Anti-vírus-blokkolók
Több éve sétál az országban, terjesztése és megszorozzuk újabb támadás - vírus-blokkolók. Ezek a rosszindulatú programok blokkolja a Windows, amely előírja a felhasználó küld egy SMS-t fizetett egy rövid szám véget a romboló tevékenységet. Sok bolondok alkalmasak az ilyen primitív zsarolás ...
De ne beszéljünk szomorú dolog. Ma, a mi feladatunk - nem jogtechnikai és megszabadulni a rendszer bennmaradó vírus-blokkoló nélkül buta küldött pénzt (és ez lehet több száz rubelt) ragadozó. És lehet, hogy a különböző lehetőségeket.
kapcsoljon ki egy szolgáltatást
A legegyszerűbb módja annak, hogy gyorsan kinyit Windows, mint például, hogy azonnal folytatni, vagy akár le a legfrissebb antivírus - az, hogy a speciális szolgáltatások kikapcsolása blokkolók. Az a tény, hogy a legtöbb blokkolók már jól ismert antivírus cégek, sőt szabályaival együtt a kiadás.
Hadd emlékeztessem, akik nem tudják - egyszer engedett zsarolni a felhasználó küld egy fizetett SMS extortionists neki, elméletileg kell jönni, hogy az sms néhány alfanumerikus kódot, amelyet meg kell tenni egy speciális formája a vírus az ablak, hogy elájult és engedélyezett dolgozni a rendszer. Mi az a legérdekesebb - a vírus általában nem pusztul, és leül csendben a PC memória, és nem világos, hogy mit tudott a jövőben szar. Ezért felszabadítása kóddal - ez olyan intézkedés célja, hogy gyorsan vissza a rendszer, de nem szünteti meg annak későbbi eltávolítás a vírus továbbra is.
Itt látható egy űrlapot, hogy belépjen egy rövid kódot, és szöveges üzeneteket egy trójai, vagy képes lesz kiválasztani a „helyes” a vírus közvetlenül a képernyőkép. Ezután minden egyszerű - töltse ki az űrlapot, vagy kattintson egy képernyőképet (és néha, akkor adja meg a pontos nevét a trójai, ha tudod), és kap a kódot, hogy feltárja a rendszer. Megetette a vírus, és kap hozzáférést a Windows. Most már mehet online néhány programot.
Tudod is megpróbál keresni elérhető generátor kód bizonyos típusú közös blokkolók, mint például a Symantec Trojan.Ransomlock Key Generator eszköz [9].
Csak tartsd észben, ez a módszer, bár úgy tűnhet, hogy valaki nem szükséges a háttérben az alábbi lehetőségek közül, de a használata is. Például abban az esetben, a trójaiak, hogy titkosítja az adatokat a lemezen. Ha van, hogy teljes megszabadulni a trójai képes lesz belépni a helyes kódot, van esély arra, hogy vissza fog térni a titkosított dokumentumokat az eredeti megjelenést. By the way, a Kaspersky Lab webhelyén találhat még egy segédprogram visszafejteni [10] fájlt, amely „megmunkált” vírus:.
teljes söprés
A következő lépés szükségszerűen a teljes eltávolítása a rosszindulatú programok és minden nyomot a lemezen és a Windows rendszerleíró adatbázisában. Mindenesetre lehetetlen elhagyni a trójai a rendszerben! Még nem mutatja a külső tevékenység, akkor ellopni személyes adatokat, jelszavakat, levélszemetet küld, és így tovább. Igen, és lehetséges, hogy egy idő után újra akarja, hogy blokkolja az operációs rendszer.
