![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
"В теории, лечение выглядит простым: определяем процесс, отвечающий за показ баннера; ищем файл, который его запускает; останавливаем процесс, удаляем инфицированный файл и убираем ссылки на него в реестре. Только вирус обычно блокирует запуск диспетчера задач и маскирует название процесса.
На помощь приходит программа Process Explorer, написанная Марком Русиновичем.
Она относится к классу программ, расширяющих возможности диспетчера задач. Process Explorer выделяется уникальным режимом визуального определения запущенного процесса. Выглядит это так: пользователь нажимает кнопку с изображением мишени, наводит курсор на порнобаннер и получает название процесса. Тут же можно найти файл, запускающий вредоносный процесс. Далее нужно загрузиться в безопасном режиме и почистить систему вручную."
(источник)
От себя добавлю, что такой способ не всегда и не везде прокатывает. Сам сталкивался недавно со случаем, когда порнобаннер блокирует все процессы - невозможно загрузится в безопасном режиме, не работают "три кнопки", не открывается меню ПУСК - полное ощущение, что на экран натянули скриншот Рабочего стола. Наиболее доступные способы для устранения "зверушки":
1. Зайти с другого компа на сайт к Dr.Web, ESET или Касперскому и там найти разблокирующий код
2. Позвонить по бесплатным номерам 8-800-100-73-37 или 8-800-555-01-02
3. Заранее запастись загрузочным диском с каким-нибудь WinLive (я обычно использую либо Alkid Live CD либо RusLive RAM). В случае подобной проблемы достаточно загрузится с этого диска, а потом программой AutoRuns или чем-то подобным вычистить из автозагрузки системы всё лишнее и подозрительное.
4. Если порнобаннер оставил возможность сделать откат системы - сделайте его, а потом тщательно пройдитесь антивирем по винчестеру и посмотрите придирчивым взглядом, что за программы прописались у вас в автозагрузке (используйте для этого утилиты Autoruns, Process Explorer, Anvir Task Manager и т.п.).
Чтобы откат работал, проверьте включено ли у вас в системе Восстановление (Панель Управления - Система - дальше см. по закладкам). Частенько на самопальных сборках WinXP эта функция изначально отключена, т.ч. если Windows устанавливался с диска "от Zver'я, Сэма, Loner'а и т.п." не поленитесь обратить внимание на этот пункт.
5. Попробовать откатить назад время на пару деньков, недель (в системе, в БИОСе) и перезагрузить компьютер. Сам не пробовал, но у знакомых иногда получалось. Для порнобаннера с таймером такой вариант вполне возможен.После этого, естественно, самым тщательным образом пройтись по винчестеру и записям автозагрузки "частым бреднем".
---------------------------------
Не поленитесь и установите себе заранее программу Anvir Task Manager - она контролирует попытки любой программы прописать себя в автозагрузку. Установили? Тогда сразу посмотрите, что там у вас уже висит в автозагрузки. Может порнобаннер уже там, только ждет своего часа, да и вообще, много всякого мусора пытается загрузить себя вместе со стартом системы: всяческие Download Master'a, MailAgent'ы, ускорители загрузки AdobeReader, MS Office, обновлялки того же Adobe... Оно вам надо?
UPD: Нашли файл, удалили, порнобаннер больше не беспокоит? А реестр почистить после всего проделанного? RegCleaner, Wise RegistryCleaner, Reg Organizer, комплексные утилиты, такие как AusLogics BoostSpeed или TuneUp Utilities, весьма поспособствуют поддержанию системы в работоспособном состоянии...
На помощь приходит программа Process Explorer, написанная Марком Русиновичем.
Она относится к классу программ, расширяющих возможности диспетчера задач. Process Explorer выделяется уникальным режимом визуального определения запущенного процесса. Выглядит это так: пользователь нажимает кнопку с изображением мишени, наводит курсор на порнобаннер и получает название процесса. Тут же можно найти файл, запускающий вредоносный процесс. Далее нужно загрузиться в безопасном режиме и почистить систему вручную."
(источник)
От себя добавлю, что такой способ не всегда и не везде прокатывает. Сам сталкивался недавно со случаем, когда порнобаннер блокирует все процессы - невозможно загрузится в безопасном режиме, не работают "три кнопки", не открывается меню ПУСК - полное ощущение, что на экран натянули скриншот Рабочего стола. Наиболее доступные способы для устранения "зверушки":
1. Зайти с другого компа на сайт к Dr.Web, ESET или Касперскому и там найти разблокирующий код
2. Позвонить по бесплатным номерам 8-800-100-73-37 или 8-800-555-01-02
3. Заранее запастись загрузочным диском с каким-нибудь WinLive (я обычно использую либо Alkid Live CD либо RusLive RAM). В случае подобной проблемы достаточно загрузится с этого диска, а потом программой AutoRuns или чем-то подобным вычистить из автозагрузки системы всё лишнее и подозрительное.
4. Если порнобаннер оставил возможность сделать откат системы - сделайте его, а потом тщательно пройдитесь антивирем по винчестеру и посмотрите придирчивым взглядом, что за программы прописались у вас в автозагрузке (используйте для этого утилиты Autoruns, Process Explorer, Anvir Task Manager и т.п.).
Чтобы откат работал, проверьте включено ли у вас в системе Восстановление (Панель Управления - Система - дальше см. по закладкам). Частенько на самопальных сборках WinXP эта функция изначально отключена, т.ч. если Windows устанавливался с диска "от Zver'я, Сэма, Loner'а и т.п." не поленитесь обратить внимание на этот пункт.
5. Попробовать откатить назад время на пару деньков, недель (в системе, в БИОСе) и перезагрузить компьютер. Сам не пробовал, но у знакомых иногда получалось. Для порнобаннера с таймером такой вариант вполне возможен.После этого, естественно, самым тщательным образом пройтись по винчестеру и записям автозагрузки "частым бреднем".
---------------------------------
Не поленитесь и установите себе заранее программу Anvir Task Manager - она контролирует попытки любой программы прописать себя в автозагрузку. Установили? Тогда сразу посмотрите, что там у вас уже висит в автозагрузки. Может порнобаннер уже там, только ждет своего часа, да и вообще, много всякого мусора пытается загрузить себя вместе со стартом системы: всяческие Download Master'a, MailAgent'ы, ускорители загрузки AdobeReader, MS Office, обновлялки того же Adobe... Оно вам надо?
UPD: Нашли файл, удалили, порнобаннер больше не беспокоит? А реестр почистить после всего проделанного? RegCleaner, Wise RegistryCleaner, Reg Organizer, комплексные утилиты, такие как AusLogics BoostSpeed или TuneUp Utilities, весьма поспособствуют поддержанию системы в работоспособном состоянии...
Tags: