9 мая 2010 в 22:43

Кто виноват или/и что делать для Чайников (о «винлокерах»)

Накопив определенный опыт в помощи «неосторожным» и обобщив его решил написать краткую обозревательную статейку по проблеме различных смс-вымогателей ака информеров. Опытный ИТ-шник вряд ли найдет в ней что-то новое, но большая часть простых пользователей, вероятно, найдут в ней что-то полезное либо просто интересное для себя.
Назовем её «Кто виноват или/и что делать для Чайников».

Ручки шаловливые ...
image
Как показывает практика, для большинства простых пользователей факт заражения системы не вызывает каких-либо особых опасений — вроде все кое-как да работает, немного тормозит система да выскакивают время от времени ошибки, но в целом это не мешает удовлетворять свои скромные повседневные потребности – общаться в соц.сетях, послушать музыку да фильм посмотреть. А значит заботится о какой-то защите не кажется столь важным. А в то время зараженная ЭВМ днями напролет работает на благо ДиДосеров, спамеров да остальных не менее непорядочных товарищей…

Затем в какой-то момент отношение кардинально меняется, когда система оказывается заблокирована, да еще и за разблокировку просят ваши кровные. Тут и начинается поиск виновного. А его поди найди – кто признается в установке «специального кодека» для просмотра определенного видео либо в посещении иного развлекательного портала?

Просмотр истории посещений помогает определить примерные источники заражения, но не будешь же у всех на глазах разоблачать виновника. Увы, а прямо признаются лишь единицы. Хотя и просто любопытных хватает…

Исходя из своего опыта помощи от избавления заразы, могу сказать, что просматривается примерно следующий исторический путь становления блокираторов.

Не так давно, когда баннеры («винлоки» в дальнейшем) были достаточно просты и представляли из себя лишь надстроечку (BHO) для IE, вся борьба с ними заключалась в отключении этой самой надстройки. В принципе, проблема и решалась элементарно — трехминутная консультация по телефону – и все счастливы.

Время спустя, начали появляться «вымогалки», блокирующие не только IE, но и другие браузеры, используя, скажем, тот же JS. Начали появляться первые трояны, которых без наличия антивирусной программы, обычному пользователю побороть было уже практически невозможно, что и подтверждалось грустным мычанием в трубку пострадавших жертв.

Да и в то время практически все программы еще позволяли себя убрать посредством кода, полученного через СМС. Причем СМС стояли на порядок меньше, нежели в настоящее время.

Но явление все еще не приводило пользователей в неописуемые ужас, ибо блокировался лишь браузер. Закрыв его, можно было забыть о «неприятности» и продолжить заниматься любимыми делами.

Позже информеры эволюционировали и превратились сперва из надоедающего и мешающего окошка, висящего посреди рабочего стола, в настоящий ахтунг (перевод с нем. – мерзкая фигня, вымогающая деньги), который при загрузке ОС блокировал весь рабочий стол, попытка запуска диспетчера задач ни к чему не приводила, кроме появлению грустной физиономии на лице пользователя, а заблокированный реестр и «безопасный режим» окончательно ставили точку на попытке самостоятельно решить проблему. И хотя порой помогали хитрые приемы, типа многократного нажатия «шифта», либо использования «win+u» с последующим запуском требующегося ПО через браузер, со временем и эта хитрость потеряла актуальность.

Блокираторы переросли из разряда «стикер» в разряд «сверхограниченная учетная запись». Вскоре разработчики информеров окончательно озверели, и для запуска ПО перестали помогать даже приемы со сменой расширения в com, pif, cmd, bat типы – без livecd уже стало не обойтись.

image

Апогеем стал информер, получивший самое широкое распространение в декабре прошлого года — uFast Download Manager.

Как?

Если стандартный запуск антивируса по какой-то причине не помог (вредитель либо не обнаружен, либо АВ вообще не запускается), приходится воспользоваться дополнительным утилитами.

Стандартный набор для восстановления системы пользователей из-под самой зараженной системы стандартен – тут всем известный AVZ, и не менее популярный HiJackThis, некоторые программы от SysInternals, позволяющие отследить активность различных подсистем, а так же, конечно, сами антивирусные сканеры типа CureIt, AntiViral Toolkit, NOD32 и другие менее известные.

Надо заметить, что для разблокировки системы иногда бывают полезны генераторы кодов (этакие кейгены для вирусов) от производителей антивирусного ПО, которые создают сервисы, позволяющие подобрать коды для разблокировки системы, однако в последнее время они теряют актуальность в виду того, что блокираторы перестают содержать в себе саму функцию разблокировки на основе полученного СМС-кода — они просто не рассчитаны на это.

Пару полезных ссылочек приводятся ниже, могут пригодится:


У предпоследнего страница даже выполнена в футуристическом дизайне на флеше, дабы подчеркнуть важность и уникальность проекта, я так полагаю.

image

Так же надо отметить что, порой на форумах появляются алгоритмы ручного подбора кода. Бывает помогает, бывает нет. Пробовать надо.

Часть пострадавших обращаются к своему оператору, который дает коды разблокировки, опять же, если информер поддерживает такую функцию.

