Осторожно,вирус блокирующий комп
 

Моя девушка по незнанию словила какую-то хрень:
после перезагрузки черный экран и надпись
"ваш компьютер заблокирован за просмотр порнографии с участием несовершеннолетних гомосеков" и что-то в этом роде,
и для разлочки предлагает послать 150грн на какой-то веб-кошелек, в противном случае все данные на диске будут уничтожены

интересно,неужто находятся идиоты которые платят?

лечится довольно просто:

перезагружаемся с загрузочного диска Windows или диска восстановления системы ( я на такой случай создал флешку специальную)
выбираем "восстановление системы", открываем консоль
и в ней печатаем команду
bootsect /mbr all

подробно - тут:
[url]http://netler.ru/ikt/windows7-mbr.htm[/url]

Далеко не всегда вирусы такого типа - бутовые. Соответственно, запись новой mbr не всегда поможет. И на ХР процесс лечения бутового вируса будет несколько иным, хотя принцип тот же - загрузка с установочного диска (лучше с фирменного, ибо в самопальных сборках консоль восстановления может отсутствовать), выбор консоли восстановления нажатием клавиши R в соответствующем меню, выбор системы, в которую нужно войти, ввод пароля администратора, затем команды fixboot и fixmbr.

там еще есть точка отката - помогает откатить состояние ОС до определенной временной метки, включая установленные программы и патчи

пробовал - именно против этого вируса не помогло \9видимо кроме МБР он больше ничего не изменяет. на всякий случай потом прогнал диск CureIt-ом, он ничего не нашел

Я вообще предпочитаю перед чисткой системы отключать восстановление (если, конечно, машина загружается). Многие вирусы прекрасно восстанавливаются с помощью этой службы, даже без помощи человека.

У меня был такой вирус 2 раза. Лечил просто - открываю второй комп, вхожу на сайт касперского, ввожу номер и код на который просят ввести, и мне готовый пароль дают. Потом с этого компа всё воссанавливаю через касспер, он пополняет базы и проблема решена.

Я тоже недавно такое подцепил. Проблема решилась запуском системы в безопасном режиме с поддержкой командной строки (обычный бзопасный режим тоже блокировался). Далее >regedit и ручная чистка реестра (разделов автозагрузки).

[QUOTE=Evgenyi;314547]У меня был такой вирус 2 раза. Лечил просто - открываю второй комп, вхожу на сайт касперского, ввожу номер и код на который просят ввести, и мне готовый пароль дают.[/QUOTE]Мне попадался блокировщик, который кодом не разблокируется в принципе. Хотя форма ввода кода имелась. Только Kaspersky Rescue Disk помог. Такой диск всегда полезно под рукой иметь, особенно если компьютер единственный.

[QUOTE=Raskolnikov;314548]Далее >regedit и ручная чистка реестра (разделов автозагрузки).[/QUOTE]

А какая конкретно запись там была, которую вирус сделал??

Вопрос довольно бессмысленный, ведь вирусов масса, и даже с виду похожие имеют много различий. Для таких случаев есть отличная утилита autoruns.exe.
[URL="http://technet.microsoft.com/ru-ru/sysinternals/bb963902"]http://technet.microsoft.com/ru-ru/sysinternals/bb963902[/URL]

тоже позавчера словил такую, хорошо вспомнил, что недавно сделал загрузочную флешку с "мини-антивирусом" от Китайских разработчиков "ByteHero" плох в чистке компа, т.к может удалить множество нужных файлов, якобы вирус, но да ладно:2:, а вот с этой проблемкой справился быстро, вирус находился в "c.windows.system32.userinit.exe" название Troyan.Winlock.origin. userinit.exe остался цел программа его не стёрла зато вирус убрала, буквально за 10 секунд, даже не пришлось перезагружать сразу пропала эта блокировка и появился рабочий стол.:39:

Баннерорезку желательно юзать, тогда возможность подхватить подобную заразу минимальна.

Где вы всю эту гадость собираете? [только плиз без прямых ссылок] =)).

[QUOTE=Толяныч;314603]Баннерорезку желательно юзать, тогда возможность подхватить подобную заразу минимальна.[/QUOTE]
Вирус в картинках? Это что-то новое.

Современная реклама строится на загрузке динамически изменяемого скрипта, он уже грузит нужные картинки и ссылки... или вирусы.

Если я правильно понял Толяныча, то он имел в виду рекламные баннеры типа поп-андеры, которые куда не кликни и открывается окно...

Ну так баннерорезки в большинстве своем блокируют загрузку изображений, а исполнять скрипты не запрещают. Самый надежный способ защиты - ограничение прав пользователя.

