Winlock - как много в этом звуке... Да пожалуй и вид его хорош, не только название звучное. Итак, что такое Winlock и как его лечить.
Winlock - это группа вирусов, которые очень сходны основным своим действием -блокированием рабочего стола windows. И все бы ничего, но за разблокировку требуется некоторая сумма денег, которая переводится на номер мобильного телефона в надежде что в ответ будет получен код разблокировки рабочего стола.
Самое инетересное то, что спустя некоторое время рабочий стол может быть вновь заблокирован тем же самым вирусом. И снова надо будет вводить код и так далее.
Хотя принцип отлова вируса достаточно прост, но находятся очень занятные экземпляры. Думаю с экзотикой мы разберемся чуть попозже, а сперва давайте освоим основной алгоритм поиска такого вируса.Базовый алгоритм:
1.1. Загрузка с внешнего носителя (поскольку как правило вирус блокирует загрузку в безопасном режиме). Я рекомендую Alkid_Live.CD.full.2011.03.28.iso., поскольку он содержит весь необходимый софт.
1.2. Как мне правильно подсказали анонимные комментаторы, возможно подключение винчестера (жесткого диска) к другому компьютеру. Может кому-то этот вариант проще покажется.
2. Просмотр реестра (загрузка редактора реестра из меню пуск - администрирование):НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Пример строки со ссылкой на запуск вируса:
"Shell"="\"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Ну какой там тест еще запускается с моего рабочего стола, ну че за фигня :))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Здесь вирус гнездится как правило в двух местах.
- Параметр "Userinit":
правильный выглядит так:
"Userinit"="с:\\windows\\system32\\userinit.exe"
зараженный выглядит так:
"Userinit"="с:\\windows\\system32\\userinit.exe, с:\\windows\\system32\\test.exe"
Как говорится - почувствуйте разницу!! - Параметр "Shell":
правильный выглядит так:
"Shell"="explorer.exe"
зараженный выглядит так:
"Shell"="explorer.exe" "С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\"
Пример параметра со ссылкой на вирус:
"RTHDBPL"="С:\\Documents and Settings\\Admin\\Application Data\\SystemProc\\lsass.exe"
Не должен системный процесс lsass.exe запускаться из такой папки как "Documents and Settings", он должен находиться в "system32".
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Здесь необходимо искать либо название схожее с системными файлами, либо полностью случайное название типа "1437714529.exe". Вобще конечно можно и все поубирать оттуда, если уж душа просит :).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Если найдена в реестре эта ветка то с логином могут быть большие проблемы.
Строка типа: "Debugger"="C:\\WINDOWS\\temp\\as.exe" должна быть однозначно удалена.
3. Удаление файла с названием, найденным в реестре, и поиск такого же названия по всему компьютеру (или хотя бы по диску где установлена система).
4. Перезагрузка компьютера в нормальном режиме и проверка системного диска антивирусом с последними обновлениями.
Варианты вируса:
- Если в реестре никаких изменений не найдено, то очень велика вероятность подмены системных файлов (папка system32): userinit.exe, taskmgr.exe. В данном случае необходимо проверить свойства этих файлов. Пример: Словил вируса (Hosie.exe)... Вылечился вручную...
Дополнительно выкладываю в сеть архив с нормальными, незараженными файлами taskmgr.exe и userinit.exe (архив rar, 76 килобайт, без всяких паролей и смс). Скачать
В некоторых случаях срабатывают стандартные виндовские комбинации клавиш:
- Win+D (свернуть все окна), помогло с вирусом winlock.3333.
- Alt+F4 (закрыть активное окно). На моей памяти ни разу не помогло :).
"В борьбе с локером помогает заход под другой учеткой и запуск оттуда
того-же КуреИта (например).
У меня именно так и было - одна блокирнулась, другая - нет.
И не пришлось никаких F8 при загрузке ловить..."
На досуге проверю информацию, но все равно, огромное спасибо человеку!
Полезные ссылки по теме:
Загрузочный диск (АЗЫ ручного вирусомочения).
Джентельменский набор софта!? Да пожалуйста!
Жизнь после вируса (восстановление windows XP бесплатной утилитой AVZ)
Убитый вирус - убитый рабочий стол. Исправляем.
Антивинлокер. Проверка в бою.