Принимаясь за поиск вредителя, в первую очередь (после не/удавшегося сканирование антивирусными утилитами, кои описывать не буду ввиду его простоты), стоит брать AVZ Зайцева Олега. Программа обладает поистине широкими возможностями. Скачать ее можно с сайта автора z-oleg.com.

AVZ позволяет обнаружить вредоносные файлы и убрать их из системы посредством анализа работы файлов, причем поддерживается большое количество эвристических микропрограмм, большая база сигнатур, нейроанализаторы, программы поиска и устранения проблем, большое количество вспомогательных подпрограмм. Причем, если в системе находится продвинутый вредитель, который не позволяет запустить программу, то можно воспользоваться запуском из консоли с ключом ag=y.

image

При этом сперва в системе запускается AVZGuard (драйвер, разграничивающий доступ запущенных приложений к системе), который не позволяет закрыть программу (если консоль не запускается, можно попробовать создать bat-файл). А далее уже добавлять в доверенные приложения нужные вам программы и продолжать очищать систему. Причем в случае необходимости перезагрузки для предотвращения повторного заражения рекомендуется не выгружать AVZGuard, а делать перезагрузку с ним. Данный прием помогает избавиться от массы проблем. А сброс различных блокировок системы помогает избавиться от последствий деятельности вредителей. Например, частой жертвой бывает сетевой стек, повреждение которого приводит в нарушению работы сети. С помощью данной утилиты можно восстановить целостность стека. (Надо заметить что часто его можно восстановить и самостоятельно, используя команду netsh winsock reset. Подробнее можно ознакомится здесь support.microsoft.com/kb/817571 и здесь support.microsoft.com/kb/811259).

Под AVZ существуют уже готовые скрипты, (которые пользователь может писать и сам) помогающие избавится от определенных типов вредителей. Кстати, на сайте virusinfo.info эксперты так же могут помочь с решением проблемы, после того как вы предоставите им лог, собранный после анализа системы.

Надо отметить ряд небольших, но крайне полезных утилиток от компании SysInternals, ныне купленной Microsoft, без которых крайне трудно обойтись, используя «ручной» способ поиска вредителей.

С помощью утилиты ProcessMonitor можно использовать удобную функцию “Include Process from window”, указать интересующий элемент на экране (например, баннер) и найти процесс, на котором он висит. Затем его можно проанализировать по базе безопасных файлов AVZ и выявить потенциального нарушителя.

image

Так же она позволяют в режиме реального времени отслеживать изменения, происходящие в файловой системе и реестре.

Процессы, влияющие на сетевую активность, так же видны в реальном времени.

С помощью Autoruns и Sigcheck можно проверить цифровые подписи файлов и отсортировать их как безопасные.

Отличный сканер от компании Dr.Web в бета-версии обзавелся специальным интерфейсом для противодействия программам, которые блокируют запуск самих антивирусных сканеров. Сперва она активирует защищенный режим, затем загружает все остальные службы. Порой это наиболее эффективный вариант.

Друга известная программа HiJackThis позволяет найти подозрительный объекты в автозапуске, ключи в реестре, а так же потом удалить их.

К тому же можно воспользоваться сервисом, типа www.hijackthis.de/en, куда загрузив лог, можно получить красивый отчет о вероятной опасности того или иного файла или записи.

И дабы окончательно удостоверится, что файл «нечист на руку», файл можно загрузить на www.virustotal.com, где и узнаете об известности субъекта в особо «узких» кругах.

В любом случае всегда после лечения/переустановки меняйте пароли, хранящиеся на компьютере. Ибо крадут.

Что делать?

При обеспечении безопасности всегда надо соблюдать баланс – обеспечить более-менее надежную защиту и при этом не посадить пользователя в смирительную рубашку (хотя и надо бы).

Наиболее безопасный вариант – смена ОС на менее традиционную. Однако устроит далеко не всех по ряду всем известных причин.

Эффективный антивирус с актуальными базами вкупе с обновленной ОС – здорово увеличивает шансы не подцепить что-либо, но как показывает практика, этого не достаточно для юзеров с длинными ручонками. Лезут куда надо и не надо, и при этом не сознаются.

Различные брандмауэры не сыскали любви у обычного пользователя ввиду необходимости постоянного контроля. А так как порой не хватает знаний для принятия решений, то даже использующий брандмауэр пользователь либо блокирует нужный процесс, что часто приводит к пропаданию сети и нарушению работы программ, либо наоборот — разрешает вредоносный код. Самое любимое дело – заблокировать все и удалить программу, как «мешающую»…

Увы, чаще всего так и бывает.

Само собой рекомендуется использовать не стандартный браузер ввиду его неполноценности и привязки к ядру системы.

Самое слабое звено – прокладка между стулом и ПК. Значит чтобы звено укрепить – ручонки надо укоротить (с)Народная мудрость.

image
Одним из наиболее эффективных мер — ограничение прав пользователя в самой системе, однако чаще всего пользователям лень тратить время на создание отдельного аккаунта. Да и ряд программ отказываются устанавливаться, настраиваться да и просто запускаться под ограниченными профилями.

В данном случае будет полезна известная утилита DropMyRights, ограничивающая права запускаемого приложения.

Она поддерживает 3 уровня доступа. Чем ниже права — тем ниже и возможности программы. Скажем, для того же IE на самом низком становятся не доступны такие функции, скажем, как active-x.

