воскресенье, 7 августа 2011 г.

Winlocker - что это такое и как с ним бороться

Trojan.Winlock (Винлокер)семейство вредоносных программ блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера. Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 года, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришелся на май 2010 года.
Если же несмотря на все предосторожности вы всё же подцепили этого зверя, первое и самое важное...без паники. Ничего страшного в этом нет, ваши данные никуда не денутся. С вашей системой ничего не случится. (хотя надписи на банере обычно уверяют в обратном =) )
Способ №1.
Берем http://letitbit.net/download/23329.2cbc7800e89be8d3cbf2d47624e5/AntiWinLockerLiveCD311.rar.html отсюда образ диска. Записываем его (инструкция по записи при помощи Nero смотрим здесь http://www.izcity.com/data/soft/article1026.htm). Когда наш диск записан, загружаем его в CD\DVD привод, перезагружаем компьютер и использую загрузочное меню (обычно это кнопка F8 или Escape, зажать и держать при загрузке) стартуем загрузку с привода.

Загрузившись мы видим примерно вот такую картинку

выбираем "Автоматически" и следим за процессом, в результате получаем вот такое окошко

перезагружаемся и зачищаем систему от остатков вируса. http://www.freedrweb.com/download+cureit/gr/?lng=ru


Способ 2 (для продвинутых пользователей)

1. Берем любой дистрибутив с LiveCD (Alkid LiveCD более чем удобен)
2. Загружаемся и проделываем следующие действия:
Пуск - Выполнить - regedit - Enter
Далее ищем ключ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] и проверяем его значения строк shell и userinit должно быть значение userinit - C:\WINDOWS\system32\userinit.exe shell - Explorer.exe если же значение отличается исправьте его. Должно выглядеть примерно вот так:


Далее закрываем редактор реестра и зачищаем систему от  остатков вируса. http://www.freedrweb.com/download+cureit/gr/?lng=ru



Если вирус заблокировал Диспетчер задач необходимо:


  1. открыть меню «Пуск» → «Выполнить» → ввести команду «gpedit.msc» → «ОК».
  2. Откроется окно «Групповая политика». Далее перейти в пункт «Конфигурация пользователя» → «Административные шаблоны» → «Система» → «Возможности Ctrl+Alt+Del».
  3. Дважды нажать на параметре «Удалить диспетчер задач».
  4. В появившемся окне «Свойства удаления диспетчера задач» выбрать «Отключен».
  5. Далее нажать «Применить» и «ОК». После этого закрыть окно «Настройки групповой политики».
    Для того чтобы отключить диспетчер задач, в окне «Свойства удаления диспетчера задач», выбрать «Включен». После этого нажать на «Применить» и «ОК». Далее следует закрыть окно «Настройки групповой политики».

Также не забываем очистить папки временных файлов системы и браузера.

Либо программой Ccleaner она идет в составе дистрибутива

Либо вручную:
C:\Windows\Temp
C:\Documents and Settings\логин\Local Settings\Temporary Internet Files
    C:\Documents and Settings\логин\Local Settings\Application Data\Opera\Opera\cache




      пятница, 10 июня 2011 г.

      Рекомендации по удалению программ

      Vadim_SVN
      23.09.2010, 12:59
      Не все программные продукты можно удалить через стандартную операцию удаления полностью.
      Ниже предлагается список часто используемых продуктов и ссылок на утилиты либо инструкции для их полного удаления.
      =======================================================

