Борьба с "порнобаннерами"

Пытаясь побороть эту штуку (на win XP) испробывал несколько антивирусов и сканеров...но т.к. эта @@!!!"" с точки зрения системы ведет себя вполне цивильно, антивирусы ее не находили. В итоге зашел на сайт поддержки лаборатории касперского и обнаружил там очень занятный сервис http://support.kaspersky.ru/viruses/deblocker . Суть простая, вводите номер и код запроса...на основе этого выдается код разблокировки...как ни странно, но помогло =)

proteus [377841]: Это которые висят в центре экрана и угрожают повредить систему, требуя отправить sms?

proteus [377841]: http://www.drweb.com/unlocker/index/

Dimich [377848]: и они в том числе
Alex_Nevsky [377852]: тоже полезно =)

лечится просто: достаточно в реестре заменить параметр shell с вирусного содержимого на нормальный explorer.exe и все. (это там где лежит загрузка userinit) Ну и не смотреть порнушку :)

Cranby [377857]: тот который сел в данном случае, блокировал любые операции с системой, даже FAR зависал при попытке удалить exe (который в свою очередь плодился со скорость одна копия в секунду...).

PS. может вы и смотрите порнушку, но у меня этот комп работает только как файловое хранилище =) есть подозрение что эта гадость зацепилась через один из популярных интернет ресурсов (при чем без намека на порнуху).

proteus [377841]: linux?

mikko [377865]: MAC OS. Я в курсе что почти все вирусы пишутся под винду.

proteus [377863]: Цеплять троянов на файлсервер - это надо уметь! :)

А вообще, рекомендую посмотреть на Ubuntu 10.04, как на ОС для файлсервера.
Без шуток.

maxp [377876]: ну что поделаешь..."сапожник без сапог" =) с удовольствием перейду на другую ос, но только тогда, когда найду драйвер на SATA Raid контроллер без которого ни один инсталятор просто не видит жесткие диски... (железка довольно древняя). Хотя совет хороший =)

Что то ушли далеко от темы...
По теме. Может кто нить подскажет как удалить весь тот мусор, который наплодил троян (а наплодил он достаточно много копий исполнительного exe) ?

proteus [377863]: грузиться надо с другого устройства, не с зараженного диска :) Друзьям помогаю, сам не болел :)

proteus [377877]: когда найду драйвер на SATA Raid контроллер (железка довольно древняя) - как называется железка? Желательно и PCI_ID тоже.
Сильно древней она не может быть, так как когда проектировали действительно древние железки, SATA еще не было.

Про загрузиться с другого диска уже написали.
Кстати, о загрузке с CD или флэшки - http://www.sysresccd.org/

proteus [377841]: С порнухой нельзя бороться ею можно только наслаждаться :)

Касперский их отлавливает. И удалять умеет. Насчет лучшего антивира холивар разводить не стану. Не знаю какой лучше.

proteus [377877]: Загрузка с LiveCD и свежий CureIt + AVZ для восстановления системных переменных и значений реестра.

А вообще на файлсервере можно достаточно жестко настроить политику ограничения исполнения программ и DEP.

Cranby [377857]: К сожалению (или к счастью) сейчас далеко не все смс-блокеры меняют параметр shell или winlogon.

proteus [377877]: Какие дистры пробовал?

Загружаешься в безопасном режиме, делаешь поиск последних измененных или созданных файлов. Скорее всего находишь заразу где-нибудь в темпе или профиле, спокойно удаляешь. И не шарься по порносайтам ;)

Есть и более хитрые модификации этих баннеров у знакомого снимали его, дак он грузится просто как рекламный модуль не внедряясь никуда и не проявляя вирусного поведения, решили cureit не стал запускаться. попробовали 9 антивиров и антитроянов нифига не помогало только систему вешало, вобщем откатил ему систему на неделю назад и вуаля )

Endemix [377972]: эта штука запускалась даже в безопасном режиме, благополучно блокируя диспечер задач (точнее он типо был все время включен, судя по трею). Команды win+e/r приводили к зависанию системы.
Как говорил раньше, при попытке его удалить через tc/far происходило лавинообразное копирование файлов вируса по всей системе.
Посмотрел историю, НУ НЕТ ТАМ ПОРНОСАЙТОВ :) Стандартный набор социальных сетей, файлообменники, парочка сайтов с софтом (с одного из них похоже эта штука и была зацеплена)...

proteus [377988]: парочка сайтов с софтом - ага, а там самые свежие дистрибутивы всего-всего-всего. И в каждом инсталлере аккуратненько прицеплен какой-нибудь троянчик или несколько.