Данный способ хорошо себя зарекомендовал у клиентов из группы «высокого риска». И хотя часть сайтов не отображается корректно, но ради безопасности этим моментом можно пренебречь.

Как вариант, так же использовать программы, делающие полный откат системы после завершения сессии, но они, как показывает практика, мало пригодны для домашнего применения.

И хотя в последнее время наблюдается резкий спад активности винлокеров, вероятно, в ближайшем будущем все же стоит ожидать новых разнообразных модификаций тех или иных видов вымогателей, а значит и новых эпидемий. Обеспечить полную безопасность, не стянув руки пользователя у него за спиной, невозможно и пока юзер, наученный горьким опытом, не будет прислушиваться к советам более опытных собратьев и относиться с большим вниманием к своей безопасности, так и будут миллионы зараженных компьютеров работать во вред, а сотни миллионов рублей будут уходить в карман вирусописателей.

Да и решать проблему надо, вероятней всего, комплексно:
  • Разработчикам АВ ПО улучшать свои продукты;
  • Пользователям быть более образованными и менее «любопытными»;
  • Провайдерам разворачивать сервисы, позволяющие делать сеть более безопасной;
  • Агрегаторам усложнить процедуру регистрации номеров для всяких жуликов;
  • А органам безопасности взяться поконкретнее за мошенников и проводить разъяснительные морально-культурные беседы с ними, дабы те одумались и дел неугодных более не чинили…

image


Ну а с вашей стороны рад выслушать ваши пожелания, критику да и просто делитесь опытом.
Lex51 @Lex51
карма
56,0
рейтинг 0,0
Похожие публикации
Самое читаемое Администрирование

Комментарии (117)

  • +1
    Сам сталкиваюсь с этой проблемой на работе раз в месяц уж точно. И причин возникновения её море. Люди в возрасте за 50 лет — хотят пользоваться только своим старым и ужасным IE6 и очень тяжело их перевести на Mozilla, Chrome или Opera. Тыкают постоянно на всякие баннеры, могут открыть письма со спамом.

    Одним из главных источников заразы являются социальные сети — опять же по опыту говорю. Поэтому как одна из мер — это закрытия доступа к ним. Есть такая интересная утилитка TMeter — она работает как служба (обычный пользователь вообще не додумывается об этом) позволяет настроить кучу различных фильтров, исключений…

    AVZ конечно штука неплохая, но я предпочитаю, после всей это заразы установить Касперский последний какой-нить и сделать полное сканирование. По личному опыту скажу — что потом находится еще 3-4 зараженных объекта. Это не реклама каспера — так на самом деле. Ну а после проверки, касперский сносится, ибо невозможно работать на старом компе с ним.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        а там всё равно вкладки… понимаете вся проблема в том, что людей очень тяжело переучить. Он всю жизнь открывал каждый сайт в одном окне так и будет (как он считает). Некоторым объяснишь, научишь пользоваться — вроде норм… но некоторые ни в какую…
        • НЛО прилетело и опубликовало эту надпись здесь
          • НЛО прилетело и опубликовало эту надпись здесь
            • +3
              спасибо
              в очередной раз удивляюсь насколько гибка и хорошая Mozilla
              • 0
                это Firefox, кэп!
                • +1
                  да производитель Mozilla название браузера Firefox :))))

                  извиняюсь, просто привычка так говорить
              • +1
                В опере кажется тоже есть настройка для отключения вкладок. Если не путаю :)
                Хром так точно не умеет.
                • 0
                  Настройки -> дополнительно -> вкладки -> настройки вкладок… -> открывать окна вместо вкладок
                  • 0
                    Совершенно верно. Сам просто на хроме уже давно сижу, забыл как на опере это делается.
              • 0
                И не только в ФФоксе.
            • +1
              Ужос, зачем мучить и так не особо шустрого лиса очередным расширением? (которое кстати с последними версиями не работает(да, я знаю что версию совместимости можно менять))

              Настройки — Вкладки — «Вместо новых окон открывать новые вкладки»
              Убрать галочку, и будет счастье :)
        • +1
          Никогда не мог подумать что вкладки это проблема для людей.
          Я помню сидел по самым геморроем, и геморрой этот назывался avant. Я помню что в целом он был(не знаю как сейчас, я про древние времена) кривой и жутко неудобный, но я его терпел, так как в нем были вкладки.
        • –2
          Опера — ваш выбор!
      • 0
        Что-то мне надпись по ссылке: " Works with Firefox: 2.0 — 2.0.0.* " не внушает доверия…
    • 0
      Так основная фича AVZ именно в режиме AVZGuard, его нельзя использовать в качестве антивируса, слишком маленькие базы, нет эвристики, нет эмулятора. Зато это отличное средство для быстрой диагностики системы и выявления следов малвари и ручной очистки.
      • 0
        а я разве сказал, что использовать его в как средство для постоянной защиты? нет
        я незнаю… видимо очень упрямый, но почему-то когда такая проблема возникает — сразу обращаюсь именно к KAV…
        может AVZ ничем и не хуже его
      • 0
        >нет эвристики
        а чекбокс «Эвристическая проверка системы» на скриншоте не более чем маркетинг…
        • 0
          Переключатель «Эвристическая проверка системы» включает дополнительную эвристическую проверку системы. Особенность этой проверки состоит в анализе запущенных процессов, реестра и диска для поиска неизвестных для AVZ разновидностей вредоносных программ по их характерным признакам.

