Отправлено: 23.06.11 07:45. Заголовок: Ручное удаление баннеров, блокираторов, вымогателей через LiveCD

Самая свежая статья: Лечение баннеров и блокираторов без антивирусных программ

Ручное удаление баннеров, блокираторов, вымогателей через LiveCD - http://antivir.host22.com/metodika/0031.html
Зеркало: http://koscl.narod.ru/metodika/0031.html

цитата:

На зараженном компьютере загрузитесь с диска LiveCD и с него подключитесь к реестру зараженной Windows, поправите несколько значения реестра и через Проводник или Тотал командер почистите подозрительные файлы на зараженном компьютере. Дальше я подробно опишу как записывать LiveCD на болванку и как загружаться с нее...

 Отправлено: 08.09.11 19:43. Заголовок: 6 метод

вот еще способ подключиться с реестру зараженной windows:

ftp://devbuilds.kaspersky-labs.com/devbuilds/Kaspersky%20Registry%20Editor/

Вставляете диск в привод (или подключаете флешку) и загружаетесь:
– когда пойдет отсчет времени для входа в меню (10 с), нажмите Enter
– выберите необходимый язык из списка
– выберите загрузку в графическом режиме, дождитесь окончания настройки и появления окна лицензионного соглашения
– установите текстовый курсор в самую нижнюю строку и примите соглашение, нажав клавишу C, – появится некое подобие Рабочего стола с кнопкой Пуск
– выберите Kaspersky Registry Editor
Откроется редактор реестр
– выберите нужную систему (та, которая заблокирована), если у Вас их несколько

---

по материалам virusinfo.info

 Отправлено: 15.10.11 12:07. Заголовок: Добавил: Проверьте н..

Добавил:

цитата:

Проверьте наличие в реестре папки HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ explorer.exe если есть, то удалите ее.

Конечно, это можно относится и у другим файлам, например процесс Диспетчера задач

 Отправлено: 26.11.11 19:01. Заголовок: Ребят сделала всё ка..

Ребят сделала всё как написано... не помогло но когда открула редактор у меня вот этих строк совсем не было HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager. Помогите плиз

 Отправлено: 26.11.11 20:04. Заголовок: Юлёна попробуйте: 1)..

Юлёна попробуйте:
1) http://antivir.h18.ru/metodika/0026.html
2) если первое не помогло, то: http://antivir.h18.ru/metodika/0028.html

 Отправлено: 04.01.12 12:36. Заголовок: также стоит изучить ..

также стоит изучить

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

цитата:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

Параметры:

"load"="programma" — программы запускаемые до входа пользователя в систему:
"run"="programma" — программы запускаемые после входа пользователя в систему.

Эти параметры — аналог автозагрузки из Win.ini в Windows 9х. Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

цитата:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows] "load"="iexplore.exe" "run"="notepad.exe"

---

Самый примитивный способ старта зловреда через папку Автозапуск. Но местоположение этой папки можно изменить, и поэтому поиск зловреда может быть усложнен при ручной зачистке:

Смена папки автозагрузки

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

цитата:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders] "Common Startup"="%ALLUSERSPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для всех пользователей системы. [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \User Shell Folders] "Startup"="%USERPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки. Например:

цитата:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders] "Startup"="c:\mystartup" — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

 Отправлено: 15.01.12 10:59. Заголовок: Еще временные папки Windows 7

Еще временные папки Windows 7

В Windows 7 также ищите подозрительные файлы в следующих папках:
C:\$RECYCLE.BIN

C:\USERS\ESS\APPDATA\LOCAL\TEMP
C:\TEMP
C:\WINDOWS\TEMP
C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\TEMP
C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP
C:\USERS\ESS\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
C:\USERS\ESS\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\GPXY9Y30.DEFAULT\CACHE
C:\USERS\ESS\LOCAL SETTINGS\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE
C:\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\TEMP
C:\USERS\DEFAULTAPPPOOL\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
C:\USERS\DEFAULT\APPDATA\LOCAL\TEMP
C:\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES

 Отправлено: 28.04.12 14:21. Заголовок: Мне удалось!!

Спасибо Автору! http://antivir.h18.ru/metodika/0031.html
Мне удалось убрать баннер через загрузку с LiveCD.
После прошелся по указанным данным реестра и ЧУДО - пропал проклятый!!

 Отправлено: 11.07.12 22:18. Заголовок: пропала активация семёрки

Спасибо Автору!
Однако есть такой вот вопрос -
сделав всё по советам автора/ручное ред. реестра/, а затем загрузившись с Kaspersky Rescue Disk 10
получил вроде как решение проблемы с банером - он пропал, однако пропала и активация семёрки.
Вот и думаю, где я напортачил в чистке реестра, или ещё в чём?
Тут вот
"HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Вы зашли в ветку, в которой (справа) видно, что грузится вместе с Windows - удалите подозрительные записи.
Также удалите подозрительные записи здесь:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run"
Я , как помню поудалял там кой какие записи и вопрос бы по признакам подозрительности файлов, хотелось бы обсудить, может я чего то там не того удалит?
И по ходу вопрос - как могла/в результате каких действий/ могла слететь активация Винды? Или может касперский поспособствовал?