      Крипто-Про (CryptoPro):
      Полностью удалить хвосты от крипто про в системе
      Скопировать из каталога установки КриптоПро файл csptest.exe.
      Удалить КриптоПро.
      Перезагрузиться.
      В командной строке набрать: csptest.exe -install -clear.
      Перезагрузиться.
      Утилита для полного удаления пакетoв Office 2003, 2007 или 2010 (http://support.microsoft.com/kb/290301/ru)
      Рекомендации по удалению Internet Explorer 8 (http://support.microsoft.com/kb/957700)
      Утилита для полного удаления .NET Framework (http://blogs.msdn.com/b/astebner/archive/2008/08/28/8904493.aspx)
      Утилита для полного удаления Java Runtime Environment (JRE) (http://raproducts.org/wordpress/software)
      Утилита для полного удаления Adobe Flash Player (http://fpdownload.adobe.com/get/flashplayer/current/uninstall_flash_player.exe)
      Рекомендации по удалению продуктов Nero (http://www.nero.com/ena/downloads-nero9-tools-utilities.html#tab4)
      Утилита для полного удаления Nokia PC Suite (http://europe.nokia.com/support/download-software/pc-suites/how-to/nokia-pc-suite-cleaner)
      =======================================================
      Утилита для полного удаления продуктов ESET (NOD) (http://www.eset-club.ru/topic/1438-eset-uninstaller/)
      Утилита для полного удаления продуктов Alwil (avast!) (http://www.avast.com/uninstall-utility)
      Утилита для полного удаления продуктов Bull Guard (http://www.bullguard.com/support/product-guides/bullguard-internet-security-guides-90/manual-uninstall.aspx)
      Утилита для полного удаления продуктов Dr.Web (ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe)
      Утилита для полного удаления продуктов GDATA (файл AVCleaner) (http://ru.gdatasoftware.com/podderzhka/zagruzki/instrumenty.html)
      Утилита для полного удаления продуктов Лаборатории Касперского (http://support.kaspersky.ru/faq/?qid=208635705)
      Утилита для полного удаления продуктов Symantec (Norton) (http://www.symantec.com/norton/support/kb/web_view.jsp?wv_type=public_web&docurl=20080710133834EN&ln=en_US)
      Утилита для полного удаления продуктов BitDefender (http://www.bitdefender.com/files/KnowledgeBase/file/BitDefender_Uninstall_Tool.exe)
      Утилита для полного удаления продуктов Agnitum (Outpost) (http://www.agnitum.ru/support/kb/article.php?id=1000159&lang=ru)
      Утилита для полного удаления продуктов McAfee (http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe)
      Утилита для удаления Panda Cloud Antivirus (http://www.pandasecurity.com/resources/sop/Cloud_AV_Uninstaller.exe)
      Утилита для полного удаления продуктов Panda (http://www.pandasecurity.com/homeusers/support/card?id=200000&idIdioma=2)
      Утилита для полного удаления продуктов Norman (http://www.norman.com/support/support_issue_archive/67798/en)
      Утилита для полного удаления SuperAntiSpyware (http://www.superantispyware.com/supportfaqdisplay.html?faq=47)
      Утилита для полного удаления продуктов Prevx (http://info.prevx.com/removaltool.asp)
      Утилита для полного удаления продуктов AVG (http://www.avg.com/ww-en/download-tools)
      Утилита для полного удаления продуктов Trend Micro (http://esupport.trendmicro.com/Pages/How-do-I-remove-old-or-new-versions-of-Trend-Micro-products-in-my-comp.aspx)
      Утилита для полного удаления продуктов F-Secure (http://www.f-secure.com/kb/6640)
      =======================================================
      Рекомендации по удалению продуктов Avira (http://www.avira.com/ru/support/kbdetails.php?id=135)
      Рекомендации по удалению продуктов F-PROT (http://www.f-prot.com/support/windows/fpwin_faq/332.html)
      Рекомендации по удалению продуктов Sophos (http://www.sophos.com/support/knowledgebase/article/11019.html)
      Рекомендации по удалению Comodo Personal Firewall (https://support.comodo.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=10)
      Рекомендации по удалению ESET NOD32 Antivirus 3.0 - 4.0 (Kaspersky) (http://support.kaspersky.ru/faq/?qid=208636474)

      =======================================================
       Читаем тут
      Приветствуется пополнение списка в разделе Открытое обсуждение статей раздела Чаво (http://defendium.info/showthread.php/297) ! :)

      воскресенье, 13 февраля 2011 г.

      Какие способы автозагрузки существуют?

      Какие способы автозагрузки существуют? Где найти список программ, загружаемых Windows автоматически? Как отключить списки автозагрузки? Этим темам и посвящена данная статья.
      Существует немало способов автозагрузки программ. Ниже приведены несколько вариантов для ознакомления, возможно это поможет вам, если возникнет необходимость найти и удалить какую-либо программу из автозагрузки.

      Реестр
      В реестре автозагрузка представлена в нескольких местах:

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] — программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] — программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx] — программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.

      [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] — программы, которые запускаются при входе текущего пользователя в систему

      [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion\ RunOnce] — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServices] — программы, которые загружаются при старте системы до входа пользователя в Windows.