          Это мягко говоря не тоже самое что и Heuristic analysis.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        да IE это не такая сильная головная больно, вирусняк и через другие браузеры можно подцепить, очень действенно — это фильтры на соц. сети, развлекательные порталы и всякие серверы скачки файлов — с кучей рекламы, порнухи
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Comodo internet Security например. Там и файр и песочница и антивирь и все нахаляву.

        Вот на теще тестовый период пошел ) пока полет нормальный
    • +1
      у ваших пользователей проблема не с ie6, а с админом
      • 0
        Это могут быть и домашние пользователи vs приходящий эникейщик. К ним к каждому админа не поставишь. А в некоторых фирмах так вообще админа держать смысла нет — на всю фирму полтора компа.
    • +1
      Вы всё очень логично описали. Но я Вам пример приведу, с которым я столкнулся.
      Есть у меня соседи, с тремя детьми — 10, 7 и 6 лет. Папа пускает их в интернет, через Mozilla Firefox. На компе установлен последний лицензионный Касперский (с паролем на отключение), Java и Acrobat обновлены. IE тоже одновлен, хотя и не является броузером по умолчанию.

      Noscript он ставить отказался, потому что дети не смогут видео в интернете смотреть.

      Так вот, раз в месяц у них стабильно на экране прорастает жопа и гениталии, из SMS-локеров.
      Касперский при этом мышей не ловит, его всё устраивает. В истории браузера — сайты, на которые дети ходили смотреть пиратский контент онлайн.

      Вопрос: почему связка Kaspersky + FF ничего не гарантирует?

      • 0
        У меня была такая же проблема у одного моего знакомого. Он обратился ко мне за помощью, я его уломал купить Kaspersky Internet Security лицензию. Потом я потратил n-ное время (мне самому очень было интересно всё это понять), чтобы разобраться как правильно его настроить, чтобы:
        — была нормальная стабильная защита
        — не вылетало куча постоянно надоедающих сообщений, предупреждения и т.п. вещей
        и после этого никаких проблем не стало… (+ я еще установил несколько плагинов для FF для блокировки рекламы… И как итог никаких проблем уже 5 месяцев!

        Очень хорошо, что у этого знакомого комп мощный т.к. у продукции Kaspersky есть недостаток — она прилично нагружает систему

        возможно у ваших соседей стоит обычный KAV, хотя поидее он должен бороться, но для защиты от таких проблем более действенно это KIS
        • 0
          Да, у них стоит обычный KAV последний версии, я его сам ставил.
          Просто, возникает второй вопрос — почему тогда Касперский продает продукт, который не обеспечивает безопасность?
          • 0
            соглашусь с вами

            сейчас зашел на wiki и читаю
            ru.wikipedia.org/wiki/KAV
            ru.wikipedia.org/wiki/KIS

            дак вот KAV должен осуществлять
            "… Проверка интернет-трафика (для любых интернет-браузеров)
            Проактивная защита от новых вредоносных программ
            Проверка Java- и Visual Basic-скриптов

            Анализ и устранение уязвимостей в браузере Internet Explorer
            Блокирование ссылок на зараженные сайты
            "

            но в нём нет того, что есть в KIS, а именно:
            Анти-фишинг, Анти-баннер, Сетевой экран

            в этом наверное и заключается проблема…
          • 0
            Я купил простую и самую дешевую микроволновку. И оказывается, что я не могу на ней пожарить сосиски. Да, я знаю, что есть другие микроволновки этого же производителя, в которых есть функция гриль, которая мне нужна. Но возникает вопрос- почему производитель продает продукт, который не позволяет жарить сосиски?
            • 0
              Неверная аналогия. Им нужна защита, в то время, как продукт ее не обеспечивает.
              Это все равно что дырявые презервативы продавать.
              • +2
                Аналогия верная.
                У каждого продукта есть своя область применения, и что продукт может быть просто не предназначен для тех задач, решение которых вы от него ждете. Это все равно что купить презервативы не того размера или неправильно их надеть и жаловаться, что они порвались.
                Если бы у ваших соседей был KIS, и он пропустил эту заразу- я был бы первый, кто поддержал вас в вашем возмущении. Тем более, что к продуктам касперского отношусь, мягко говоря, не очень хорошо с давних времен.
                Не говорю уже о том, что «мыши плакали, кололись, но продолжали жрать кактус». Если «раз в месяц у них стабильно на экране прорастает жопа и гениталии, из SMS-локеров»- это повод вернуть деньги за этот антивирус и поставить себе другой, а не страдать. Как ни удивительно, есть бесплатные антивирусы с очень хорошей защитой.
                • 0
                  Вы продолжаете упорствовать. Выше G0ran приводит цитату из википедии:
                  дак вот KAV должен осуществлять
                  "… Проверка интернет-трафика (для любых интернет-браузеров)
                  Проактивная защита от новых вредоносных программ
                  Проверка Java- и Visual Basic-скриптов

                  Так вот именно это и не делается должным образом, насколько я понимаю. Т.е. заявленный функционал антивируса не соответствует реальности. Где эта проактивная защита?

