Удаление баннера с рабочего стола, Разберемся раз и на всегда!

Закреплю пожалуй.

Автору и читателям рекомендация - по мере находок новый решений к новым проблемам такого характера, дописывайте в эту тему.

от дурака не спасёт даже линукс

такое есть в винде, и давно, только вот исторически сложилось что подобный подход к работе с системой не используется, даже больше - где-то читал что некоторые программы могут работать только с админскими правами.

Золотые слова!
Помню, когда срались насчет семерки (или висты), то одним из козырных аргументов против был "везде лезущий и жутко раздражающий!" UAC.

А, блин, мелкомягкие это правильную штуку придумали.
Пользователь должен иметь права ТОЛЬКО на запуск рабочих программ и - особо продвинутый пользователь! - на файловый менеджер.
Все, остальное - хрен! даже комп включаться/выключаться должен с сервера сети.
Это по рабочим местам, ессно, копроративным.

И запретить, мля, НАВСЕГДА майл-агент!!!
Прямым и недвусмысленным приказом - с последующим лишением премии и расстрелом на месте!!!

согласен - полностью настраиваемое рабочее окружение, поведение системы - отличное решение. но на сколько глубоко можно перенастроить винду?

Семерка сама по себе знает много гитик.
Хотя бы тот факт, что в не по дефолту отключено все то, что было опять таки по дефолту включено в ХР: админская и гостевая учетки, много сетевых шаровых функций, сам UAC тоже бдит постоянно.
Но кроме этого, можно занырнуть в групповые политики - и запретить вообще все! ну или почти все :)
Мощная штука ГП, очень рекомендую.

- одна из верных мыслей !

Дык серфить вообще можно под Express Gate :)

Не смешите :-). Любой комп можно выключить выдёргиванием вилки из розетки. А против вирусов лучшая защита - мозг человека. Проблема лишь в том, что счас в инэте 99% пользователей простые домохозяйки. У меня антивирус конечно используется, но при всяких подозрениях на сложное заражение я просто выполняю клонирование системы с заранее приготовленного образа, где уже стоят все требующиеся мне программы.

Зачем учить пользователя избегать поро-банер, когда можно к нему приехать и взять за работу 500ку?? Частенько люди обращаются, я не прочь подзаработать на эникейщиках.

Тем более, что учить чему-либо домохозяек - бесполезно!

з.ы. На завтра, в очереди, два "прокаженных" компа :)

Серега я с компами завязал ( в крайнем случае я так думал :ph34r:), но зазванивать меня меньше не стали.. Порой это бесит писец.. И уже давно прошел те времена когда за 500 катался по домам пользователей, мне легче написать скрипт для удаления и продать его :blink:


Вот столкнулся с новой версией баннера у директора :ph34r: изучаемс <_<

Чего его изучать? Пусть этим антивирусные лаборатории заморачиваются. Мочи, нах, гада! А директору скажи, нечего по гей порно лазить :D :D :D

+ 3 часа потерянных из жизни.. <_<

НАЙДЕННЫЕ ДОПОЛНЕНИЯ или Способ №3
Исходники данных вирусов заменяют диспечер задач (taskmgr.exe), приложение Userinit для входа в систему (userinit.exe) в папках C:\WINDOWS\system32 и C:\WINDOWS\system32\dllcache, также создаются скрытые копии вирусов на рабочем столе с именем null.###.exe, где ### любое количество цифр, меняют шел c Explorer.exe на C:\Documents and Settings\All Users\@@######.exe, где @ - любая буква, # - любая цифра. Вирус легко отличить по цифровой подписи и размеру файла, т.е. размер файла как правило не превышает 50Кб, а если зайти в свойства файла, то в описании будет что-то типа "dgdfgbvewjvhsd sdfsdf sdfjh", т.е. любые сгенерированные буквы.

