как бороться с пиратскими окнами?

[HTC]

Graf Mur, думаю придется объяснить , проактивная защита -мониторинг защищенных объектов (контроль целостности реестра,com интерфейсов,файлов и папок), контроль внедряемых процессов(перехват исполняемых файлов перед их загрузкой в память), песочница в конце концов. Если разрешать все что только можно , то никакой антивирус не поможет, тут голову менять нужно.

[Graf Mur]

HTC, а при чем здесь вообще тогда антивирус? У меня задачу борьбы со всякой нелигитимной шнягой вполне успешно выполняет Anvir, который ни разу не антивирус. Какие антивирусные наработки используются в борьбе с порно-баннерами? "Песочница, com-интерфейсы...", угу, БТР возле подъезда, работа только с виртуальной системы с учеткой Гость и т.д. и т.п.

[John_Williams]

с обычной загрузки тоже можно. Антивирусы не ловят эту хрень потому что это даже не вирус. Для восстановление загрузки safeboot используйте avz tools, он подправит ключи в реестре. :drink:

[John_Williams]

Новые версии пиратских окон стали куда коварнее =). Даже при загрузке с erdcommander,bart_pe выдает синий экран, вирус патчит userinit.exe.
Узнать их можно по телефонам с началом 8911XXXXXXX. Для этих окон нет ключей разблокировки.
Для уничтожения сия творения человека спасет только образ WinPE_uVS.iso (115Mb).

Далее читаем тут как пользоваться, http://forum.kaspersky.com/index.php?showtopic=199377

В моем случае пришлось грузится с этого образа затем залогинится в системе, провести сканирование по обьектам автозапуска потом в ручном режиме после выявления exe сканируются системные файлы, прога находи остатки кода в системных библиотеках и благополучно удаляет-это проблемы не решает, после этого баннер удаляется, но система не проходит авторизацию пользователя, так как удален userinit.exe. Этот файл небходимо восстанавливать с образа, он там имеется в архиве, так же нажимается кнопка для автоматической правки ключей в разделе ТВИКИ, который фиксит параметры shell. Доступ к системному редактору реестра через прогу получить не удалось. Система восстановлена.

[Maxxx]

Для уничтожения сия творения человека спасет только образ WinPE_uVS.iso (115Mb).

Ну прям - только...

[BORNDEAD]

а может просто закрыть эти ключи на запись и перестать моск компосировать себе и людям?

[Graf Mur]

Для уничтожения сия творения человека спасет только образ WinPE_uVS.iso (115Mb).

А Alkid или Rus RAM не спасают? ;) Что такого "великого" в образе WinPE_uVS кроме интегрированного uVS, без чего прожить нельзя?

Собственно говоря, сам uVS, без всякого образа и весом всего в 2,3 Мб можно взять здесь - http://soft.oszone.net/program/8729/Uni ... S/?cpage=1

[bender]

На Хабре статья классная
http://habrahabr.ru/company/kaspersky/b ... /#habracut

[Graf Mur]

Trojan.MBRlock-SMS вымогатель

Вначале - немного теории. Итак, загрузочные вирусы заражают загрузочный (boot) сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
В случае винчестера управление получает программа, расположенная в MBR винчестера. Эта программа анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы определённую сумму.

В сообщении в числе прочего говорится о том, что содержимое всех дисков компьютера якобы зашифровано и попытка самостоятельно вылечить приведет якобы к уничтожению всех данных на диске. Это не соответствует действительности. В любом случае после факта заражения лечение из самой системы становится невозможным, т. к. она даже не начинает загружаться.

При вводе верного пароля происходит восстановление исходного состояния загрузочной области диска, и загрузка установленной операционной системы происходит в обычном режиме.

В настоящее время известно несколько модификаций Trojan.MBRlock.

Подробнее - http://safezone.cc/forum/showthread.php?p=78371