                  А насчет вернуть деньги за антивирус — тут есть сложности.
                  Если Вы внимательно читали лицензионное соглашение в KAV, то наверное обратили внимание, что они не несут ответственности за то, что он не защищает, т.е. за те самые жопы и гениталии на экране. А на сайте информации, как вернуть деньги за купленную лицензию я не нашел.
                  Может быть, Вы меня просвятите, какова последовательность действий по возврату денег за неработающий продукт?

                  • 0
                    А у нас (не думаю, что только у нас, в России) абсолютно всё ПО продается без гарантий работоспособности.
                    В лучшем случае — магазин поменяет не читающийся диск. На такой же. Что-то гарантировать может только поставщик аппаратно-программных комплексов — производители устройств со встроенной, зашитой операционкой. Возможно, что-то гарантирует Apple за счет жесткого контроля хардверной части.
                    • 0
                      я прекрасно понимаю, что оно продается без гарантии работоспособности.
                  • –1
                    Скажите, а вы, правда, верите в 100% защиту? И панацею от всех болезней? Эта половинка — от головы, а эта — от задницы, как в известном анекдоте. Такого нет и никогда не будет, вы бы ещё в аптеку вернули лекарства для химиотерапии из-за того, что она не помогла и пациент умер. Чтобы не подхватить венерическое заболевание — нужно не просто предохраняться, а ещё и не лезть в каждую дырку. Так же и тут. Детям надо по рукам дать и родительский контроль включить — больше ни один вирь не пролезет. Если, конечно, их не подхватили в локалке, которую ваш КАВ не смотрит. И не ныть, пользуясь самой простой версией антивируса из-за того, что она не дарит абсолютной защиты.
                    • 0
                      Я верю в то, что осетрина бывает только первой свежести, она же единственная.
                      • 0
                        Без сомнений, это имеет самое непосредственное отношение к вирусам и лечению от них.
  • +4
    Пока это выгодно самим операторам (проценты от смсок) до тех пор будет существовать проблема.
    • 0
      да, так и есть… только как сделать, чтобы было не выгодно (с поправкой на российские реалии)? санкции? ограничения? не думаю что получится…
    • НЛО прилетело и опубликовало эту надпись здесь
  • –5
  • +2
    Сколько читаю такие статьи, ни разу не видел метода запуска антивирусного ПО кроме liveCD.
    простенький пример: имеем комп, заражён, безопаска не грузится, восстановление не прокатывает.
    решение первое: а мы пробовали безопаску и с поддержкой командной строки? нет? тогда бегом в неё! попадаем в консоль, и ясно дело у нас вирус ничего не блочит. втыкаем флешку c AVZ к примеру, переходим на диск с флешкой cd F:\(к примеру) и запускаем заветный avz.exe.
    а если неохота блуждать по дискам поисках точного местоположения заветного файлика, вспоминаем какой у нас был установлен софт! О! был TotalCommander! быстро переходим в каталог cd «c:\Program Files\Total Commander» и запускаем заветный Totalcmd.exe и оттуда правим балом запуская антивирусное ПО типа: AVZ, HiJackThis, CureIt, AntiViral Toolkit, NOD32.
    Упс! у нас нет TC! Ничего, нас спасёт опера с пунктом меню: Файл — открыть! (или любое другое ПО на вашем компе)
    Зы, всего лишь один из способов излечения…
    • +3
      1.
      cd c:\totalcmd
      так по дефолту.
      2.
      Ctrl + Shift + Esc (Task Manager). Далее — Файл — Выполнить

      или, для любителей консоли — taskmgr

      • +3
        Большенство вирусов тупо блокируют Диспетчер задач(просто ключик в реестре), так что п.2 почти никогда не поможет((
        • +4
          значит — tasklist
          потом — TASKKILL /F /IM virus.exe /T
          ((:
          • 0
            Хм… незнал про такие команды, спасибо пригодится :)

            Я бы просто написал файлик реестра, для разблокировки Диспетчера, если сильно приспичит :)
            Потом regedit file.reg /s
            ключик /s позвлит изменить реестр, даже если редактор реестра заблокирован :) Сам проверял на ХР SP1, когдато...))
            • 0
              Недавно проверял на Vista и Win7 — уже не прокатывает.
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  точно не помню, но по-моему тоже не работает. я просто скачал первый попавший альтернативный редактор реестра и поправил через него. у меня на работе был винлокер, который через секунду после разблокировки диспетчера и редактора реестра снова их блокировал ))). Поэтому сначала нужно удалить заразу.
                  • 0
                    Кажется когдато видел в стандартном редакторе реестра функцию «заблокировать ключ», защищающую от изменения значения. Конечно, любой сможет его разблокировать, но если вредитель слишком глупый, может помочь :)
        • 0
          Не подскажете, что за ключик?
          (да, можно нагуглить, но так быстрее)
          • 0
            Эм… ну написал же "/s" :) Это и есть весь ключ :)
            Но как тут уже сказали, в Vista+ уже не прокатывают такие фокусы… а жаль
            • 0
              Я имел в виду, какой ключ реестра блокирует диспетчер задач.
              • +1
                [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] «DisableTaskMgr»
                [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] «DisableTaskMgr»