 Отправлено: 11.07.12 22:32. Заголовок: b]shtrek Если речь ..

shtrek
Если речь идет об слете активации с не лицензионной Windows, то вариантов тут много. Заново активировать получилось?

 Отправлено: 12.07.12 16:57. Заголовок: shtrek Признаки под..

shtrek
Признаки подозрительности - это подозрительное имя файла, подозрительное расположение файла. Например, если файл во временной папке и в автозапуске, то высокая вероятность что это зловред.
Кстати, в этой инструкции в конце идут примеры подозрительных папок.
Но если у зловреда есть права админа, то он может выглядеть как какой-то нужный файл.
В общем, тут нужна тренировка. Посмотрите разделы "помогите" на сайта вирусинфо и касперского - рассмотрите скрипты лечения, которые делают хелпперы пользователям, так вы сможете получить больше представления об отличии зловредных записей от нормальных.

А по теме удаления баннеров, советую иметь LiveCD AntiSMS под рукой - отличное средство для удаления троянов одним кликом мыши.

 Отправлено: 12.07.12 21:16. Заголовок: tmp пишет: Заново а..

tmp пишет:

цитата:

Заново активировать получилось?

Получилось...
Однако тоже какие то заморочки -
при входе, появляется текст - "Вход в систему выполнен с временным профилем"
Настраиваю рабочий стол/фон и прочее/...
Перезагружаюсь и опять та же байда -
"Вход в систему выполнен с временным профилем"
зы. после входа смотрю активацию - комп- св-ва - активации нет, а через пару сек. появляется надпись о том, что активация выполнена.
перезагружаюсь и опять -
смотрю активацию - комп- св-ва - активации нет, а через пару сек. появляется надпись о том, что активация выполнена.
никогда таких заморочек не было, вот и думаю может зловред мне чего то напортил в системе?!

 Отправлено: 12.07.12 21:46. Заголовок: прогоните систему ан..

прогоните систему антисмс-ом

 Отправлено: 13.07.12 01:06. Заголовок: Проблему с заходом в..

Проблему с заходом в систему с временным профилем вроде как решил.
Делал отсюда
http://support.microsoft.com/kb/947215/ru
правку реестра первым способом


было две папки, имена которых начинаются с S-1-5 и содержат одинаковое длинное число, причем имя одной папки заканчивается на .bak.

переименовал их, как предлагалось
значение ProfileImagePath было в разных папках разным
C\User\Temp
и
C\User\Штрек

И вот я по недоумию сделал их одинаковыми
C\User\Штрек
хотя может это и нормально и ошибка была в чём то другом/см. ниже/

RefCount в обеих папках был равен изначально равен 0
а вот с разделом State вышла непонятка
мелкософтные пишут надо вставить значение 0, а на картинке стоит 100
я поставил 100/было 8100/
перезагрузился
получил нормальный/вроде/ вход с профилем Штрек, хотя почему то с черным фоном.
Пытаюсь изменить фон раб. стола - ни хрена не меняется.
Думаю надо всё таки проставить State равным нулю, правлю

и

получаю вход нормальный и сразу запрет входа из за каких то сетевых заморочек вход запрещён.
Т.е. зайти в винду не могу в принципе.
Запускаю Live CD от Касперского/там есть вариант редактора реестра/ правлю всё назад, т.е. обратно переим. и прочее. Значение ProfileImagePath поставил как было и тут вроде и произошла рок. ошибка - когда переименовывал папки они поменялись местами и видно я значения State перепутал.

и

получил гораздо большую проблему -

пропала моя профильная папка с именем Штрек/хотя при правке реестра у одной из папок нач. с S-1-5 у ProfileImagePath была ссыла на мою профильную папку Штрек была и папок с именем нач. с S-1-5 было две - в одной ProfileImagePath ссылался на
C\User\Temp
вторая на
C\User\Штрек
видно с значениями State была перепутка
перезагрузился
имею нормальный вход - раб. стол правится, а вот захожу в C\User и папки Штрек нету, а вот появилась папка Temp, которой раньше не было/.


теперь есть только вроде как новая папка по имени Temp которая теперь является моей профильной.
В папке Штрек было много много чего, в том числе пару вердовских док. с важными записями.
Её, .ля винда удалила. Искал её на компе по названии Штрек - хрена вам - не находится.
Может кто подскажет - можно ли её как то/с божьей помощью, или какой то прогой восстановить/?
Мне бы её просто найти, а профилем я её как то сделаю/или просто из неё заберу важные для меня файлы вердовские./
зы. или может попробовать откатить систему?
восстановит ли это папку Штрек?

зы. категорически извиняюсь перед админом за много бУкф, однако думаю мой пример будет о том, что править вручную реестр надо с большой осторожностью...

 Отправлено: 13.07.12 10:03. Заголовок: Попробуйте программы..

Попробуйте программы для восстановления данных, их много.
Самая простая Recuva, почитать можно тут: http://www.computerra.ru/terralab/softerra/634923/

Более мощная R-Studio: http://forum.oszone.net/thread-11967.html