->

вторник, 3 мая 2011 г.

Стандартный сценарий лечения вирусов типа Winlock.

В конец уже заколебали меня затейники вирусной компании "отправь смс за гей-порно" :).
89879072197, типа помогите кто можете, сами мы не местные...
Уже даже есть стандартный алгоритм как однозначно выцепить winlock и давно, а волны все идут и идут.
Если человек имеет опыт работы с реестром (да и просто не боится это сделать, потому как все когда то начинали), то удаление вируса не представляет для него никакой проблемы.
Набор ключей в реестре, куда прописывается вирус прост. Достаточно просто проверить 2-3 ветки реестра, чтобы однозначно сказать где лежит вирус и что с ним делать.

Конечно, есть весьма занятные варианты вирусов, но в основном базируются они в ключах:
  • НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Пример строки со ссылкой на запуск вируса:
"Shell"="\"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Ну какой там тест еще запускается с моего рабочего стола, ну че за фигня :))
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Здесь вирус гнездится как правило в двух местах.
Параметр "Userinit":
правильный выглядит так:
"Userinit"="с:\\windows\\system32\\userinit.exe"
зараженный выгладит так:
"Userinit"="с:\\windows\\system32\\userinit.exe, с:\\windows\\system32\\test.exe"
Как говорится - почувствуйте разницу!!

Параметр "Shell":
правильный выглядит так:
"Shell"="explorer.exe"
зараженный выгладит так:
"Shell"="explorer.exe \"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""

Это классика жанра.
Бывают еще варианты с переименованием файлов. Но опять же, имеет смысл сперва проверить реестр, внимательно глядя на названия файлов или проверяя их свойства.

Читать дополнительно: