->

среда, 13 апреля 2011 г.

Словил вируса (Hosie.exe)... Вылечился вручную...

Меня порой удивляют требования различных людей. Так и здесь, минут 5 сидел и думал, почему я должен заплатить штраф неизвестному номеру МТС, за то, что я якобы нарушил законы РФ. Видимо на баннере написан телефон (89117219915) главного прокурора :).
Поймал на свой многострадальный компьютер очередного блокировщика windows типа winlock (наверное). Пробовал лечить cureit, но не ловится (отправил по почте в адрес drweb). Вылечился вручную.
Вирус откликается на кличку Hosie.exe.
На рабочем столе организует файл «test.exe»...
В папке «Documents and Settings\All Users\Application Data\» вирус создал файл «22CC6C32.exe». В реестр поместил ссылку на открытие этого файла как проводника. Найти можно при помощи редактора реестра regedit (искать текст «Documents and Settings\All Users\Application Data\»).

В папке "WINDOWS\system32" подменяет собой файл userinit.exe. Проверить можно по свойствам (смотри картинку выше). Userinit.exe переименовывает и оставляет тут же (в моем случае переименовал в 03014D3F.exe)
Как вылечился?
Загрузился с загрузочного комплекта «Alkid Live CD» (большущее спасибо автору, диск не раз выручал). В принципе любая загрузочная абракадабра подойдет, лишь бы был доступ к файлам.
Удалил файлы:
test.exe (с рабочего стола)
userinit.exe (из папки windows/system32)
22CC6C32.exe (из папки «Documents and Settings\All Users\Application Data\»)
Восстановил нормальный userinit.exe из файла «03014D3F.exe» который валялся тут же в windows/system32 (просто переименовал).
Перезагрузился, система работает.
Конечно, что нибудь нехорошее в реестре осталось, но факт имеет место быть, работа восстановлена.

P.S. 14/04/2011 получил ответ от Dr.Web "Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: Trojan.Winlock.3266
Спасибо за сотрудничество."
Я собой горд... :)))

P.P.S.  по требованиям пользователей выкладываю ссылку, где взять Alkid_Live.CD.full.2011.03.28.iso.

Читать дополнительно:
Безопасный интернет (Sandboxie).
Дружественный (прирученный) winlock?!
Убитый вирус - убитый рабочий стол. Исправляем.
Еще одно дополнение: Если желаете, то присылайте вирусы на почтовый адрес viru.vir @ yandex.ru (только пробелы из адреса уберите), разберемся, что там у Вас стряслось.