Восстанавливаем диспетчер задач и regedit

Удивительно, что в преддверии выхода Windows 8 многие еще используют XP ( хотя и сам такой же). Да, это удобная операционка, на которой я просидел почти десять лет, но вот с безопасностью  у нее очень туго. Немудрено, что порноблокираторы бьют сразу именно ее. Убрать сам порноблокиратор практически не проблема. Если у кого-то из ваших знакомых приключилась подобная беда, попробуйте мой способ, описанный в статье «Простая разблокировка компьютера от порнобаннера». Тем не менее, по просьбам моих читатетелей, я буду расширять описание методов борьбы с подобной напастью. Так что подписывайтесь на мой блог. Ну а речь в данной статье зайдет о том,  какие последствия оставляет после себя порноблокираторы и как их устранить. Что такое порноблокиратор по своей сути – это всего лишь примитивнейшая программа, которая подменяет собой Winlogon. Для тех, кто слабо разбирается в компьютерах поясню – данный файл загружает ваш рабочий стол (это если очень и очень сильно абстрагироваться).  Методик заражения безумно много, их описание может занять целую энциклопедию. Если вы хотите немного просветиться на сей счет, можете ознакомиться с обобщающей  статьей «Порнобаннеры». Итак, порнобаннер представляет собой простое окошко, в которое нужно ввести пароль, за который вы должны заплатить. По началу этот способ работал, но сейчас –нет. Но неважно. Окно с порнобаннером не должно быть закрыто по замыслам хакеров. Поэтому нужно убрать возможность вырубить его через Cntrl+Alt+Delete (вызовется Диспетчер задач),  отлавливать сообщение с клавиатуры, где отправляется сочетание клавши Alt+F4 и отключить возможность убрать зверушку из автозапуска, вырубив regedit. Кроме того,  порноблокиратор стирает еще точки восстановления и делает еще ряд пакостей, о которых мы поговорим с вами в других статьях. Убрать доступ к Диспетчеру задач можно очень многими способами и я, с вашего позволения, не буду о них рассказывать. Просто есть риск, что какой-нибудь начинающий хакер может воспользоваться этими данными в своих целях. Остановлюсь на самом простом, но в тоже время до сих пор встречающимся – вырубить вызов утилиты в реестре. Реестр Windows штука настолько полезная, что можно проводить очень тонкие настройки с его помощью. Однако именно он увеличивает уязвимость вашей системы. Безусловно, введенный еще в Vista UAC (контроль за учетной записью пользователя)  существенно снижает риск выполнения незнакомой программы (думаю, что вас наверняка смутит, если вместо открытия документа Windows предложит запустить какой-нибудь исполняемый файл с расширением exe), но не у всех она активирована, а в XP ее и вовсе нет. Кроме того, антивирусы имеют пакостное свойство далеко не всегда распознавать малварь, а брэндмауэрами пользуются далеко не все. Именно на это и рассчитывает злоумышленник. За включение/выключение Диспетчера задач в Windows XP отвечает ветка HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System/DisableTaskMgr DisableTaskMgr  как раз и отвечает за запуск диспечтера задач. Если вы поставите его параметром 0, то Диспетчер будет доступен, если 1 – то нет. Все предельно просто. Можно сделать reg файл, который будет исправлять этот параметр на рабочий, но мы же программисты, не так ли? Кроме того, нужно унифицировать данный подход, ведь есть вероятность, что вирус отключил и наш любимый regedit (его тоже отключают в реестре). Так посему давайте напишем программу, которая все устраняет. Для непрограммистов можно скачать ее здесь. Оговорюсь сразу – идея данной статьи мне пришла на работе, куда наша сотрудница притащила свой ноутбук с Windows XP, где я и столкнулся с подобной напастью. На моем рабочем месте стоит C++ Builder, поэтому программу я писал на нем. Версия для скачивания как раз написана на Buildere. Однако для тех, кто только изучает программирование и пишет на Delphi, я приведу основной код программы именно на нем. Хотя лично мне абсолютно нет никакой разницы, на чем писать, тем более, что мы будем использовать библиотеку VCL, основные классы которой одинаковы для обоих языков. Визуально моя программа выглядит так: Вы же вольны  сделать другой интерфейс. Как не трудно догадаться, у нас вырисовывается две процедуры для кнопок подтвердить –одна для запуска Диспетчера задач, другая – для включения regedit. Для работы с реестром нам понадобится модуль registry. Подключим его в разделе uses. В этом модуле содержится нужный нам для работы с реестром класс TRegistry. Вообще, среда Delphi гораздо более лояльна к программистам, нежели Visual Studio. У нее много готовых классов, облегчающих нашу работу.  Дальше попробуйте разобраться по коду: [delphi] //процедура запуска диспетчера задач procedure DisableTaskMgr(flag: Boolean); var reg: TRegistry; begin reg := TRegistry.Create; try reg.RootKey := HKEY_CURRENT_USER; reg.OpenKey(‘Software’, True); reg.OpenKey(‘Microsoft’, True); reg.OpenKey(‘Windows’, True); reg.OpenKey(‘CurrentVersion’, True); reg.OpenKey(‘Policies’, True); reg.OpenKey(‘System’, True); if flag=false then reg.WriteInteger(‘DisableTaskMgr’, 0)//блокиреум else reg.WriteInteger(‘DisableTaskMgr’, 1); //разблокируем finally reg.CloseKey; end; end; [/delphi] Немного поясню код. Мы объявляем переменную reg типа TRegistry и создаем объект. Затем пытаемся (обязательно используйте try..finally, иначе ваша программа может «уронить» систему) открыть указанную ветку реестра. Для этого мы используем метод RootKey (корневой куст, от которого будем двигаться)  и потом метод OpenKey. Затем мы уже в зависимости от условия запишем нужный параметр. Я сознательно ввел возмодность и отключить Диспетчер задач, чтобы вы сами могли поэкспериментировать. Вторая процедура, которая запускает regedit, будет по аналогии с предыдущей: [delphi] //Процедура разрешения regedit procedure EnableRegedit (flag:boolean); var reg: TRegistry; begin reg := TRegistry.Create; try reg.RootKey := HKEY_CURRENT_USER; reg.OpenKey(‘Software’, True); reg.OpenKey(‘Microsoft’, True); reg.OpenKey(‘Windows’, True); reg.OpenKey(‘CurrentVersion’, True); reg.OpenKey(‘Policies’, True); reg.OpenKey(‘System’, True); if flag=true then reg.WriteInteger (‘DisableRegistryTools’,0) else reg.WriteInteger(‘DisableRegistryTools’,1); finally reg.CloseKey; end; end; [/delphi] Разберитесь сами в коде. Принцип почти тот же самый. Теперь уже для кнопок создайте события, в которое впишите эти процедуры, открывающие или закрывающие доступ к вышеупомянутым утилитам в зависимости от поля RadioButton. Как видите,  борьба с вирусами может неплохо просвятить вас  о внутреннем устройстве операционной системы и научить программировать, благо Делфи или Lazarus позволяет писать неплохие программы даже новичку. Надеюсь, что описанный мной метод ликвидации последствий порноблокиратора вам пригодился.

