срочно. поймал банер

И опять всем Вам доброго времени суток,товарищи форумчане.В день приходится сталкиваться как минимум с 3мя вирусами такого типа (как обозвал его великий др паук - Trojan.Winlock).Дело всё в том,что баннер этот легко удаляется из системы,НО нужно иметь несколько вещей при себе.Для начала постараюсь объяснить принцип работы.Приступим.Баннер этот не более чем файл размером в 25-100 кб который помещается во временное хранилище системы (в Microsoft Windows XP и Home Edition эта папка именуется как C:\Documents and Settings\ИМЯ ПОЛЬЗОВАТЕЛЯ\Local Settings\Temp в ненаВисте и семёрке это путь к \AppData).Так вот.Следовательно файл помещён в эту папку,теперь почему же он загружается?Ага,а тут вступает в силу реестр ОС Окна.Если перейти по пути HKLM->Software->Microsoft-Windows NT->Current Version->Winlogon то в этом ключе будет параметр SHELL,как раз таки этот шел и указывает нам на то что должно загружаться в виде основного параметра,стандартным параметром должен стоять explorer.exe ,но вирус меняет путь эксплорера к пути файла вируса,таким образом вместо рабочего стола появляется баннер.Вывод:меняем параметр шелла на стандартный эксплорер и запускаем ОС.!!!!НО!!!!Ситема сейчас немного апгрейдилась и теперь вирус так же заражает файлы explorer.exe (основной загрузочный файл рабочего стола),файл taskmgr (диспетчер задач) и юзеринитовский файл (userinit),тем самым,как только система обращается к этим файлам,то получается что вирус опять разархивируется в указанный путь.Теперь решение задачи.Нам нужно:загрузочный диск,лучше всего подойдёт ERD COMMANDER последней версии,этот диск эмулирует рабочий стол и,что САМОЕ ГЛАВНОЕ,даёт доступ к реестру Вашей ОСИ,далее нам нужен носитель с 3мя файлами (эксплорер,юзеринит и таскмгр) и немножечко терпения.Мы загружаемся с диска,заходим в реестр ОС и там правим указанные выше параметры,потом ЗАМЕНЯЕМ ЗАРАЖЕННЫЕ файлы системы на залитые с другого ПК и смело ребутаемся.Но не забудьте проверить автозагрузку на наличие подозрительных путей.НИ ОДНА НОРМАЛЬНАЯ ПРОГРАММА НЕ БУДЕТ ЗАГРУЖАТЬ СЕБЯ ИЗ ДЕРИКТОРИИ ВРЕМЕННЫХ ФАЙЛОВ!!!!!!И поэтому все пути в темповские папки в автозагрузке нужно удалить!!!Я надеюсь эта статья хоть чем-то поможет,так как за моей спиной уже удаление более сотни вирусов такого плана на юзерских ПК.

P.S.:Извиняюсь за ошибки и не столь раскрытый текст,просто времени на написание очень мало,за подробностями в личку или аську.


Если тема ещё актуальна могу выложить и ERD и все три файла,которые нужно заменить!!!

xDDD пока он гулял , ага-ага так мы и поверили сам сидел наверно ночью смотрел голых мужиков

[quote='Face[To]Face;168413']xDDD пока он гулял , ага-ага так мы и поверили сам сидел наверно ночью смотрел голых мужиков[/quote]

Не время для этого, если у человека проблема, зачем троллить то? А если с тобой такое произойдет?? Тебя просто затроллят

[quote='Face[To]Face;168413']xDDD пока он гулял , ага-ага так мы и поверили сам сидел наверно ночью смотрел голых мужиков[/quote]

Сколько же вам лет, если вы так рассуждаете?

[quote name='twist']Сколько же вам лет, если вы так рассуждаете?[/quote]

Сколько же тебе лет , что интересуешься по этому поводу ? Не вижу смысла отвечать.

Все что логично было бы предложить, уже предложили. Так что я лишь посоветую как защитить себя в будущем от подобного рода троянов:
1) Если пользуешься firefox или другими браузерами от mozilla, то ставь плагины AdBlock и NoScript. Для IE и Opera нужно запретить исполнение чего-либо в IFrame.
2) Поставить веб фильтр, вроде K9 Web Protection.
3) Желательно заменить стандартный диспетчер задач.
4) Конечно же, обновлять антивирус, ну и поставить файрволл, и включить режим обучения.

Изменено: Alt, 19 июля 2011 - 09:01

[quote="twist;168410"]Зверем пользоваться не рекомендую[/quote]
убрал как раз им)я тут знакомому позвонил, и обьяснил что да как)Банер убрал. Всем спасибо.