Для более быстрого удаления вируса, можно воспользоваться реестром (если доступ к нему открыт на инфецированном компьютере). Не пытайтесь менять пути загрузки при подключении через реестр, все равно вирус вернет их назад. Для начала надо его отключить, делая в следующем порядке:

1. Блокируем доступ к файлу "userinit.exe" и папке "All Users". Для этого заходим в проводник удаленного компьютера (\\ИМЯ_КОМПЬЮТЕРА\C$), затем открываем "Сервис-Свойства папки-Вид", далее убираем галочку с поля "Отображать простой вид папок в списке папок проводника". Далее идем по пути C:\WINDOWS\system32. находим файл userinit.exe, заходим в его свойства, затем в вкладку "безопасность", и на всех пользователях, присутствующих в списках, ставим галочки "Запретить". После окончания нажимаем "Ок". Такую же процедуру повторяем для папки "All Users" (C:\Documents and Settings\All Users), только предварительно удаляем оттуда скрытый файл с расширением *.exe, где * - любое имя файла.
2. Заменяем диспетчер задач с зараженного здоровым. (taskmgr.exe) в папке System32 и DllCache
3. Перезагружаем компьютер (именно перезагружаем, завершение сеанса не поможет)
4. Если все сделали правильно, то у Вас откроется окно выбора пользователя, войти в систему можете и не пытаться, все равно будет возвращать назад в меню выбора пользователя, так как система не может получить доступ к файлу userinit.exe. Далее через Реестр опять подключаемся к зараженной станции, заходим по пути [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], меняем Shell на Explorer.exe, затем меняем зараженный файл userinit.exe на здоровый в папке System32 и DllCache, а также заменяем диспетчер задач (taskmgr.exe) в тех же папках.
5. Далее на зараженной станции делаем вход в систему. Откроется картинка рабочего стола без оболочки. Вызываем диспетчер задач комбинацией клавиш "Ctrl+Esc". Далее переходим в раздел "Файл-Выполнить" и пишем Regedit.exe, т.е. заходим в реестр локально по следующему пути [HKEY_СURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] и далее удаляем все параметры, которые ссылаются на рабочий стол с расширением exe (по умолчанию путь рабочего стола C:\Documents and Settings\ИМЯ_ПОЛЬЗОВАТЕЛЯ\Рабочий стол), затем удаляем по данному пути все файлы, на которые шли ссылки.
6. Следующим шагом делаем "Выход из системы" на рабочей станции, далее удаленной возвращаем доступ файлу "userinit.exe" и папке "All Users" (P.S. Возвращаем действия пункта №1).
7. Входим в систему и наслаждаемся чистой ОС. B)

Ниже залил на свой сайт здоровые файлы для следующих систем:

Windows XP (SP2-SP3)
Userinit.exe
Explorer.exe
logonui.exe
Taskmgr.exe
Windows 7
Userinit.exe
Explorer.exe
logonui.exe
Taskmgr.exe
Windows Server 2003
Userinit.exe
Explorer.exe
logonui.exe
Taskmgr.exe

З.Ы.: желающие отблагодарить за статью могут поАПать мою тему по покраске http://forum.nvrsk.ru/index.php?act=ST&f=47&t=187875

1. неопытный наврятли осилит
2. действительно стоит подождать реакции антивирусных лабораторий
3. если не ждать, то стоит запилить скрипт для аутоматизации :)

