->

четверг, 9 июня 2011 г.

"Тренировочная" (разминочная) версия winlock.

По моей слезной просьбе народ выкладывает пойманные ими вирусы. Среди них попался весьма интересный экземпляр.
Интересен он тем, что удивительно прост для обезвреживания, просто таки беззащитен перед пользователями.

Вкратце о вирусе:
  • название файла 22CC6C32.exe.
  • исходное имя файла MGY.exe.
  • копирует себя в папку C:\Documents and Settings\All Users\Application Data
Имена при копировании может менять. Имена формирует следующего вида:
ccssssIIIIX.exe
LL1111hhhhw.exe
OO3333jjjjy.exe
RRRR7777777.exe
IYYYYYYYYdd.exe
JYYYYYYYYee.exe
xxxxxxNNNNN.exe

Вирус прекрасно отлавливается антивирусами, но уж коли он мне попался, то я отключил антивирус для пущей беззащитности.
Требования вируса - 400 рублей на номер 89111263118, после перезапуска меняет номер: я видел 89817598617, 89817787017, 89817574894 иначе обещает стереть все (на винтах в биосе и даже наверное в паспорте чего нить затрет).
При загрузке вируса эксплорер закрывается и панель задач растворяется в вечности. Но это не делает вирус страшным, поскольку для мыши доступно все пространство рабочего стола и комбинация Alt+Ctrl+Del действует безотказно. Таким образом снять блокировку элементарно. Достаточно вызвать диспетчер задач при помощи Alt+Ctrl+Del и удалить задачу с названием 22CC6C32.exe.
Нюанс, если вы закрываете программу через диспетчер задач, то необходимо подтвердить закрытие. При этом выдается запрос на закрытие, окошко, которое может быть за баннером. Для того чтобы подтвердить закрытие, необходимо нажать один раз стрелку в левую сторону и нажать enter (по умолчанию в окне запроса на закрытие программы активен ответ "Нет", а стрелкой он переключается на "Да").
При закрытии баннера панель задач и меню "пуск" по прежнему не отображаются.
Исправляем.
Нажимаем Win+R (открывается окно "выполнить"). В нем пишем "explorer.exe". Запускается проводник и появляется панель задач с "пуском".
Для того, чтобы при перезагрузке компьютера не возникло проблем, необходимо в реестре исправить ключ "Shell" следующим образом:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Вот собственно и все.

Тем, у кого такого раздолья с Alt+Ctrl+Del нету (не работает комбинация клавиш), необходимо прочесть статью:
здесь
Словил вируса (Hosie.exe)... Вылечился вручную...
или здесь
Универсальный алгоритм лечения Winlock
Здесь описаны базовые принципы лечение ЛЮБЫХ баннеров.
Принципы лечения везде одни и те же, достаточно освоить один раз.