Рубрика: Хакинг

Комментарии

18 коммент. на “Восстанавливаем диспетчер задач и regedit”
  1. Дмитрий:

    Очень полезная статья,но а как разблокировать безопасный режим?ведь новые блокераторы и его блокировают.

    • admin:

      Безопасный режим блокируют абсолютно все блокираторы. В зависимости от операционки алгоритм разблокировки будет разниться. Можно использовать сторонние программы от разработчиков антивирусов, но я лично разочаровался в их использовании. В любом случае, самым надежным способом убрать блокиратор является загрузка с ERD Commander и правка в ручном режиме автозапуск и вычисление, в какой папке сидит вирус.
      Это слишком обширная тема и я лучше посвящу ей отдельную статью.

  2. Дмитрий:

    Спасибо за советы)мне однажды попался такой зверёк,мне посоветовали удалить его!через safemode.Но каково было моё удивление,когда вместо safemode Выпал экрансмерти.Эх… пришлось windows сносить.

  3. admin:

    Сноса операционки можно успешно избежать. Порноблокиратор — это очень примитивный вирус, который вреда самой системе не наносит. Тем не менее, спасибо за интерес к данной теме.
    Я постараюсь написать целый цикл статей, посвященный всему, что связано с порноблокираторами. Особенно я буду налегать на описание методов быстрой и понятной разблокировки компьютера, благо опыта у меня в этом вопросе более, чем предостаточно.
    Кроме того, в моих планах написать специальную загрузочную утилиту, которая в автоматическом режиме будет искать вирус и удалять его последствия. Хотя я и сталкивался с подобными решениями, тем не менее, часто приходилось делать все руками самому.

  4. Дмитрий:

    Мне интересно,всё не как понять немогу)как этому зверьку удаётся обходить антивирусы?я ещё слышал что это зверёк,сам через какоето время удаляет себя.