                По крайней мере в ХР. И гугл быстрее все же..))
  • 0
    Случалось такое, просили починить. Лечил перезагрузкой с F8 в Safe Mode (ака Безопасный режим), заходом в Пуск — Выполнить — msconfig, Автозапуск, и, уже на глаз определял тот самый exe-шник, который просто неприлично открыто лежал в /WINDOWS или в /system32 с характерным названием типа «plugin.exe» или рандомным названием.
    • +1
      Ну, и, конечно же, никто не отменял мега-хакерский метод с Хабрахабра, вызывающий экранную лупу на Win + D, а затем кликом на «Переход на сайт Microsoft.com», открывающий explorer.
  • 0
    Популярная проблема. Из последних обращений друзей/знакомых — однозначно на первом месте по популярности.
  • 0
    в «что делать» я бы добавил регулярное обновление adobe flash, reader, Java, (не надейтесь на нерасторопные автоапдейты, обновляйтесь вручную как только узнаете о выходе новой версии) дыры в них нередко становятся причиной появления баннеров даже у опытных пользователей, которые не ходят по подозрительным сайтам, не запускают непонятные приложения и пользуются firefox.
    • 0
      Не нужно быть опытным пользователем, чтобы пользоваться Firefox, и наоборот, опытный пользователь не обязательно пользуется Firefox.
    • +2
      Ну зачем же так огнелиса унижать...))

      Банальный AdBlock на нем спасет от многих злодеяний, просто блоча всякую чушь
  • +4
    «У предпоследнего страница даже выполнена в футуристическом дизайне на флеше» — неверно. Там только заставка на флеше, которую можно пропустить.
    Отключите флэш — это положительно сказывается на безопасности :-)
  • +1
    Из средств контрацепции предупреждения нежелательной беременности активности — Anvir TaskManager.
    Следит за автозапуском, выдает кучу полезной информации о запущенных процессах, позволяет проверять файлы на virustotal прямо из контекстного меню и имеет еще вагон полезных функций. Бесплатен.
  • 0
    Главная проблема не в том, как вывести эту заразу, а в том, как добиться от пользователя, каким же, черт возьми, хреном поймали эту выскакивающую табличку с голыми жопами на весь экран. Т.к. на все вопросы только один ответ: «никуда не лазили, интернетом вообще не пользовались».
    Иной раз так и подбивает сказать: «Гинекологу или урологу вы не стесняетесь рассказать о том, где подхватили ту или иную болячку, а специалисту, которого сами позвали вылечить комп, вы подсказать не можете?» И ведь все молчат. И хрен ведь кто расколется, по каким чернушным сайтам лазил, т.к. «все само вылезло!». А самое противное, что подхватив ту же самую заразу с того же самого говно-сайта опять позовут помочь с проблемой, и опять будут партизанить…
    • –1
      Вот когда будешь гинекологом или психологом, тогда и будут рассказывать.
      • 0
        Так про, извините, половые органы никто и не спрашивает. А про комп для адекватной диагностики, лечения и профилактики надо по максимуму знать.
        • 0
          Чем-нибудь поможет название сайта? Ок, будет известно, какой вирус кто-то подцепил (а кто-то — другой подцепил, кому-то третьему этот сайт отформатировал виндовс...) через этот ресурс. Его вылечишь. А на остальные — даже проверять не надо? В конце концов есть история в браузере, если принципиально знать всё ((:
          • 0
            >Чем-нибудь поможет название сайта?

            echo «127.0.0.1 %названиесайта%» >> %windir%\system32\drivers\etc\hosts

            чтобы больше не лазил где не пложено :)))
    • +5
      Ха… Вы не видели глаза одной абонентки, когда в истории браузера посыпались «горячие парни».
      Мужики в этом плане откровеннее. Не скрывают, что шарились где не надо бы…
    • +1
      вспоминается цитата у Хауса «everybody lies».
      Люди порочны, хочется халявки, пиратского софта, напрочь забывая про «беспалтный сыр» и «мышеловку»(исключая opensource), порнушки, чего-то запретного, такого манящего, интернет это такой простор, где вроде бы ты анонимен и все невсерьез.
      А потом попашви впросак становится стыдно.
      • +1
        Есть еще вполне благонадежные с виду сайты, которые оказались взломанными и с размещенным вредоносным кодом. Еще недавно пример был заражения — на торрентс.ру выкладывали скриншот к раздаче (скрин лежал естесно на другом сайте) и… все в общем та. Достаточно было зайти на страницу с раздачей чтобы получить вирусняк.
        • 0
          в общем-то это редкость, данная причина в списке причин заражения, как мне кажется будет далеко не в первой десятке, да и раздачи чаще всего сопровождаются комментариями, что бывает проще выявить потенциальную угрозу
    • 0
      Пока сами не поймаете не поверите. Во первых поймать можно при поиске информации. В это время оказываешься на большом количестве сайтов, многие из доры и х.з есть там что-то вредоносное или нет. Во вторых эти заразы не запускаются сразу, чтобы не палить сайт. Как я понял может пройти от 3-х до 12 часов (может больше) с момента заражения, прежде чем он покажет себя.
      Третье, ни браузер хром ни обновленный антивирус (дрвеб) мне не помог :(. (XP SP3, обновленный). Теперь перешел на семерку, в надежде, что в нее сложнее влезть, но опять же ни в чем нельзя быть уверенным :(
      • 0
        1. А дрвеб какая версия? Шестая, антивирус про (с фаерволом)?
        2. Есть подозрение, что зараза проникает через дыру в Java. Можно ее отключить в хроме через chrome://plugins/
        • 0
          В то время (месяца три назад) пятая была. Сейчас шестая.
    • 0
      Из опыта — заражение происходит при посещении сайтов, которые выскакивают у новичков при поиске мп3 и клипов. Сам процесс — для того, чтобы прослушать или скачать файл вам нужно обновить флэш-плагин. Вы его скачиваете и сами запускаете. И оп!

