Вальд » 23 дек 2012, 11:42
Начнем с матчасти. "Вирусы блокирующие ваш ПК" - имеют название. Winlock, он же смс - информер, он же порнобаннер. Представляет собой, как правило, больше вредоносную программу, нежели вирус. Чаще всего, "заразиться" им нельзя. Существует множество модификаций, но все они характеризуются тем, что "заражение" происходит в результате действий пользователя, который , собственно, и запускает на выполнение вредоносину (сам юзер, правда , думает, что он пытается просмотреть видео олайн или на ПК , или установить флешплеер, к примеру.)
Немного истории. Первые порнобаннеры были простенькие. Картинка, встраивающаяся в браузер, с порносодержимым и требованием отправить смс. Лечилось легко перенастройкой профиля браузера.
Следующий этап - баннер прописывался в реестре, как домашняя страница для всех установленных браузеров. Причем при каждой перезагрузке ОС.
Следующий этап - баннер закрывал уже часть рабочего стола или весь стол. Дописывался в реестре к explorer-у (не путать с IE!). Блокировал запуск диспетчера задач, msconfig, regedit, restrui (который откат системы), загрузку в safemod и т.п.
Следующий этап (начиная с него и появилось название Winlock) баннер дописывался к winlogon и появлялся ДО загрузки оболочки explorer-а (напоминаю, что explorer отвечает за отображение рабочего стола и навигацию по файлам и папкам, запуск программ и т.п.)
Очень быстро winlock-и стали модифицировать сам winlogon и explorer.exe или заменять на свои копии (с тем же названием). С этого момента началась эпидемия winlock. Даже полуграмотные тупые журналюги стали нести на новостных каналах околокомпьютерную чушь, чем затруднили работу с перепуганными клиентами всем "айтишникам". Лечилось это безобразие разными способами, в т.ч и способом, описанным в статье уважаемого vitroshko. Суть методов лечения всех типов winlock-ов сводилось в нескольким пунктам. Загрузочный CD и или проверка антивирусным сканером (AVZ, CureIt и т.п.) , или "ручное" редактирование реестра + проверка системных файлов (sfc/scannow, например) на соответствие подлинным файлам ОС. Именно на этом этапе на сайтах антивирусных компаний появились сервисы разблокировки. Где пользователи могли по картинке опознать свой тип winlock-а и получить код разблокировки.
Следующий этап (последний) - появление bootkit-ов (по терминологии ЗАО "Лаборатория Касперского"). Суть - вредоносина прописывалась в boot сектор и отключала загрузчик ОС вообще. Метод лечения приводить не буду, ибо это тянет на отдельную статью.
Переходим к практике.
Как предупредить заражение? Два самых популярных способа проникновения:
- Если вам на каком-то сайте говорят "чтобы просмотреть это видео установите adobe flash player. Установить?" Немедленно уходите с сайта. Вбивайте в поисковик "флеш плеер оф сайт", идите на сайт компании adobe и устанавливайте плагин только оттуда!!! Если видео на подозрительном сайте так и не воспроизводится - вас пытались "обуть".
- Если вы скачали видео, музыку или архив, не спешите открывать их. Сначала включите отображение расширений файлов в своей системе (в поисковике "Как включить отображение расширений файлов в Win Xp или Win 7") и убедитесь, что ваш файл НЕ ИМЕЕТ расширения exe (исполняемый файл) или BAT (скрипт) . Если имеет - удаляйте нафиг! НЕ пытайтесь его открыть! Это не видео\музыка\архив ! Это какая-то программа!
Если вы все же поймали winlock и ничего не помогает, вы подозреваете , что это winlock, а что такое загрузочный сектор - не понимаете - есть решение. На сайте лаборатории Касперского есть абсолютно бесплатный Kaspersky Rescue Disk. Нужно скачать этот образ (с другого ПК, естественно) записать на CD, загрузиться с него на вашем пораженном ПК и провести сканирование (только указать в настройках - "лечить и удалять") Как записать образ на диск и загрузиться с него - поисковик в помощь. Как работать с этим rescue disk - поисковик или мануал на сайте самих Касперских. Там нет ничего сложного, все на русском, сканирование запускается в несколько кликов.
Резюме:
Так, как вышеупомянутый диск может помочь не только с winlock-ами, советую его заранее записать и держать под рукой всем, кто не может пригласить спеца или жалеет денег в случае проблем с ПК. Не спорю, "айтишники" разные бывают.
Пока новых типов winlock-ов не появляется, но учтите - все типы этих вредоносов используют компьютерную неграмотность пользователей. Так что - учитесь! Не обязательно становится "Одминами", но что такое имя и расширение файла должны знать все!