    • admin:

      Антивирусы его не видят, потому что это программа в их глазах. Кроме того, часто имеет место сжатие бинарника вируса пакером, алгоритм идентификации которого антивирус не имеет в своей базе. Кроме того, часто хакеры правят такие упакованные бинарники в шестнадцатиричном редакторе, изменяя сигнатуру. Я как-то еще бытность студентом так издевался над своими преподавателями.
      Самую стойкую защиту от подобной напасти дают файрволы. Однако с ними нужно немного повозиться в начале, а потом уже не беспокоится о компьютере. У меня и вовсе не стоят антивирусы -нет нужды в этом.
      Кроме того, создайте ограниченную учетную запись специально для интернета. Даже если вы словите зверушку, то ей не хватит прав для своей установки. Это наиболее действенный способ защиты.
      Насчет самоудаления порноблокиратора — это миф. Подобная малварь этого не делает. Кроме того, еще одним заблуждением является, что порноблокиратор способен отформатировать жесткий диск или же затереть биос. Да, технически это можно осуществить с жестким диском, но это требует гораздо большего усердия, чем могут себе позволить те, кто пишет подобные вирусы (а это , в основном, студенты или школьники).

  5. Дмитрий:

    Мдам,опыта увас действительно предостаточно)спасибо за совет(за ограниченную учётную запись)даже специально найду этого зверька!и поэкспереминтирую в ограниченной учётной записи.А если этот зверёк запрещает запуск программ,через групповые политике!как быть?можнаж как в реестре найти настройки политик?

    • admin:

      Лучше для экспериментов все же использовать виртуальную машину. Просто проблем будет значительно меньше. А с групповыми политиками можно не прибегать к реестру — достаточно их исправить.
      Кроме того, если вы всерьез решили понаблюдать за этой малварью, вам пригодятся утилиты от Руссиновича, ссылку на которые я давал в статье «Удаление webpoiskobik.net из вашего бразуерера» в рубрике хакинг.

  6. Дмитрий:

    Спасибо!воспользуюсь вашими советами)тоесть утилита от руссиновича,она следит за процесом этого зверька?

    • admin:

      Вам нужно будет две утилиты — Procexp и autoruns. Первая представляет собой как бы расширенный диспетчер задач, прекрасно обнаруживая левые процессы. Если охота повозиться, есть утилита procmon, но procexp достаточно для подобной задачи. В утилите autorun вы увидите левый екзешник, прописанный во вкладке Logon. Его нужно убрать оттуда, а с помощью procexp отследить, где сидит малварь. Алгоритм работы с данными утилитами можете прочитать в вышеупомянутой статье.

  7. Дмитрий:

    Спасибо!!!на досуге по мучаюсь)с этим зверьком.А каким образом он блокировает клавиатуру?

    • admin:

      Есть такое понятие как хуки. Именно благодаря этим хукам можно блокировать легко клавиатуру и загнать мышку в определенную область. Кроме того, часто подобные блокираторы пишут на Delphi, где очень просто сделать так, чтобы читались только цифры с клавиатуры. Еще раз повторюсь — смс блокираторы очень простые вирусы. А что просто, то всегда будет работать.

  8. Дмитрий:

    Ну да,то что всегда эт факт!кстате я нашол как этот зверёк блочит safemode+выдаёт синий экрансмертиОн в реестре удаляет пару параметров.

  9. Евгений:

    Привет.Уважаемый админ, подскажи пожалуйста как мне быть, если у меня на компьютере не существеут файла taskmgr…??Он просто исчез, либо вирусы съели.недавно поймал блокировщика — вымогателя, видимо его рук дело!
    Твоя программа не включила его, в реестре нет такого параметра.Да и вобще папки system нет.
    Как быть???

    • Вячеслав "VeGA" Головлев:

      Что за винда? Обратите внимание, что моя программа работает ТОЛЬКО с XP. Кроме того, если файл отсутствует физически на диске (вирь удалил его), то она никоим образом его не включит. Нужно вручную забросить его назад.

  10. Адильбек:

    здаров.. статья супер… но.. короче у меня винда ХР.. я не могу открыть дисп. задач все проповал! не как.. на антивирус проверял … ЧТООО ДЕЛАТЬ??

    • Вячеслав "VeGA" Головлев:

      Есть вариант, что он просто удален. Моя программа всего лишь разблокирует его, если он был заблокирован. В случае, когда файл отсутствует физически на диске, то его нужно туда вновь поместить. Он должен находиться по пути C:\WINDOWS\system32\taskmgr.exe (вместо C может быть другой диск). если его нет, то нужно просто скопировать taskmgr.exe с установочного диска.

  11. Олег:

    Здравствуйте, отличная статья. У меня вопрос, taskmgr.exe был в свое время удален вирусом, после лечения системы восстановлен с установочного диска, но запуститься не может, система не может найти файл, хотя он лежит в C:\WINDOWS\system32\taskmgr.exe. Путь в реестре прописывал, в чем может быть проблема? Спасибо.

Добавить комментарий

Внимание! Не будут добавляться комментарии в виде откровенного спама или прямого анкора на свои сайты. Все спамеры будут передаваться в базу Akismet

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой: