![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
"В теории, лечение выглядит простым: определяем процесс, отвечающий за показ баннера; ищем файл, который его запускает; останавливаем процесс, удаляем инфицированный файл и убираем ссылки на него в реестре. Только вирус обычно блокирует запуск диспетчера задач и маскирует название процесса.
На помощь приходит программа Process Explorer, написанная Марком Русиновичем.
Она относится к классу программ, расширяющих возможности диспетчера задач. Process Explorer выделяется уникальным режимом визуального определения запущенного процесса. Выглядит это так: пользователь нажимает кнопку с изображением мишени, наводит курсор на порнобаннер и получает название процесса. Тут же можно найти файл, запускающий вредоносный процесс. Далее нужно загрузиться в безопасном режиме и почистить систему вручную."
(источник)
От себя добавлю, что такой способ не всегда и не везде прокатывает. Сам сталкивался недавно со случаем, когда порнобаннер блокирует все процессы - невозможно загрузится в безопасном режиме, не работают "три кнопки", не открывается меню ПУСК - полное ощущение, что на экран натянули скриншот Рабочего стола. Наиболее доступные способы для устранения "зверушки":
1. Зайти с другого компа на сайт к Dr.Web, ESET или Касперскому и там найти разблокирующий код
2. Позвонить по бесплатным номерам 8-800-100-73-37 или 8-800-555-01-02
3. Заранее запастись загрузочным диском с каким-нибудь WinLive (я обычно использую либо Alkid Live CD либо RusLive RAM). В случае подобной проблемы достаточно загрузится с этого диска, а потом программой AutoRuns или чем-то подобным вычистить из автозагрузки системы всё лишнее и подозрительное.
4. Если порнобаннер оставил возможность сделать откат системы - сделайте его, а потом тщательно пройдитесь антивирем по винчестеру и посмотрите придирчивым взглядом, что за программы прописались у вас в автозагрузке (используйте для этого утилиты Autoruns, Process Explorer, Anvir Task Manager и т.п.).
Чтобы откат работал, проверьте включено ли у вас в системе Восстановление (Панель Управления - Система - дальше см. по закладкам). Частенько на самопальных сборках WinXP эта функция изначально отключена, т.ч. если Windows устанавливался с диска "от Zver'я, Сэма, Loner'а и т.п." не поленитесь обратить внимание на этот пункт.
5. Попробовать откатить назад время на пару деньков, недель (в системе, в БИОСе) и перезагрузить компьютер. Сам не пробовал, но у знакомых иногда получалось. Для порнобаннера с таймером такой вариант вполне возможен.После этого, естественно, самым тщательным образом пройтись по винчестеру и записям автозагрузки "частым бреднем".
---------------------------------
Не поленитесь и установите себе заранее программу Anvir Task Manager - она контролирует попытки любой программы прописать себя в автозагрузку. Установили? Тогда сразу посмотрите, что там у вас уже висит в автозагрузки. Может порнобаннер уже там, только ждет своего часа, да и вообще, много всякого мусора пытается загрузить себя вместе со стартом системы: всяческие Download Master'a, MailAgent'ы, ускорители загрузки AdobeReader, MS Office, обновлялки того же Adobe... Оно вам надо?
UPD: Нашли файл, удалили, порнобаннер больше не беспокоит? А реестр почистить после всего проделанного? RegCleaner, Wise RegistryCleaner, Reg Organizer, комплексные утилиты, такие как AusLogics BoostSpeed или TuneUp Utilities, весьма поспособствуют поддержанию системы в работоспособном состоянии...
На помощь приходит программа Process Explorer, написанная Марком Русиновичем.
Она относится к классу программ, расширяющих возможности диспетчера задач. Process Explorer выделяется уникальным режимом визуального определения запущенного процесса. Выглядит это так: пользователь нажимает кнопку с изображением мишени, наводит курсор на порнобаннер и получает название процесса. Тут же можно найти файл, запускающий вредоносный процесс. Далее нужно загрузиться в безопасном режиме и почистить систему вручную."