2punk_my_ded :
1. Да, согласен, 3 вариант уже более менее для опытных, но можно расписать и для начинающих, только будет ли толк? Они все равно обратятся к сосесу соседа, который хоть немного тянет в компьютерах, либо будут отправлять смс-ки до бесконечности, после чего отнесут компьютер в сервис и еще откинут пару рублей за переустановку системы.. :D
2. Антивирусники их никогда не осилят 100%, так как Шел - это графическая оболочка, в случае Windows это Explorer. Никто не запрещает ставить другую оболочку, которых в инете уйма.. А данный вирус является как раз данной оболочкой и тупо делает замену файлов на свой шел, на что антивирус не когда не будет реагировать. Именно по этой причине не один антивирус на данный момент не ловит данные вирусы, а тупо создают "единую базу кодов" по мере совершенствования версий "вирусов".. Единственный шанс отследить "подмену" файлов - это ставить софт для слежения за реестром и щелкать на окна "Согласен" и "Не согласен" на изменения в реестре, но неопытный пользователь все время будет щелкать 1ый вариант, либо 2ой и не сможет поставить корректно не одной программы.. :ph34r: И ЕЩЕ ОДНО НО: Антивирус удаляет инфецированные файлы, но не восстанавливает ветви в реестре... :blink:
3. Про скрипт думал, сильно не вижу смысла в его создании, так как версии все время усовершенствуются, и данный скрипт все время надо обновлять, на что у меня нет тупо времени и желания...

Данная статья поможет опытным пользователям (и геймерам), а также админам, которые не хотят или не могут решить проблему сами, а хотят найти готовое решение в инете :P

Данная статья не несет ничего нового и неизвестного дяже для рядового эникейщика, не говоря уж о системном администраторе с опытом работы.
А вот для пользователя, который хочет увидеть готовый алгоритм - вполне подойдет.

2 Inferno_MS

Дима, это ты описал борьбу с Trojan.Winlock.3308?

нет..

+100500


Димон, всё что ты тут написал не имеет значения.

Я всё равно буду загружатся с Live CD, CureIT проверятся, затем через RegistryLoaderPE смотреть в реестре, в ручную весь авторан и winlogon, там найду путь к гадости и всё удалю и исправлю.


Думаю выше описанный способ будет действовать всегда.

Ну куда уж мне до вас.. :ph34r:

Сегера, ты конечно не обижайся, но по моему многолетнему опыту, обычно когда люди так гордо пишут про свои познания в области ИТ технологий, то как правило они решают маленькую проблему не один час и в итоге восстанавливают винду либо переустанавливают полностью..

Проблему описанную выше можно решить и другим способом, бекапать каждый день реестр, и восстановить при сбое предыдущую версию. Дело на пару минут.. Статья описывалась для опытных пользователей и админов, (ПОДЧЕРКИВАЮ СЛОВО "АДМИНОВ" ищущих готовое решение (часто бывают моменты, когда тебе надо восстановить работоспособность за считанное время)..

На изучение эвристики последней копии вируса у меня ушло почти 3 ЧАСА, хотя мог тупо откатить реестр на час назад, и пойти себе в коморку заниматься своими делами.. И ты мне лечишь что я зря это расписывал? Ты по ходу Сега никогда не обращаешься к помощи форумов при решении какой либо задачи?!? И все проблемы устраняешь за считанное время?! Я понимаю если бы Вова мне такое написал, но тебе то куда.. Статья как раз расписана для той цели, чтобы человек не проводил эвристику вируса, а в случае если возник данный баннер, зашел в инет, прочитал решение, скачал здоровые файлы, восстановил систему и пошел дальше, а не изучал реестр.. Есть такие случаи, когда реестр так херится, что реально быстрее получается систему переустановить.. а есть случаи когда харды висят в масиве, и нужного рейд-дравера (либо флоппи) у тебя нет под рукой (либо тупо комп нельзя вырубать), вот для этого случая выручает, удаленный реестр.. А если в компании все нормально налажено как у меня (либо админ ленивый как я :D ), то мне быстрее зайти по удаленке и решить вопрос за пару минут, не выходя из дома...


з.ы.: у меня на обслуживании висит пару компаний, в которых я уже очень давно не был в живую (в одной из них уже больше полгода точно), все проблемы решаю только через рдп.. :ph34r:

В общем те кто считают, что в статье нет ничего интересного и познавательного - проходите мимо, СТАТЬЯ НАПИСАНА НЕ ДЛЯ ВАС! Остальные задавайте вопросы, пишите дополнения..