De nem olyan egyszerű -, mert a vírus még a rendszerben, nem az a tény, hogy ez lehetővé teszi, hogy nyissa antivírus cég webhely vagy futtasson egy víruskereső segédprogram. Ezért a legmegbízhatóbb módja a „tisztogatás” - használata LiveCD egy friss telepítés Antivirus vagy a fertőzött merevlemez egy másik PC-re, a „tiszta” rendszer és a jó Antivirus. szkennelés is működik PC a feltöltés után az úgynevezett „csökkentett módban”, ami miatt az F8 billentyű lenyomásával, amikor a rendszer indításakor. Ezeket a módszereket kell alkalmazni abban az esetben, sem az anti-vírus helyszínen nem lesz képes alkalmazkodni a kód feloldásához Windows.
Szóval, megint menjünk az egyszerűtől a bonyolult. Kezdjük azzal, hogy függetlenül attól, hogy volt képes felvenni a feloldó kódot, próbálja meg letölteni a „Safe Mode”. Ha a Windows indításakor, a leolvasó rendszer segítségével ingyenes eszközöket:
Ingyenes szkennerek, mint oly sok - egy nagy lista őket, akkor naydeto például comss.ru site [16]. Próbálja meg letölteni egy pár darab, és átvizsgálja őket meghajtók a fertőzött számítógép.
Alkalmazásokat is, amelynek célja a kezelésére egy adott család trójaiak, például - Digita_Cure.exe [17]. eltávolítja Trojan-Ransom.Win32.Digitala.
beolvasás LiveCD előnye abban rejlik, hogy ezáltal teljesen megszűnt képes futtatni a trójai, sőt, a teljes szkennelési végezzük egy teljes készlet Antivirus vírusvédelmi adatbázis helyett csonka változata is abban az esetben, kezelésére speciális eszközökkel. Ennek megfelelően, a siker valószínűsége, hogy megszabaduljunk a „fertőzés” sokkal magasabb.
És mint egy része a Kaspersky Rescue Disk, például, ha még egy speciális eszköz leküzdésére szoftver extortionists Kaspersky WindowsUnlocker. Ez kezeli a registry összes operációs rendszerek telepítése a számítógépre.
Végül még egy win-win helyzet - ostobán eltávolítjuk a zárolt számítógép merevlemezére, csatlakoztassa azt egy másik számítógépen (akkor még az USB hordozható-box) és a szkennelés ez már ki a rendszer biztosan nem szennyezett. Ismét - jó Antivirus, friss bázisok és a legszigorúbb beállítások heurisztikus. Természetesen kívánatos tevékenységeinek nyomon követésére anti-vírus, annak érdekében, hogy ha ő talált valamit, ami lehet gyógyítani, és általában - úgy tűnik, nem ez az egész, hogy törli az podtseplennogo blokkoló.
manuális eltávolítása
Alapvetően már ebben a szakaszban is le kell dolgozni, és a rendszer tisztának kell lennie. De aztán megint, ez sima csak papíron. A valóságban is lehetséges. Például a blokkoló lehet annyira új és ravasz, hogy még a legutóbbi anti-vírus a teljes szkennelési módot, akkor nem lesz képes felismerni. Vagy a kezelési folyamat lesz annak következményei nem kevésbé végzetes az OS, mint a vírus, mert lehet sérült vagy törölt néhány fontos rendszerfájlok (mert a fertőzés vagy vírus spoofing), és a rendszer nem indul újra. Ebben a forgatókönyvben, ha biztosan nem akarja telepíteni az operációs rendszert, akkor kell foglalkozni az egész kezét.
A beállítások módosítása
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
Megváltoztatása paraméter értékét „AppInit_DLLs” = „” a részben
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows
És persze, a paraméterek alappanelein indítási a registry-ben:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Természetesen, ha úgy találja, ezek a kulcsok (vagy a másik, azt is lehetővé teszi, hogy az automatikus futtatás, de ritkán használt) említi néhány homályos alkalmazás (például a „Shell” = „C: \ Windows \ svvghost.exe” vagy programok olyan nevekkel, mint aers0997 .exe. tagjai véletlenszerű betűk és számok), és távolítsa el őket, hivatkozva a beállításokat a formanyomtatványt, szükség lesz később, hogy távolítsa el magukat a vírus fájlokat. Módja annak, hogy őket látni fogja a registry-ben, ami az összes azonos módosított paramétereket. A legkedveltebb helyeken, ahol általában a "hide" - Temporary Internet Files mappa Documents and Settings \ <имя_юзера>\ Local Settings \ Temp és Temporary Internet Files. Rendszer-visszaállítás System Volume Information mappában, a mappa a kosár még $ RECYCLE.BIN vagy RECYCLER. Ha a fertőzés történt csak, hogy a vírus fájlokat egyszerűen kereshet dátum.
