Метод убийства БЛОКЕРОВ

[KOTEHOK]

Особенно в этот год, много компов заражалось такими специфическими Зловредами вымогателями, которые блокируют комп. Никакие антивири их не детектируют. Генерация кодов разблокировки на сайтах антивирусов может кому то и помогла но я такого не видел. Заражение таким вымогателем происходит просто при открытии страницы сайта на котором его-зловреда разместили. Недавно притаранили 2 компа с блокерами. Загрузился на них с DVD под ERD com, и в "Просмотре событий" увидел что последним приложением было у одного PDF Rider у другого Adobe Flash. Немудрено, ведь эта хрень интегрирована во все броузеры, и использует ActiveX, причем без спроса буферирует свой контент.
Ну ладно, по ЕРД же увидел в папке Application data некий фай .ехе со случайным именем. Но удалиться не вышло, хотя раньше под ЕРД убивал все системное барахло (возможно нуно было запускать его без интеграции с установленой Видовс). Ну чтоже подумал я , не хочешь по хорошему.... И загрузился с CD под малюсеньким линухом PUPY. Эта собачка Пупи видит все виндовские разделы и файлы, и выгрызает все что ей скажут.
Ну вот, причем недавно измененные папки и файлы видны в Пупи жирным шрифтом. Че же я увидел. C:\WINDOWS\system32\config ,C:\WINDOWS\system32\dllcache , были недвно изменены, кроме этого в самой C:\WINDOWS\system32 были изменены файлы userinit.exe и taskmgr.exe , они же были изменены и в C:\WINDOWS\system32\dllcache . в папке C:\WINDOWS\system32\config были подменены - default , SAM , SECURITY , SECURITY , SECURITY , software , system .
И все го то? Нуно их заменить и все заработает! Файлы userinit.exe и taskmgr.exe я скопировал с зорового компа. А вот в папку config файлы без расширений взял из System Volume Information\ (скрытой) restore{....}\"самой последней папки" RP\snapshot\ , там файлы default , SAM , SECURITY , SECURITY , SECURITY , software , system лежат для восстановления и с добавлением к имени _REGISTRY_MACHINE_, это ДП при копировании в систем 32 удалил (к DEFAULT еще добавлена точка, ее тоже удалил)
Все. Запустил комп, но просканил DrWeb Curelt ом. у одного компа забыл убить в App..Data тот файл .ехе дервеб его убил. По времени все заняло 10 минут.

[KOTEHOK]

Вы спросите, почему же антивири не видят когда ихнюю подопечную винду блокируют зловреды вымогатели?
Д апотому, что антивири не обучены набрасываться на системные процессы самой винды. А возможность блокирования ее, мошенникам - вымогателям великодушно предоставила сама ублюдочная Мелкософтина.
Воопсчето, за такое Мелкософтине морду разбить нуно.
Но всем пофег. Некогда. Мы все, сбившись в стадо - безликое месиво, куда то бешено несемся и бессмысленно орем, не слушая ни себя ни других, поднимая пыль! Представили? Остановитесь, и вас затопчут.

[krechet]

Воопсчето, за такое Мелкософтине морду разбить нуно.
Но всем пофег. Некогда.

Ну почему же некогда. Правда тут не разбили, но приложили конкретно

[Starec]

Котёнок, ты не указал ось, но судя по описанию гиморойного убиения блокера речь идёт о ХР. Можно пойти путём проще.
Заходим на страницу каспера http://support.kaspersky.ru/faq?qid=208642325 там всё описано, скачал, записал на флешку, загрузился с неё, запустил. Он сам вычистит этот блокер из ХР. В семёрке всё намного проще, грузимся с этой флешки или с любой другой оськи, описаной тобой или просто другой винды. Далее заходим в ту учётную запись, в которой поймали блокер.
C:/Documents and Settings/Ваш_ник
Или
C:/Users/Ваш_ник
Находим файлик ms.exe грохаем. Вот это и займёт как раз минут 10, а твой танец с бубном, ну ни как за 10 минут не станцуется))
Ловил два раза за последние пару месяцев и оба раза было именно такое име - ms.exe. Один совсем старенький, ещё за СМС который, якобы код высылает, второй новей - надо сходить к терминалу, закинуть 1000 или 2000 рублей и якобы на чеке будет код разблокировки.