Winlocker-ы и методы устранения.

[Alexandra]

Простите,но....,и это "но" уже всех.
...
Предлагаю здесь делится инфой по безболезненному,относительно,удалению заразы,если унлокеры от дяди Жени и Игоря Данилова не работают.

[BSE]

А насчёт профилактики как? Например, использование UAC (в Vista и Seven, конечно)?

[Keper]

Цитата (BSE) »

А насчёт профилактики как?

не всегда помогает. Давеча приятель звонил, просил помочь разблокировать по телефону. На вопрос как же ты очередной раз умудрился - "да касперский что-то ругнулся и спросил, я ответил "Да"".

[BSE]

Keper

Цитата (Евгений Касперский) »

нельзя отметать влияние человеческого фактора — люди не перестанут делать ошибки, и мошенники всегда с радостью воспользуются этой «уязвимостью».

[Ariny]

Цитата (BSE) »

А насчёт профилактики как?

Так ведь юзеры.

[WestGott]

Alexandra
Иметь образ чистой от вирусов системы со всеми установленными и настроенными программами. В случае WinLock берём загрузочный диск с Ghost'ом, Acronis'ом или чем-то подобным и откатываем систему из образа.
Быстро, просто, эффективно

[Ariny]

Цитата (WestGott) »

Иметь образ чистой от вирусов системы со всеми установленными и настроенными программами. В случае WinLock берём загрузочный диск с Ghost'ом, Acronis'ом или чем-то подобным и откатываем систему из образа.

Эх...

Цитата (Ariny) »

Так ведь юзеры

Добавлено через 2 минуты

BSE, WestGott

Условия задачи: юзерский комп, на нём винлокер. Так понятно?

Добавлено через 5 минут

Мне чаще всего помогала экранная лупа. Win+U => Экранная лупа => Веб.узел Майкрософт => Браузер => Файл => Работать автономно, далее по вкусу (мне по вкусу AVZ).

[WestGott]

Ariny
Я с Winlock'ером ещё ни разу не встречался.
Но тонкие методы не по мне, если у юзера есть образ (который был создан мной же заблаговременно), то убью образом.
Если нет, то загружусь с Live CD Касперского, обновлю ему базы с флэшки и устрою зачистку диска C:.
Если это не поможет, тогда Format C: и установка Windows заново.

С вирусами у меня церемониться не принято

[Ariny]

Цитата (WestGott) »

Я с Winlock'ером ещё ни разу не встречался.

А советы уже даёшь, да ещё Alexandrе...

[WestGott]

Ariny
Образом эта штуковина убивается гарантированно
При помощи Format C: с переустановкой Windows тоже гарантированно убивается, но это радикальный метод и требует много времени.

Антивирусный Live CD может помочь, а может и нет, всё зависит сможет ли данный антивирус в данный момент времени распознать Winlocker'а у и вылечить от него.

Без переустановки можно попробовать грузануться с ERD Commander и посмотреть, кусты автозагрузки реестра на предмет "криминала".

И ещё, на сколько Winlocker блокирует винду?

Вызов диспетчера задач Ctrl + Shift + Esc работает?
А то может и ERD не нужен, открыл диспетчер, посмотрел процессы, нашёл подозрительный, убил его, потом запустил msconfig, нашёл ссылку на процесс в автозагрузке убил её, нашёл файл на винте и удалил.

[Ariny]

WestGott
Дважды эх...
Давай ещё раз? Юзерский компьютер с винлокером, образов нету, формат-це крайне нежелателен.
Антивирусный Live CD не поможет ибо

Цитата (Alexandra) »

унлокеры от дяди Жени и Игоря Данилова не работают

по условию задачи.

Цитата (WestGott) »

И ещё, на сколько Winlocker блокирует винду?

Зависит от локера.

Цитата (WestGott) »

Вызов диспетчера задач Ctrl + Shift + Esc работает?

Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.

[WestGott]

Цитата (Ariny) »

А советы уже даёшь, да ещё Alexandrе...

Ariny
Winlocker - это подвид вируса, в общем плане методы лечения вирусов похожи, вирусы я у нерадивых юзеров выкорчёвывал, так что считаю, что могу давать советы, в меру своих скромных познаний


Добавлено через 1 минуту

Цитата (Ariny) »

Опять же, зависит от локера, чаще нет, чем да, а вот экранная лупа работает почти всегда.

Ariny
А ERD Commander работает всегда, если в компе есть CD/DVD-привод и он исправен

Кстати а как насчёт комбинации клавиш Win + R?
Если работает, то набрав в появившемся окошке taskmgr и нажав Enter мы попадём в диспетчер задач, если Locker конечно даст его запустить.

Добавлено через 7 минут

Цитата (Ariny) »

унлокеры от дяди Жени и Игоря Данилова не работают

Ariny
Кстати Unlocker'ы могут и не работать, а в базах сигнатурки на исполняемый файл Locker'а могут и оказаться, так что я бы скан с антивирусных Live CD со счетов не сбрасывал бы.

[Keper]

WestGott
не встретив винлока или хотя бы не почитав об их поведении, довольно нелепо рассуждать о чём либо тут.