(источник)
От себя добавлю, что такой способ не всегда и не везде прокатывает. Сам сталкивался недавно со случаем, когда порнобаннер блокирует все процессы - невозможно загрузится в безопасном режиме, не работают "три кнопки", не открывается меню ПУСК - полное ощущение, что на экран натянули скриншот Рабочего стола. Наиболее доступные способы для устранения "зверушки":
1. Зайти с другого компа на сайт к Dr.Web, ESET или Касперскому и там найти разблокирующий код
2. Позвонить по бесплатным номерам 8-800-100-73-37 или 8-800-555-01-02
3. Заранее запастись загрузочным диском с каким-нибудь WinLive (я обычно использую либо Alkid Live CD либо RusLive RAM). В случае подобной проблемы достаточно загрузится с этого диска, а потом программой AutoRuns или чем-то подобным вычистить из автозагрузки системы всё лишнее и подозрительное.
4. Если порнобаннер оставил возможность сделать откат системы - сделайте его, а потом тщательно пройдитесь антивирем по винчестеру и посмотрите придирчивым взглядом, что за программы прописались у вас в автозагрузке (используйте для этого утилиты Autoruns, Process Explorer, Anvir Task Manager и т.п.).
Чтобы откат работал, проверьте включено ли у вас в системе Восстановление (Панель Управления - Система - дальше см. по закладкам). Частенько на самопальных сборках WinXP эта функция изначально отключена, т.ч. если Windows устанавливался с диска "от Zver'я, Сэма, Loner'а и т.п." не поленитесь обратить внимание на этот пункт.
5. Попробовать откатить назад время на пару деньков, недель (в системе, в БИОСе) и перезагрузить компьютер. Сам не пробовал, но у знакомых иногда получалось. Для порнобаннера с таймером такой вариант вполне возможен.После этого, естественно, самым тщательным образом пройтись по винчестеру и записям автозагрузки "частым бреднем".
---------------------------------
Не поленитесь и установите себе заранее программу Anvir Task Manager - она контролирует попытки любой программы прописать себя в автозагрузку. Установили? Тогда сразу посмотрите, что там у вас уже висит в автозагрузки. Может порнобаннер уже там, только ждет своего часа, да и вообще, много всякого мусора пытается загрузить себя вместе со стартом системы: всяческие Download Master'a, MailAgent'ы, ускорители загрузки AdobeReader, MS Office, обновлялки того же Adobe... Оно вам надо?
UPD: Нашли файл, удалили, порнобаннер больше не беспокоит? А реестр почистить после всего проделанного? RegCleaner, Wise RegistryCleaner, Reg Organizer, комплексные утилиты, такие как AusLogics BoostSpeed или TuneUp Utilities, весьма поспособствуют поддержанию системы в работоспособном состоянии...
Tags:
no subject
Хороший пост.
no subject
2. Антивирусы не реагируют на порнобаннеры, т.к. порнобаннер - это не вирус по определению.
no subject
2.То, что ты описал, не "пронобаннер", а типичнейшее "riskware", опасней многих "типовых" вирусов, раз уж так наглухо блокирует ОС, что рабстол производит впечатление скриншота. И само собой, антивирусы ОБЯЗАНЫ на эту хрень реагировать. Чтобы перевести спор в предметную плоскость, предлагаю назвать источник "порнобаннера" или как называются создаваемые им файлы, или прочие "особые приметы".
no subject
2. Почитай сначала о порнобаннерах, и не пиши эту ахинею. Такой эффект можно получить из любого exe-шника при правильной обработке.
>>>Чтобы перевести спор в предметную плоскость
Ага, давай ты немножко почитаешь, что представлять предмет о котором хочешь поговорить, а потом будем дискутировать.
no subject
no subject
Сборки бывают всякие, нужно смотреть что и как, к тому же, большинство кейгенов и патчей для регистрации софта антивирями рассматриваются как трояны или черви. Отсюда бесконечные крики о наличии вируса в раздачах взломанного софта. Никто же не заставляет тащит всё подряд из интернета, особенно если "дуб как дерево" в таких вопросах.