После отключил его из автозагрузки и удалил сам файл.
Нашел способ от Касперского, чтобы никакие WinLock'и не нарушали работу системы
и сразу же сохранил Настройки Каспера для клиентов.
PS: Да, и еще, мож кому пригодится:
Цитата | Quote
1. Перезагрузить компьютер в «безопасном режиме с поддержкой командной строки» (в самом начале загрузки нажать и удерживать клавишу «F8», затем выбрать пункт «Safe Mode with Command Prompt» в меню загрузки Windows).
2. В открывшемся командном интерпретаторе выполнить следующие команды:
3. После перезагрузки удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить файл:
C:\Screen.jpg
5. Удалить ключи системного реестра:
[HKLM\Software\Microsoft\Internet Explorer]
"mynumeeebee" = "+79672406656"
"winsoftie" = "1072652289"
6. Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами.
2. В открывшемся командном интерпретаторе выполнить следующие команды:
Code
reg add "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Shell /t reg_sz /d explorer.exe
shutdown -r -t 0
shutdown -r -t 0
3. После перезагрузки удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
4. Удалить файл:
C:\Screen.jpg
5. Удалить ключи системного реестра:
[HKLM\Software\Microsoft\Internet Explorer]
"mynumeeebee" = "+79672406656"
"winsoftie" = "1072652289"
6. Произвести полную проверку компьютера Антивирусом с обновленными антивирусными базами.
Самые распространенные и полезные пункты: 1, 2, 3, 6
SoftoRooM © 2004-2024