[Freeuse]

WestGott
Гениально!
Вот только не всегда так просто.
В январские каникулы целая эпидемия этой гадости была. Так, я покупал себе тачскин для коммуникатора, зашел в "комок", сидят девчонки, пытаются по мобилке СМС отправить и ругаются, что денег на счету недостаточно. Оказалось- Winlocker на полэкрана. Поскольку из-за этого и мне покупку сделать нельзя, пришлось помогать. Разумеется я в магазин с LiveCD не хожу. Диспетчер задач блокирован, сайт доктора код не знает. Точно не вспомню, какой файл, но сидел он в System32, вычислил по дате создания. Кстати, в автозагрузке на него ссылки почему-то не было (в реестре была).
А пару недель назад доца на ноутбук впоймала (точнее не она, а суслик ее). Сидит козленочек, глазками лупает: я только нажал..., а оно...
Женя Касперский экран разблокировал, но начались глюки. Эта сволочь заменила файл ctfmon.exe.
Так, что...

[Ariny]

Цитата (WestGott) »

Winlocker - это подвид вируса

Это не вирусы. Юзеры их сами устанавливают. Ты, действительно, почитай сначала о них что-нибудь.

[WestGott]

Freeuse
Я против вирусов без "оружия" не хожу.
Cтандартный комплект, это флэшка со свежими базами на Веба и Каспера, с консольной версией Dr. Web, Live CD Касперского, ERD Commander, кроме того Boot CD с Ghost ну и загрузочный дистриб Windows. Всего этого, как правило хватает, чтобы извести любой вирус.

Цитата (Freeuse) »

Разумеется я в магазин с LiveCD не хожу. Диспетчер задач блокирован, сайт доктора код не знает. Точно не вспомню, какой файл, но сидел он в System32, вычислил по дате создания. Кстати, в автозагрузке на него ссылки почему-то не было (в реестре была).

Изумительно, а как же был запущен regedit, а также файловый менеджер или на крайняк консоль (cmd.exe)?

Цитата (Freeuse) »

В январские каникулы целая эпидемия этой гадости была.

На личных компьютерах у меня эпидемий не бывает, потому что организована продуманная антивирусная оборона, поэтому меня не беспокоят не Winlocker'ы не Kido не MS-Blast и прочия.

Цитата (Ariny) »

Это не вирусы. Юзеры их сами устанавливают.

Ariny
Чем это принципиально отличается от открытия почтового вложения с exe-файлом замаскированным под картинку?

Вирус - это общее название для всех вредоносных программ.
А уж тонкости классификации в виде локеры, черви, трояны, собственно вирусы (те которые запускные файлы поражают и коих сейчас мало), руткиты и прочие - всю эту разношёрстную публику в общем называют вирусами, так что тонкости классификации тут ни к чему.

Цитата (Ariny) »

Ты, действительно, почитай сначала о них что-нибудь.

Любая вредоносная программа - это программа.
И первое что она должна себе обеспечить - это загрузку и выполнение при старте системы, для этого все используют несколько механизмов, помещение исполняемого файла в автозагрузку, помещение ссылок в кусты реестра автозагрузки, подмена или внедрение в исполняемые файлы, которые загружаются системой автоматически.

И если Winlock'ер или вирус накрепко блокировал систему, что хоткеи не работают и другие приложения никак не запустить, то первое что можно попробовать в этом случае это в начале загрузки винды нажать F8 и попытаться загрузить винду в безопасном режиме, если в графическом безопасном тоже всё блокировано, то попробовать безопасный режим с командной строкой, ну а если и оттуда ничего нельзя сделать, то остаётся ERD Commander и из него уже копать. Но до него всё-таки лучше попробовать просканировать системный раздел с антивирусного Live CD.

[Keper]

WestGott
молодец. А если по делу?
Не разглагольствовать, а по делу. Но вот для этого надо знать что это и опыт борьбы иметь, а не теориями разбрасываться.

[Ariny]

Цитата (WestGott) »

Но до него всё-таки лучше попробовать просканировать системный раздел с антивирусного Live CD

Когда унлокеры "от дяди Жени и Игоря Данилова" локера не знают - LiveCD от них же не помогли ни разу. Теоретически могут помочь, конечно, но на практике это потеря времени.

[WestGott]

Keper
Есть два универсальных способа избавления от вирусов, это откат системы из чистого образа и переустановка системы, через Format C:.

Работа всех остальных методов зависят от конкретного экземпляра вредоносной программы.

Вы я тут погляжу все опытные, вот и поделитесь опытом.

У Вас есть конкретные претензии к использованию безопасного режима или ERD Commander?

Добавлено через 2 минуты

Цитата (Ariny) »

Когда унлокеры "от дяди Жени и Игоря Данилова" локера не знают - LiveCD от них же не помогли ни разу. Теоретически могут помочь, конечно, но на практике это потеря времени.

Ariny
Спасибо за ценное замечание!
В этом случае, остаётся выходить на след локера по автозагрузке, что может оказаться весьма не просто.

Помниться я как-то столкнулся с вирём, кажется он назывался VBS-killer так ссылка на загрузку его тела была не в стандартных кустах автозагрузки, а в каких-то дебрях. Благо фамилия виря была известна и при помощи интернета я нашёл куст со ссылкой на запуск зловреда.

[BSE]

Цитата (Ariny) »

Это не вирусы. Юзеры их сами устанавливают.

Прошлым летом спецом установил себе AdSubScribe, на Vist'у ещё - не завелась . Пришлось удалять, даже не полюбовавшись