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce] — программы отсюда загружаются только один раз, когда загружается система.

      Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] и добавляем следующий ключ:
      "NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

      Использование групповой политики для автозапуска:

      Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера — Административные шаблоны — Система". В правой части оснастки перейдите на пункт "Запускать указанные программы при входе в систему". По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать — Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE \ SOFTWARE \Microsoft \ Windows \ CurrentVersion \ policies] создается подраздел \ Explorer \ Run с ключами добавленных программ. Пример:

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run]

      "1"="notepad.exe"

      "2"="iexplore.exe"

      В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя — Административные шаблоны — Система", а в реестре раздел [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run]

      При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

      Автозапуск из особого списка

      Программы могут запускаться и из следующего раздела реестра:

      [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

      Параметры:

      "load"="programma" — программы запускаемые до входа пользователя в систему:

      "run"="programma" — программы запускаемые после входа пользователя в систему.

      Эти параметры — аналог автозагрузки из Win.ini в Windows 9х. Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]

      "load"="iexplore.exe"

      "run"="notepad.exe"

      Не обрабатывать список автозапуска для старых версий

      Настраивается с помощью групповой политики: "Конфигурация компьютера — Административные шаблоны — Система — Не обрабатывать список автозапуска для старых версий", если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

      [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]

      При использовании этой политики в реестре создается следующий ключ:

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \Explorer]

      "DisableLocalMachineRun"=dword:00000001

      Аналогично устанавливается политика для текущих пользователей: "Конфигурация пользователя — Административные шаблоны — Система — Не обрабатывать список автозапуска для старых версий" с тем отличием что в реестре эта опция включается в ином месте:

      [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer]

      "DisableLocalUserRun"=dword:00000001

      Игнорировать списки автозагрузки программ выполняемых однажды

      Настраивается с помощью групповой политики: "Конфигурация компьютера — Административные шаблоны — Система — Не обрабатывать список автозапуска программ, выполняемых однажды", если эту политику включить, то не будут запускаться программы запускаемые из списка

      [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce]

      Если эта политика включена, в реестре создается следующий ключ:

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer]

      "DisableLocalMachineRunOnce"= dword:00000001

      Так же настраивается политика для текущих пользователей: "Конфигурация пользователя — Административные шаблоны — Система — Не обрабатывать список автозапуска программ, выполняемых однажды" Параметры реестра:

      [HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer]

      "DisableLocalUserRunOnce"=dword:00000001

      Назначенные задания

      Программы могут запускаться с помощью "Мастера планирования заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск — Все программы — Стандартные — Служебные — Назначенные задания" — при этом откроется папка ..\WINDOWS\Tasks, в которой отображены назначенные задания. Чтобы добавить новое задание, нужно дважды щелкнуть левой кнопкой мыши по значку "Добавить задание". Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

      Папка "Автозагрузка"

      Это папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки — общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

      ..\ Documents and Settings \ All Users \ Главное меню \ Программы \ Автозагрузка — это папка, программы из которой будут запускаться для всех пользователей компьютера.

      ..\ Documents and Settings \ Username \Главное меню \ Программы \ Автозагрузка — это папка, программы из которой будут запускаться для текущего пользователя (здесь он назван Username).

      Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск — Все программы — Автозагрузка". Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему. Если при входе пользователя в систему удерживать нажатой клавишу "Shift", то программы из папок "Автозагрузка" запускаться не будут.

      Смена папки автозагрузки

      Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

      [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]

      "Common Startup"="%ALLUSERSPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для всех пользователей системы.

      [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \User Shell Folders]

      "Startup"="%USERPROFILE% \ Главное меню \ Программы \ Автозагрузка" — для текущего пользователя.

      Сменив путь к папке мы получим автозагрузку всех программ из указанной папки. Например:

      [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]

      "Startup"="c:\mystartup" — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

      Подмена ярлыка для программы из списка автозагрузки

      Допустим у вас установлен русскоязычный пакет Microsoft Office. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Быстрый запуск Microsoft Office" — этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на "Быстрый запуск Microsoft Office" — вместо него может быть запущена любая другая программа, тем более что на функциональности Office это не скажется.

      Добавление программы к программе запускаемой из списка автозагрузки

      Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа — дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

      Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск — Все программы — Стандартные — Служебные — Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда — Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".

      Другая программа, позволяющая посмотреть список программ автозагрузки — "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").