Многие вредоносные программы применяют блокировку диспетчера задач в
качестве меры самозащиты. В этом случае при нажатии Ctrl  + Alt + Del
вместо диспетчера задач отображается сообщение о том, что диспетчер
задач отключен администратором.


Для восстановления работоспособности диспетчера задач необходимо
выполнить "Файл/Восстановление системы", там отметить пункт 11
"Разблокировка диспетчера задач", после чего следует нажать кнопку
"Выполнить отмеченные операции".


На заметку: Разблокировка диспетчера задач устранит
последствие работы вредоносной программы, но не саму вредоносную
программу. Поэтому в любом случае стоит произвести исследование ПК с
целью поиска вредоносной программы, выполнившей блокировку диспетчера
задач.

Периодически при активном соединении с  Интернет или локальной сетью выводятся системные окна с сообщениями о том, что на компьютере якобы обнаружены вирусы, шпионское ПО, повреждения реестра и диска и т.п. Общая особенность окон - это явно системные окна с заголовком "Служба сообщений". Это распространенное явление - спам через службу сообщений.

Окна имеют примерно такой вид:

или

В сообщениях обычно предлагается посетить некий сайт и скачать некоторую программу для "лечения" компьютера. Делать этого ни в коем случае не следует !!

Методики противодействия:

1. Самым грамотным решением проблемы является установка Firewall. Дело в том, что Firewall защитит компьютер не только от спама через службу сообщений, но и от атак вирусов и хакеров. Для начала достаточно защитить соединение с Интернет при поомощи штатного брандмауэра Windows XP

2. Отключить службу сообщений. Для этого необходимо зайти в консоль управления службами (кнопка "Пуск", "Панель управления", там зайти в группу "Администрирование" и открыть "Службы". Далее в списке служб найти службу сообщений (он так и называется - "Служба сообщений" в русскоязычной XP и "Messanger" в англоязычной) и открыть ее свойства (двойным кликом или через меню "Действие/Свойства". В окне свойств следует нажать кнопку "Стоп" для остановки службы, затем выбрать типа запуска "Отключено" и нажать "ОК".

На компьютере при помощи антивируса или вручную был удален вредоносный объект (часто это файл csrss.exe в папке Windows, одна из разновидностей Pinch). После перезагрузки не отображается рабочий стол и работа с компьютером блокируется.

Причина:
На настоящий момент известно две основные причины
1. Вредоносная программ регистрируется как отладчик процесса explorer.exe и ее удаление приводит к блокировке запуска explorer.exe, что делает дальнейшую работу на компьютере невозможной (следствие невозможности запуска explorer.exe - нет рабочего стола, иконок на нем и т.п.). В данной ситуации explorer.exe невозможно запустить вручную
2. Вредоносная программа модифицирует ключ реестра, отвечающий за запуск explorer.exe. Удаление вредоносной программы без восстановления данного ключа привидит к тому, что система загружается, но не запускается explorer.exe. В данной ситуации explorer.exe можно запустить вручную

Лечение:
1. Скачать AVZ и обязательно обновить его базы
2. Загрузить пораженный компьютер, и нажать CRTL+ALT+DEL. В появившемся диспетчере задач нажать кнопку "Новая задача", и в открывшемся окне выбора файла выбрать avz.exe.
3. В AVZ меню "Файл/Восстановление системы". Пометить позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажать "Выполнить отмеченные операции".
4. Перезагрузиться

Методики лечения:
Методика 1
1. Закрыть все приложения, запустить AVZ и активировать AVZGuard.
2. При помощи диспетчера процессов AVZ остановить процесс nail.exe
3. При помощи отложенного удаления удалить nail.exe с диска
4. Перезагрузиться, не отключая AVZGuard.
Данный метод основан на том, что AVZGuard блокирует восстановление и перезапуск nail.exe, что позволяет успешно завершить лечение

Методика 2
Загрузиться с загрузочного CD диска или подключить HDD к чистому компьютеру и удалить nail.exe вручную или при помощи антивируса. Данный метод основан на том, что в данном случае троянские потоки естественно будут отсутствовать и восстановление файла после удаления не произойдет.

