_PROGRAMM_

Как же много возни с этими банерами. Вот помню, поймал его пользователь и попросил разобраться с этим делом. Я взял Kaspersky WindowsUnlocker и работал согласно инструкции. К моему удивлению он ничем не помог. Windows блокирована полностью, включая безопасный режим. Как побороть такого рода заразу? Мне пришлось сносить систему. Но это был вопрос параллельно теме. Я хотел спросить на самом деле другое. Мне кажется, что Kaspersky WindowsUnlocker на базе ядра linux, давно было, поэтому не помню точно, но мне почему-то показалось, что это именно так. Не хочется постоянно записывать образ каспера на флеш-накопитель или диск, потому что нужно копировать файлы и т.д. Нет ли какой-нибудь утилиты, которая устанавливается sudo aptitude install ... аналогичной Kaspersky WindowsUnlocker в LiveCD с Ubuntu, например? Было бы удобнее. Где вообще можно найти эти банеры у пользователя, чтобы потом проехаться по ним дебагером? Возможно ли?
Заранее спасибо.

Cynically

А смысл? Они же все однотипные. Пробегись по кулхацкерским форумам и собирай урожай.

Stilet

Я в ERD Commander запускал восстановление MBR. Это срабатывало.

_PROGRAMM_

Спасибо, попробую.

Cynically

Кстати, да. Они ж все на мбр зациклены. Стоит восстановить по дефолту мбр, как они уже сосут толстый йух.

_PROGRAMM_

Да MBR не причем. Ведь ОС загружается.

Cynically

Умник, они подгружаются раньше, чем ось, оттого мбр и редактируется этим видом малвари, поэтому пользователь первое, что видит как раз и винлокер, а не уютное окошко шиндоус. Есть, конечно, архаичная коллекция зверушек, которая это не делает, но все это уже давно история.

Stilet

Порнобаннеры запоминают у себя состояние MBR, и после своей загрузки переводят на него стрелки. Впрочем ты хотел препарировать один из них? - не исключено что именно такой алгоритм будет внутри.

Баламут

Часто приходится в последнее время сталкиваться с этой хренью. Антивири не спасают, а потому борюсь ручками. LiveCD же сейчас никого не удивишь. В общем чаще всего зараза подменяет стандартный explorer собой. Ну тут все просто. Идем на HKEY_LOCAL_MACHINE\SOFTWARE\MICROSO FT\WINDOWS NT\CurrentVrsion\Winlogon\shell и пишем там explorer.exe вместо всякой шняги. Попутно, кстати, можно глянуть где зараза обосновалась. Вообще очень рекомендую обзавестись утилитой autoruns.exe от товарища Русиновича. В подобных случаях очень удобно. Впрочем проводник можно и локально подменить, для пользователя. Ну здесь путь чуть отличается и звучит как HKEY_CURRENT_USER\SOFTWARE\MICROSOF T\WINDOWS NT\CurrentVrsion\Winlogon\shell. Гораздо реже встречаются животные, пользующие MBR. Здесь вообще без проблем. Грузимся с установочного диска, выбираем восстановление системы, а далее fixboot, fixmbr.
Самые простые случаи, когда грузится просто через стандартную автозагрузку думаю и рассматривать не стоит...

_PROGRAMM_

Ясно, спасибо.
Тот из-за которого в прошлом пришлось сносить систему, вряд ли обладал таким свойством.
Я форточками изредка пользуюсь, но по-моему тут CurrentVersion. Вдруг кто-то на тему наткнется.
Всем спасибо. Найду время, вскрою один.