      И сайт не порнушный и действие для новичка вроде обычное — флэш-плагин обновить.
  • +1
    За последний год ни один из вирусов, пытавшихся пробраться на мой комп, не был обнаружен антивирусными сканерами — в базах эти вирусы появлялись позже. Зато всех их отлавливал Outpost Security Suite — по попытке записать что-то в реестр.
    Хотя для обычного пользователя такой метод не подходит.
  • 0
    зачем всё усложнять? грузишь безопасный режим: 1) отгружаешь всё лишнее из автозагрузки, 2) очищаешь реестр, 3) добиваешь это каким-нибудь cureIt. в большинстве случаев прокатывает, если уж вы совсем неудачник, то оденьте очки и в консольный режим и выполняйте первый пункт хотя бы.
    • 0
      и еще случай, если вам повезло и это затронуло только браузеры, то пропаливаем JS скрипты, DLL или плагин злостный, а дальше всё зависит от вашей жестокости.
  • 0
    Use linux, dear friends.
    • +1
      Уж сколько холиваров изведено про совместимость Linux с Win софтом. Непайдет.
      • 0
        Сам себе альтернативно добрый дендроантропоид.
      • 0
        Ну да, есть проблемы, виндовые вирусы не работают под wine. =(
  • +1
    Не работайте под админом. В висте и семерке вполне работается без прав админа — тогда вирус сможет записаться только в юзерскую автозагрузку (если не давать разрешения и не вводить админский пароль для всех неизвестных запускамых программ) и можно будет загрузиться под админом и его вычистить
  • 0
    Ещё хорошо работает такой способ:
    Поставить VirtualBox, в нём ещё один экземпляр операционной системы, а в нём уже запускать браузер. Если вдруг что-то ломается, то легко откатываем систему внутри виртуальной машины до точки восстановления. Человеку сначала чуть-чуть непривычно, но потом привыкает.
    Кстати, это позволяет продолжать использовать всякие старые дырявые программы (если пользователь отказывается перелезать с IE6, например), что тоже очень удобно для взрослых людей.

    Да, ещё надо запретить ходить в интернет всем, кроме виртуальной машины, чтобы юзер запускал браузер только в ней.
    • 0
      Если пользователь не хочет перелезать с ИЕ6 — значит ИЕ6 надо выпилить из системы, поставить туда хром, сафари, фаерфокс и опера, и пусть сидит и привыкает. Пора уже искривлять прямые извилины и развиваться, а то все сидим, как в каменном веке, когда много тысяч лет только и делали, что кремниевые топоры.
      • 0
        как уже выше писали, альтернативный браузер+ антивирус уже ничего не гарантируют.
        • 0
          Гарантируют уменьшение %а шестого осла в интернете, что несомненно гут.

          Бестолку говорить человеку «не сиди из-под админа», «не открывай что попало», и так далее, 99% забывают это сразу после ухода, и лезут посмотреть интимные фотки «танечки», которая постучалась в аську со словаим «помнишь, как мы тогда оттянулись». Есть пара знакомых, которые на такое ПОСТОЯННО вдеутся (не знаю, чем они думают), заливаю с диска образ системы с пакетом дров и софта и не парюсь, биться головой в стену — не вариант. Нравится им терять личную инфу — пусть продолжают.
    • +1
      это геморный и ресурсозатратный способ. У очень многих пользователей железо просто не позволит запустить еще и Виртуалбокс.
    • 0
      У Касперского 2011 будет целая встроенная виртуализация.
  • 0
    единственный и действенный способ — опыт, пока до человека не дойдет, что халявы за этими ссылками не бывает как и софта халявного*, и ссылки не стоит тыкать всякие подряд; пока не разберется в собственных потребностях софта; не научится читать и принимать всерьез стоит или не стоит этим заниматься(тыкнуть/ скачать/соблазниться на посул); не удовлетворит свое любопытство, будет сложно бороться, точнее у вас(людей помогающих обычным юзерам) всегда будут клиенты.