Что делать, если во время работы на ПК периодически выводятся окна с рекламной информацией ?

В такой ситуации необходимо установить, какая из запущенных программ выводит данные окна. Это удобно сделать при помощи программы Process Explorer (www.sysinternals.com) – необходимо перетащить значок с изображением прицела из панели управления Process Explorer на окно неопознанной программы - Process Explorer определит, какой программе принадлежит данное окно.

Если обнаружится, что окно принадлежит Internet Explorer, то необходимо проанализировать загруженные им библиотеки и модули расширения (BHO) при помощи AVZ. Кроме того, Process Explorer показывает процессы в виде древовидного списка – стоит обратить внимание на то, какой процесс является родительским для «подозреваемого».

После определения "подозреваемого" процесса или модуля необходимо проверить его по базе безопасных AVZ (Меню "Сервис / Проверить файл по базе безопасных файлов" и "Сервис / Проверить подлинность файла по базе Microsoft"). Если одна из этих проверок подтведит безопасность файла, то с него можно снять подозрения, если нет - то это один из кандидатов для анализа.

Для начала необходимо разобраться, является ли изменение однократным. Для этого необходимо восстановить стартовую страницу вручную из настроек браузера или при помощи восстановления системы AVZ (меню "Файл / Восстановление системы"). Если это поможет и после перезапуска бразуера и перезагрузки компьютера стартовая страница не изменится, то проблему можно счиатать решенной. Причиной самопроизвольной модификации стартовой страницы в данном случае может являться вредоносный скрипт на одной из просматриваемых страниц или "хулиганское поведение" инсталлятора одной из недавно установленных программ.

Если восстановление настроек не помогает, то это означает, что на компьютере имеется некая вредоносная программа, выполняющая модификацию стартовой страницы. Дело в том, что настройки Internet Explorer хранятся в реестре и изменить их очень просто. Для обнаружения изменяющего страницу «вредителя»  удобно применить утилиту RegMon. Предположим, что стартовая страница изменяется на адрес X. Тогда после запуска утилиты RegMon необходимо настроить ее фильтр, указав в качестве образца адрес X или его фрагмент. Затем остается только восстановить стартовую страницу и дождаться ее изменения – далее по протоколу RegMon можно установить, какой процесс выполнил данную операцию. Если процессом является браузер, то необходимо проанализировать его модули расширения. Если посторонний процесс - то собственно он и является "вредителем"

Чаще всего изменяется страница поиска или префиксы протоколов, замена стартовой страницы может рассматриваться как частный случай этой ситуации.

Для восстановления настроек можно применить кнопку «Сброс параметров» на закладке «Свойства программы» в окне «Свойства обозревателя» или использовать восстановление системы в AVZ. В обоих случаях это приведет к сбросу все настроек на значения по умолчанию. Если это не поможет, и настройки вновь самопроизвольно изменятся, то необходимо искать вредоносный процесс, выполняющий данные операции.

Методика обнаружения ответственного за это вредоносного процесса аналогична случаю с подменой стартовой страницы и ведется при помощи утилиты RegMon, в фильтре RegMon в поле Include рекомендуется задать образец «Microsoft\Internet Explorer» и оставить включенной опции «Log Writes» и «Log Successes». В результате будут фиксироваться все изменения настроек с указанием, какая программа производит изменение.

Подобная ситуация все чаще регистрируется и связана с оригинальной методикой демонстрации рекламы – вместо отображения рекламной информации в отдельных окнах современные троянские программы внедряют ее в рабочий стол. В ряде случаев можно восстановить настройки вручную, однако некоторые троянских программы блокирую вызов меню настройки при помощи параметров в ключе реестра Software\Microsoft\Windows\CurrentVersion\Policies.