Alapján azonban az ERD Commander vagy BartPE kézművesek sokat még fejlettebb eszközökkel helyreállítható a rendszer, amely a csomagot, és anti-vírus szkennerek és hasznos segédprogramok, mint Autoruns programot [26]. Ha valaha is egy ilyen lemezt, majd Autoruns, hogy megvizsgálja a lehetséges indítási helyezi százszor könnyebb és gyorsabb is, nem igényel semmilyen ismerete a registry szerkezetét. Csak néztem a listát egyértelműen „bal” a program, és vegye le a dobozt előttük - mint a normális MSCONFIG.EXE.
Nagyon jó megtalálására nyomait malware program Trend Micro HijackThis [28]. Például, ez lehetővé teszi, hogy kényelmesen megtekintheti a HOSTS fájlt (a trójai változás érdekében, hogy megakadályozza a hozzáférést a víruskereső helyek), és még alternatív NTFS fájlrendszer patakok. Jó, különösen, ha rákeresel a „rootkit”, és az ismert elég GMER [29].
Röviden, a fejlettebb LiveCD megtalálni, a mélyebben tud behatolni a rendszerbe kíván rosszindulatú zaslantsev.
A legkellemetlenebb - ha a trójai helyettesítő nagyobb és része a Windows rendszerfájlok (Taskmgr.exe userinit.exe explorer.exe, stb ...) - ebben az esetben meg kell élni mechanizmusok, mint például a „Rendszer-visszaállítás” és a „rendszerfájl-ellenőrző” (. SFC.EXE elindítása parancs így néz ki: sfc / scannow). Azt is keresni az interneten egy sor „natív” fájlt a Windows. Meg kell állítani őket, miután letöltötte a PC LiveCD.
A helyszínen
De ez nem mindig van arra, hogy töltse le a PC LiveCD. Néha van, hogy „legyőzte” a fertőzés közvetlenül elhagyása nélkül a fertőzött rendszert, a képernyőn megjelenő ablakban csak egy vírus részvény vételi ajánlat fizetést. Vagy egyszerűen nincs lehetősége és ideje, hogy vizsgálja meg néhány további eszközöket. Mi a teendő ebben az esetben? Kiderült, hogy számos trükköt, amelyek lehetővé teszik, hogy „csalni” a vírust.
reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell / d explorer.exe reg add "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Userinit / d C: \ Windows \ system32 \ userinit.exe,
Ha szükség van, hogy távolítsa el a trójai az ablak a képernyőn, akkor próbáljon meg a Task Manager (ha hívják), „ölni» felfedező folyamat. Ha a trójai nem fut, mondjuk, az azonos Autoruns, majd próbálja meg átnevezni a fájlt a program valami hasonló game.exe.
Ne felejtsd el parancsikonokat Win + R, CTRL + Shift + Esc, és tasklist és taskkill parancsot.
Ha lehet futtatni a Microsoft Word, írja be néhány realties és rövid szöveges mentés nélkül a dokumentumot, kattintson a „Start” - „Shut Down”. Minden program zárva lesz, beleértve a trójaiak és a Microsoft Word megjeleníti az üzenet „Tudni akarja zárni mentés nélkül?”, „Cancel”, és indítsa el a rendszer tisztítására.
Ha a vírus regisztrálva van a normál indítás hely, próbálja meg bekapcsolni a számítógépet, miközben a gomb SHIFT - egy megakadályozza, hogy a startup programok.