    *но не стоит отчаиваться, есть пара надежных источников самизнаетекаких(софт — наиболее популярные трекеры и тп.)
  • +2
    Список ресурсов для разблокирования рекомендую пополнить Сервисом деактивации вымогателей-блокеров. Он выручал даже тогда, когда на вышеуказанных сайтах не находились пары номер/код. Возможно, здесь база более полная и поддерживается более оперативно, чем на офсайтах Касперского и Д-ра Веба.
  • +1
    База ВирусИнфо идентична с нашей базой на официальном сайте Лаборатории Касперского
  • +3
    Многие пишут про Сейф Мод. НО по собственному опыту могу сказать, что это не панацея.
    На месте пользователя на текущий момент окончательным решением вопроса вижу только проверку компьютера с лайв сиди, причем лучше чтобы парочкой от разных вендоров.
    Задумался об этом после лечения одной заразы на компьютере сотрудника нашей конторы. Тоже визуально был «рекламный банер» на пол раб. стола, работающий в паре с руткитом. Был неприятно удивлен арсеналом их умений.
    Ты им слово — они тебе два.
    ЛОкально сделать ничего не возможно — на запуск любой программы, вместо нее запускается зловред, таск менеджер не запускается. Никакой дополнительный инструмент удаленно по сети на машину скопировать не удается. Пробовал и AVZ, и банальный фар и ПРоцесс Эксплорер от сисинтерналс — удаляет exe на лету (не копирует) и копируются только остальные файлы. Сеф мод или не сейф мод зловреду все равно, его поведение от этого не меняется — запускается и успешно гадит.
    Худо бедно скопировал нужное ПО заменив разрешение. начинается второй акт — заходим в папку AVZ, чтобы попытаться запустить. Зловред совсем обижается и выключает машину. Кое-как победил его с помощью gmer (запретил запускаться). Вытянул тело кинул на вирустотал и узнал, что нормально его детектит его только MS Forefront и еще у парочки эвристика говорит «Возможно какая-то дрянь».
    КАВ, Симантек, НОд и остальные топы уверенно рапортуют: «Все чисто, кэп!».
    МкАфее, который мы испльзуем для защиты раб. машин, видит его только с самыми параноидальными настройками евристики, с которыми его использовать нереально он пол машины ложными срабатываниями снесет раньше, чем для него появиться настоящая работа.
    Такие дела.
    Если я имеющий какой-никакой опыт в этой сфере бился порядка получаса, то что сможет сделать простой пользователь?!
    • +1
      И кстати речи про шаловливые ручки по-моему мнению давно потеряли актуальность. Практически все случаи заражения на которые мне приходилось реагировать у знакомых или на работе происходят либо через уязвимости в браузере и его плагинах (привет ИЕ 6 и Эдоб Флеш Плейер) при посещение на первый взгляд абсолютно нормальных сайтов, либо через переносные носители (флешки и т.п.).
      • 0
        из чего следует следующий совет: необходимо разработать и внедрить политику регулярных обновлений браузера, флэш-плеера, Явы и pdf-ридера.
        А на ИЕ6 уже даже сам Микрософт плюётся :)
    • 0
      safe-мод действительно не панацея. Принятым соглашением для программистов является не запускаться автоматически в этом режиме, но это чисто джентльменское соглашение, вирусописатели при желании запросто могут его обойти.
  • 0
    Ограниченная учетная запись, админсая учетка под паролем, локальные политики безопасности.
    Полгода полёт нормальный.
  • 0
    > Само собой рекомендуется использовать не стандартный браузер ввиду его неполноценности и привязки к ядру системы.

    Автор, вы работали с брандмауэром Виндоус 7?
    • 0
      Встроенные малопригодны для полноценной защиты, ибо их включение никоим образом не влияет на заражение. Не пикают даже…
  • 0
    Ещё довольно интересный сканер авторана — OSAM. Он к тому же имеет свою базу доверенных файлов.
  • +1
    Я вирусов стал бояться в последнее время, поставил себе в мозиллу плагин noscript https://addons.mozilla.org/ru/firefox/addon/722. Нравится. Раньше бесило, что на нормальных сайтах по умолчанию ничего не работает, теперь привык и поразрешал что надо. Ну еще esed nod есть, конечно.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      игрухи?
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          если есть пк, зачем покупать консоль? мы же про игры на пк говорим.
          если прийти к человеку и сказать «мы вам линукс поставим, но вы должны купить приставку»… он посмотрим странно думаю.
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              Интересно как это он будет экономить, если игра для приставки стоит от 1500 до 3000 рублей, а для PC от 300?
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  а я чуть чуть вам их прикрою:

                  1) PS3 до сих пор не взломали.
                  2) PSP Slim и еще какие-то версии последних прошивок тоже не взломаны.
                  3) Чипованый XBox банится в Windows Live

                  Вообщем много всяких «но» и «если», которые не делают приставку дешевле по сравнением с PC.
                  • 0
                    Я хоть против приставок, но ПС3 кажется кое-как взломали, а хбох — разбанивается.
        • +2
          Это смотря, во что играть.
          Покажите мне приставку, где есть Старкрафт или Цивилизация.
    • 0
      нуушнет
  • +1
    Большущее спасибо за ёмкую и полную полезных ссылок статью.
    В избранное однозначно, а то ведь каждый раз приходится по кусочкам инструменты собирать на заражённых машинах
    • +1
      +1
      огромный и кропотливый труд подобная статья! спасибо!

      1.«врага нужно знать в лицо»
      2.оставим холивар тем, кто имеет возможность выбора (часто политика компании это не позволяет! и приносят ноут какого-нибудь «бугра», которому срочно...)
      3.к сожалению, не все антивирусы ловят подобное «на лету»
      4.еще раз спасибо за труд!!!

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.