Методика восстановления:

1. Необходимо выяснить, доступно ли меню настройки рабочего стола. Если доступно, то следует попробовать восстановить настроки.
2. Если меню недоступно, то следует разблокировать его при помощи сервиса "Восстановление системы” AVZ.
3. Если разблокировка не производится или (и) после восстановления настроек они опять модифицируются, то необходимо искать производящее данное действие вредоносное приложение;

Выполнение восстановления необходимо производить именно в описанном порядке - часто вредоносное приложение меняет обои рабочего стола, блокирует меню конфигурирования рабочего стола и самоуничтожается. Как следствие, поиск "зловреда" в данном случае бесполезен.

Что делать, если нарушилось обновление антивирусных программ ?

В такой ситуации рекомендуется:

1. проверить содержимое файла HOSTS, возможно, в нем появились дополнительные записи. Если это так, то необходимо удалить из HOSTS посторонние записи;
2. Отследить модифицирующий файл hosts процесс достаточно легко при помощи утилиты FileMon

Восстановить файл HOSTS проще всего вручную – в нем должна быть единственная строка вида «127.0.0.1       localhost». Для редактирования файла Hosts можно воспользоваться программами HiJackFree или HijackThis

Размещение в трее посторонних значков в виде восклицательного знака или красного креста с периодическим выводом сообщений о заражении ПК типично для программ семейства Hoax (обычно выводятся сообщения под заголовком "Your computer is infected").

Пример подобной иконки и сообщения показан на рисунке:

Методики противодействия:

1. Обратите внимание на описание типичных Hoax программ в разделе "Описания вирусов" - быть может, одна из описанных программ похожа по поведению на Ваш случай, тогда описание и методики удаления будут полезны для дальнейшего решения проблемы;
2. Необходимо выяснить, какое приложение ответственно за установку значка в трее. Это можно сделать при помощи диспетчера автозапуска и менеджера процессов AVZ;
3. Не следует соглашаться с предолжением установить постороннее ПО !

При вводе любого URL происходит открытите постороннего сайта, обычно открываемый URL имеет вид http://[посторонний сайт]/параметры&параметр=[введенный URL]. Достигается это как правило за счет установки в реестре так называемого префикса протокола - т.е. префикса, который автоматически дописывается к введенному URL.

Настройки префиксов протоколов хранятся в ключе реестра Software\Microsoft\Windows\CurrentVersion\URL\Prefixes, типовыми префиксами являются ftp:// и http://. IE исползует эти данные в случае ввода URL без явного указания префикса протокола, т.е. например при вводе URL http://www.yandex.ru префикс не требуется, а при вводе www.yandex.ru произойдет подстановка префикса по умолчанию (в данном случае подставится префикс http://

Восстановление:
Для восстановления префиксов может применяться два метода.

1. Автоматический. В AVZ необходимо запустить восстановление системы (Файл / Восстановление системы), отметить пункт "Сброс настроек префиксов протоколов Internet Explorer на стандарные" и выполнить восстановление

2. Ручной. При помощи редактора реестра необходимо изучить параметры, содержащиеся в ключе HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

На заметку:
Восстановление префиксов бесполезно, если в системе имеется троянская программа класса Hijacker, которая периодически подменяет префиксы протоколов - в данном случае восстановление помжет на небольшое время.

Одной из причин нарушения загрузки системы в защищенном режиме может быть удаление ключа реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot с настройками загрузки в защищенном режиме. Данный ключ повреждается некоторыми вредоносными программами, в частности - червем Bagle.

Восстановление ключа реестра SafeBoot вручную

С технической точки зрения ключ SafeBoot содержит два подключа - Minimal и Network. Восстановить повреждение можно двумя путями: при помощи резервной копии или про помощи REG файла, в который были экспортированы данные ключи с ПК, содержащего аналогичную версию Windows. Второй вариант не совсем корректный, но при отсуствии резервной копии может помочь. В частности, вот REG файл для XP SP2
Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
3. Импортировать модифицированный файл
Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки.


Автоматическое восстановление ключа реестра SafeBoot
Для автоматического восстановления в базы AVZ начиная с 23.2006 введена микропрограмма, производящее восстановление удаленных ключей реестра. Она называется "Восстановление настроек загрузки в SafeMode" и может быть запущена через "Файл/восстановление системы". Набор восстанавливаемых ключей определяется автоматически, поддерживаются W2K, XP, W2K3.