y-s.narod.ru - Интернет и компьютер новичкам. Советы, подсказки


Баннеры, локеры и борьба с ними


Собственный и заимствованный опыт

По данным Лабораторий Касперского и Dr.Web вирусы-вымогатели были самыми распространенными среди вредоносных программ в прошедшем году и бьют все рекорды в году настоящем.

Попытаюсь привести собственную классификацию зловредов, с коими приходилось успешно бороться.

Простейший случай: рекламный баннер, зачастую "недетского" содержания, перекрывающий значительную часть монитора. Кроме рекламы содержит настоятельное предложение отправить SMS на короткий номер для получения ключа-деактиватора. Всплывает эта "нечисть" только после запуска Internet Explorer.

Для изничтожения заразы нужно ухитриться, используя незанятую часть экрана, пробраться в настройки IE (Сервис-->Свойства обозревателя) и отключить подозрительные надстройки. Если подозрительных нет или все являются таковыми - отключать поочередно, с перезагрузкой системы.

Более профессиональный способ - использование бесплатной утилиты Марка Руссиновича autoruns.

После первого запуска утилиты соглашаемся с условиями использования и через пару секунд перед нами огромный список служб, файлов, драйверов и всего того, что стартует вместе с системой.

Дабы не плутать в сотнях строк, вверху выбираем закладку InternetExplorer и пытаемся "отделить зерна от плевел".

Снятая галочка - отключение автозапуска данного компонента.

Более серьёзный противник - очень похожий по проявлениям, но не "привязанный" к веб-браузеру от MicroSoft. Часто блокирует диспетчер задач. Поэтому - опять sysinternals.com - очередной шедевр Руссиновича: ProcessExplorer. Полноценная замена taskmgr от MS.

Запускаем и внимаем. Нужно приблизительно представлять себе, что за процессы крутятся на компьютере. Тогда "чужие" процессы сами бросаются в глаза. Чужих - убиваем через контекстное меню или красным крестиком в верхнем меню.

Убили баннер - снова в autoruns. Ищем откуда зараза стартовала.

Особое внимание - на разделы:

В userinit - только userinit, в shell - разумеется explorer, а вот в run - наборы у всех свои. Очень может быть, что среди всяких QuickTime и SoundMan затесался неприметненький plugin.exe (такой был у меня).

Итак, локализуем посторонних, снимаем галочку и перезагружаем систему, дабы убедиться в правильности нашего определения.

Самый сильный соперник, с собирательным именем WinLocker, блокирует вход в систему и вывешивает баннер.

Для победы на этой напастью потребуется LiveCD с возможностью редактирования реестра гостевой системы.

На мой взгляд, вполне подходит ERD-Commander. Скачиваем, прожигаем на диск, загружаемся с диска. В загрузившейся оболочке, через меню запускаем редактирование реестра и тщательно исследуем те же разделы, что и выше.

Нередко зараза сидит в ключе userinit - через запятую. Встречался и переписанный ключ shell - там вообще не упоминался проводник, а сидел некий jhgk4yujydf7sd.avi.exe.

Изменяем значения ключей на правильные и перезагружаемся.

Свежий примерчик (12.06.2010)

 

Работа порнобаннера

Пришел на работу,   а посредь рабочего стола - красотки на розовом фоне

Случай - промежуточный, между вторым и третьим. То есть Windows загружается, программы запускаются, но никак не реагируют в дальнейшем.

Загрузка с CD-Live (ERD-Commander 2005) и анализ ситуации выявили:

Поправил реестр, удалил (точнее припрятал в коллекцию) зловредов с диска.  И вот, уже описал ситуёвину...

Hosted by uCoz

Hosted by uCoz