Ha tud létrehozni egy korlátozott jogosultságokkal rendelkező felhasználó vagy ilyen már a rendszer, meg kell kérni alóla - a vírus nem tud futni, akkor is használhatja az adminisztrátor nevében bármely gyógyító segédprogramot.
megelőzés
Nos, a „megfertőzni” „prishibli”, „farok” kitakarította, minden működik. De, emlékezve minden egyes alkalommal, hogy mennyi kerül az idegek és energiát úgy döntött, hogy ne ismételje meg az ilyen hibákat. Mit kell tennie, hogy elkerülje a fertőzést a jövőben? Természetesen a legfontosabb dolog - egy jó víruskereső és tűzfal, sőt kívánatos, azzal a lehetőséggel, kötelező zárolás script a böngészőben (ActiveX, Java appletek, Jscript, VBS, de sajnos van tűzfal ma már szinte nem fordul elő, de blokkolja a böngészőben, akkor - használat legalább egy eszköz blokkolja a böngésző szkriptek vagy plug-inek, mint például a NoScript [31] és a Adblock Plus [32] a Firefox [33]).
A második fontos orvosság - a napi munka alól a számla korlátozott jogokkal, bár sokan nem szeretik (nekem is). De itt lehet menni egy kis trükk - még a rendszergazda fiók, hogy korlátozza a képességét, hogy módosítsa a ághoz
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon.
By the way, nem kell húzni, és a Windows Rendszer-visszaállítás - nagyon hasznos, csak az ilyen esetekben.
Ne felejtsük el, hogy frissítse a rendszert, telepítse az új verziók folyamatosan használt programok - ez fogja megmenteni néhány biztonsági réseket. Ellenőrizze, hogy a lemez az operációs rendszer használja az NTFS fájlrendszert.
Ne feledje, hogy ellenőrizze a vírusok nem csak a fájlokat, de még lenni weboldalakat online - ez segít a beépített funkciók a böngészők (IE SmartScreen, a kiterjesztés LinkExtend [37] A Firefox) és a szolgáltatások, mint például:
És végül, soha ne küldjön SMS-t támadó létrehozni egy vírus. Ne feledje, hogy a pénz, akkor szinte biztosan elveszíti, és a feloldó kódot, és nem tudja megszerezni. Egyszerűen kap a kódot az üzemeltető cég működtetéséért felelős ennek a rövid számot. Mindig után vírusok változtassák meg a jelszavukat és a „megjelenés” - lehetséges, hogy amellett, hogy blokkolják a trójai végez rendszert és más rosszindulatú funkciókat.
A tolvaj kell ülni a börtönben!
Ne feledje, hogy mindig forduljon a szállítóhoz, szolgálja a rövid számot, azt állítva, hogy a kikapcsolási kód. Különösen, amellett, hogy a mobilszolgáltató, hasznos lesz az ilyen kapcsolatok:
- A1: First Alternatív tartalomszolgáltató (alt1.ru, a1agregator.ru)
- INcoreMedia (incoremedia.ru)
Hívjon, esküszöm, azzal fenyeget, hogy alkalmazni kell az ügyészség, követeli, hogy megbüntesse a támadó, ugyanakkor tájékoztatja az érintett blokkoló és kap razblokirovochny kódot. És ha benyújtja a kérelmet a rendőrség, az állami fogja állítani, hogy az emlékmű!
hasznos linkek
Ha nem fut exe-fájlt, akkor importálja a registry:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT \ exefile \ shell]
[HKEY_CLASSES_ROOT \ exefile \ shell \ open]
"EditFlags" = hex: 00,00,00,00
[HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command]
@ = "" % 1 "% *"
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas]
[HKEY_CLASSES_ROOT \ exefile \ shell \ runas \ command]
@ = "" % 1 "% *"
Minden említett honlapon védjegy a megfelelő tulajdonosok