[QUOTE=alexcat;314647]Ну так баннерорезки в большинстве своем блокируют загрузку изображений, а исполнять скрипты не запрещают. Самый надежный способ защиты - ограничение прав пользователя.[/QUOTE]

+++
самый надежный способ это не сидеть под рутом, в винде по умолчанию сделано все наоборот

самый надежный способ уберечься от вирусов это пересесьт на линукс или мак ос или другую юниксоподобную систему. вирусы там тоже бывают, но их в разы меньше, и уж записать какую-то хрень в мбр там физически невозможно под правами пользователя (эти операции доступны дисковым утилитам которые запускаются только под рутом )

простой пример защиты и "защиты"
у меня стоит Мак Ос и Винда 7 на одном винте разбитом пополам. Из винды попасть в маковский каталог хоум юзера нельзя (нет прав) , а из мака виден весь виндовый раздел без каких либо прав вообще (включая скрытые и системные файлы). то же самое если загрузиться с загрузочной дискеты с другой ОС (например Ubuntu Live CD дает полный доступ к разделу NTFS )

[QUOTE=awaken;314656]
простой пример защиты и "защиты"
у меня стоит Мак Ос и Винда 7 на одном винте разбитом пополам. Из винды попасть в маковский каталог хоум юзера нельзя (нет прав) , а из мака виден весь виндовый раздел без каких либо прав вообще (включая скрытые и системные файлы). то же самое если загрузиться с загрузочной дискеты с другой ОС (например Ubuntu Live CD дает полный доступ к разделу NTFS )[/QUOTE]

Ну ладно уж вам....какая там ФС? В линуховую Ext2-3-4 можно зайти с любого LiveCD ...более того можно загрузится в Single User и получить доступ ко всей системе... я так систему чинил умершую после очередного апгрейда (у меня Debian сдох так на серваке) причём она была под PCI-DSS настроена с самыми жестокими настройками безопасности.

Единственная безопасность от такого это шифровать раздел, что позволяет и NTFS и юниксы

[QUOTE=apelsin7;314565]А какая конкретно запись там была, которую вирус сделал??[/QUOTE]

В моем конкретном случае (Win7):
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
И там один из ключей - exe-файл с бессмысленным именем (случайный набор цифр и других символов). Его удаление решило проблему.

Раньше любили гадить в ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

записывая себя в параметр Shell вместо Explorer.exe

А вот вопрос такой конкретно этого вируса, я вижу многие решали проблему через "Касперского". Если на компьютере стоит Лицензионная Система (Windows) и лицензионный "Касперский", вообще весь софт лицензия, какова вероятность словить эту хрень, которая блокирует комп?

Лицензионность ПО не гарантирует защиту от вирусов, это надо раз и навсегда запомнить (только ни в коем случае нельзя ставить сборки Windows типа ZverCD, там зачастую могут быть трояны встроены, что стоит история двухгодичной давности с RAdmin со стандартным паролем и скрытым от пользователя)

В деле защиты от вирусов важно:
1) Наличие ВСЕХ самых свежих обновлений ОС
2) Наличие хорошего антивируса с ежедневно обновляемыми базами

При наличии головы на плечах, лицензионность софта не важна.

[QUOTE=Xenomorph;314791]Если на компьютере стоит Лицензионная Система (Windows) и лицензионный "Касперский", вообще весь софт лицензия, какова вероятность словить эту хрень, которая блокирует комп?[/QUOTE]Высокая. :D

[size="1"][color="Silver"]Добавлено через 10 минут[/color][/size]
[QUOTE=Garikk;314801]В деле защиты от вирусов важно:
1) Наличие ВСЕХ самых свежих обновлений ОС
2) Наличие хорошего антивируса с ежедневно обновляемыми базами
[/QUOTE]Беда в том, что самые свежие заплатки и самые свежие базы всегда чуточку отстают от самых свежих вирусов.

самый простой совет - не скачивать программы сомнительного происхождения типа "приложения для раскрутки групп в контакте", сайты с кряками , "базы адресов для зарабатывания в интернете" (уже само то что архив в виде файла .exe должно насторожить) , и тд

у нас на работе например , очень редко бывают вирусы т.к. все сайты с сомнительным контентом блокируются файрволом (иногда даже вполне нормальные блокируются но это уже паранойя)

Долбаный радикал... Причём ламеры ведь точно найдутся.

[IMG]http://s018.radikal.ru/i517/1202/dc/cb9be225fc6a.jpg[/IMG]

Я случайно протупил и установил это УГ. Это ужас. Левый дебильный мультибар слева, тупые панели в браузерах. Короче ужас. Хотя удаляется легко через панель управления - программы и компоненты. Там вроде или 2 или 3 программы нужно удалить.

Только не в рекламе, а оно само скачалось.

...А потом удивляемся почему вирья много и винду ругаем...нуну..

Да сейчас многие программы просто обнаглели: при установке, предлагают установить целую кучу всякого говна, галочки на этих пунктах уже стоят по умолчанию... поскольку многие щёлкают по кнопке "дальше" автоматически - то всё это и устанавливается. Везде нам всё навязывают: в рекламе, по телевизору, в программном обеспечении даже...

Слава Богу Яндекс еще по тв не рекламируют. :D

Зомбоящик? Не, не слышал. :confused:

Тоже приключилась засада со вторым компом. Процессы svchost.exe жрут память. Комп тормозит жестоко. Пробовал сделать откат системы, а откат не делается. При перезагрузке выдает сообщение, что систему восстановить не удалось. Сделал так два раза. буду еще пробовать... Антивирус сообщает, что вирус в оперативной памяти, очистка невозможна...

Kaspersky Rescue Disk в помощь.

[URL="http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso"]http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso[/URL]

Восстановление системы лучше отключить сразу.