->

Winlock, с чем его едят.

Winlock - как много в этом звуке... Да пожалуй и вид его хорош, не только название звучное. Итак, что такое Winlock и как его лечить.

 
Winlock - это группа вирусов, которые очень сходны основным своим действием -блокированием рабочего стола windows. И все бы ничего, но за разблокировку требуется некоторая сумма денег, которая переводится на номер мобильного телефона в надежде что в ответ будет получен код разблокировки рабочего стола.
Самое инетересное то, что спустя некоторое время рабочий стол может быть вновь заблокирован тем же самым вирусом. И снова надо будет вводить код и так далее.
Хотя принцип отлова вируса достаточно прост, но находятся очень занятные экземпляры. Думаю с экзотикой мы разберемся чуть попозже, а сперва давайте освоим основной алгоритм поиска такого вируса.

Базовый алгоритм:
1.1. Загрузка с внешнего носителя (поскольку как правило вирус блокирует загрузку в безопасном режиме). Я рекомендую Alkid_Live.CD.full.2011.03.28.iso., поскольку он содержит весь необходимый софт.
1.2. Как мне правильно подсказали анонимные комментаторы, возможно подключение винчестера (жесткого диска) к другому компьютеру. Может кому-то этот вариант  проще покажется.
2. Просмотр реестра (загрузка редактора реестра из меню пуск - администрирование):
НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Пример строки со ссылкой на запуск вируса:
"Shell"="\"С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\""
Ну какой там тест еще запускается с моего рабочего стола, ну че за фигня :))

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Здесь вирус гнездится как правило в двух местах.
  • Параметр "Userinit":
    правильный выглядит так:
    "Userinit"="с:\\windows\\system32\\userinit.exe"
    зараженный выглядит так:
    "Userinit"="с:\\windows\\system32\\userinit.exe, с:\\windows\\system32\\test.exe"
    Как говорится - почувствуйте разницу!!
  • Параметр "Shell":
    правильный выглядит так:
    "Shell"="explorer.exe"
    зараженный выглядит так:
    "Shell"="explorer.exe" "С:\\Documents and Settings\\User\\Рабочий стол\\test.exe\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Пример параметра со ссылкой на вирус:
"RTHDBPL"="С:\\Documents and Settings\\Admin\\Application Data\\SystemProc\\lsass.exe"
Не должен системный процесс lsass.exe запускаться из такой папки как "Documents and Settings", он должен находиться в "system32".

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Здесь необходимо искать либо название схожее с системными файлами, либо полностью случайное название типа "1437714529.exe". Вобще конечно можно и все поубирать оттуда, если уж душа просит :).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Если найдена в реестре эта ветка то с логином могут быть большие проблемы.
Строка типа: "Debugger"="C:\\WINDOWS\\temp\\as.exe" должна быть однозначно удалена.

3. Удаление файла с названием, найденным в реестре, и поиск такого же названия по всему компьютеру (или хотя бы по диску где установлена система).
4. Перезагрузка компьютера в нормальном режиме и проверка системного диска антивирусом с последними обновлениями.

Варианты вируса:
  • Если в реестре никаких изменений не найдено, то очень велика вероятность подмены системных файлов (папка system32): userinit.exe, taskmgr.exe. В данном случае необходимо проверить свойства этих файлов. Пример: Словил вируса (Hosie.exe)... Вылечился вручную...
Дополнительно выкладываю в сеть архив с нормальными, незараженными файлами taskmgr.exe и userinit.exe (архив rar, 76 килобайт, без всяких паролей и смс). Скачать

В некоторых случаях срабатывают стандартные виндовские комбинации клавиш:
  • Win+D (свернуть все окна), помогло с вирусом winlock.3333.
  • Alt+F4 (закрыть активное окно). На моей памяти ни разу не помогло :).
По информации полученной от Чинцова Евгения есть еще один способ побороть winlock:
"В борьбе с локером помогает заход под другой учеткой и запуск оттуда
того-же КуреИта (например).
У меня именно так и было - одна блокирнулась, другая - нет.
И не пришлось никаких F8 при загрузке ловить..."


На досуге проверю информацию, но все равно, огромное спасибо человеку!

Полезные ссылки по теме:
Загрузочный диск (АЗЫ ручного вирусомочения).
Джентельменский набор софта!? Да пожалуйста!
Жизнь после вируса (восстановление windows XP бесплатной утилитой AVZ)
Убитый вирус - убитый рабочий стол. Исправляем.
Антивинлокер. Проверка в бою.