Восстановление системы после WinLock
Баннерные вирусы WinLock? прогрессируют. и порой удление его из системы антивирусом не всегда приводит к положительным результатам. приходится восстанавливать винду.Причём повреждения винды не всегда идентичны. хотелось бы обсудить этот вопрос. т.е разные варианты решения этой проблемы. делитесь опытом!!!
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1) iunikol, Из моего опыта есть 3 варианта.
1) Когда помогают обычный разблокиратор кода по номеру телефона.
2) Это использовать ERD commander и восстановить систему (в 70-80% случаев работает)
3) Ну и воспользоваться kaspersky rescue disk.
Таким способом я вылечил не один десяток компьютеров, но вот последний попавшийся мне комп вылечить не удалось. Пришлось переустановить систему т.к. потраченное время на решение проблемы было уже сильно ощутимо и быстрее переустановить винду.
1) Когда помогают обычный разблокиратор кода по номеру телефона.
2) Это использовать ERD commander и восстановить систему (в 70-80% случаев работает)
3) Ну и воспользоваться kaspersky rescue disk.
Таким способом я вылечил не один десяток компьютеров, но вот последний попавшийся мне комп вылечить не удалось. Пришлось переустановить систему т.к. потраченное время на решение проблемы было уже сильно ощутимо и быстрее переустановить винду.
(1) iunikol, Чтоб винду постоянно не переставлять всего то нужно создать пользователя с ограниченными правами и работать под ним (всякий хлам запускать с флешки или скачанный с инета, а также лазить по всяким порносайтам с вирусами). никогда не заразишь свой комп. А для установки и администрирования программ и существует пользователь с административными правами. Выйти из ограниченного пользователя и войти в администратора для настройки программ занимает меньше времени чем восстановление винды. А по лечению уже зараженной винды помогает загрузка с альтернативной ОС (с CD,USB). Лучше ERD , так как есть доступ к реестру. Обычно если в реестре все нормально, а вирус все равно блокирует, то заменен userinit.exe. сравни дату создания с оригинальным на лицензионной винде. и после восстановления системы пройтись cureitом.
Сколько встречал разных винлоков, у всех алгоритм примерно схож - подмена в реестре ключа, чаще всего это HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, подмена системных файлов в windows\system32 и windows\system32\dllcache, а также создание левых служб с пропиской в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs. Причем если раньше удаленному/далекому пользователю можно было подкинуть код разблокировки и после этого посоветовать прогнать различными антивирусами, то последние винлоки уже в принципе не имеют такого кода разблокировки. Учите пользователей быть аккуратными в интернет-серфинге ;)
(6) MamontS, Только вчера вылечил компьютер после WinLock.17. Загрузочный Alkid LiveCD не увидел разделов (в диспетчере дисков написал: "Диск не распределен"). Загрузился с bootcd Acronis Disk Director Suit, запустил там восстановление потерянных разделов. После загрузился с Alkid LiveCD, запустил там свежий скачанный с drweb.com CureIt. CureIt вылечил MBR и нашел еще один java-архив с эксплойтом CVE2011-3544.2. Мне кажется, что Winlock проник на комп через эту уязвимость. Она была исправлена Ораклом в ноябре. Так что регулярно обновляйте java-машину
Жесткий контроль трафика. Наличие парка подмены клиентских машин. Регулярное создание образов. Огранизация интеренет-доступа по RDP с одной машины (максимальная безопасность, антивирус, готовый образ для востановления, ограничение узлов). Как Вы догадались - проблему лучше предупредить. Только "писатели" знают сколько дыр осталось в Вашей системе после удаления WinLock.
все намного проще, загружаешься с CD(flash), открываешь реестр зараженной винды, находишь где грузится винлок, удаляешь из реестра и все можно еще и сами файлики исполняемые поудалять. Да действитально в последнее время появились бонально картинки которые "якобы требуют что-то ввести".
сервисы по подбору ключиков баннеом:
На этих сервисах вы получите первую помощь в сложившейся ситуации.
В не зависимости помог вам любой из сервисов или нет, лезем на и качаем – CureIt.
- перезагружаем комп и заходим в систему в безопасном режиме (зажать клавишу F8 после прохождения пост-проверки) и запускаем КуреЙт. Для пущей убедительности прогоните «полную проверку».
На этих сервисах вы получите первую помощь в сложившейся ситуации.
В не зависимости помог вам любой из сервисов или нет, лезем на и качаем – CureIt.
- перезагружаем комп и заходим в систему в безопасном режиме (зажать клавишу F8 после прохождения пост-проверки) и запускаем КуреЙт. Для пущей убедительности прогоните «полную проверку».
sa051 пишет:
сервисы по подбору ключиков баннеом:
На этих сервисах вы получите первую помощь в сложившейся ситуации.
В не зависимости помог вам любой из сервисов или нет, лезем на и качаем – CureIt.
- перезагружаем комп и заходим в систему в безопасном режиме (зажать клавишу F8 после прохождения пост-проверки) и запускаем КуреЙт. Для пущей убедительности прогоните «полную проверку».
Показатьсервисы по подбору ключиков баннеом:
На этих сервисах вы получите первую помощь в сложившейся ситуации.
В не зависимости помог вам любой из сервисов или нет, лезем на и качаем – CureIt.
- перезагружаем комп и заходим в систему в безопасном режиме (зажать клавишу F8 после прохождения пост-проверки) и запускаем КуреЙт. Для пущей убедительности прогоните «полную проверку».
Все это красиво, пока в безопасном режиме не появляется этот банер.
Возможен еще вариант войти без банера в безопасном режиме с поддержкой командной строки.
При невозможности добраться до командной строки есть только два варианта:
Либо загрузка Live-USB с антивирусником, либо Live-CD. Хорошо отрабатывает Каспер. Проверено.
Поделюсь опытом лечения WinLock. Однажды зашел к другу и застал его тоскливо глядящим на порно-банер. Диска спасения под руками нет. Инет блокирован. Пришлось лечить с помощью ... телефона. Банер для получения кода разблоктровки требовал отправить смс на короткий номер. Позвонил сотовому оператору. Узнал кому принадлежит короткий номер. Позвонил владельцу короткого номера в службу поддержки. Ждал ответа минут 15, благо номер был из разряда 8-800. Объяснил ситуацию. Получил два кода разблокировки. Даже не пришлось пугать отделом К.
Подобное обсуждается в ветке "Проблемы с загрузкой Windows"
*Windows XP- обычно я загружаю Hirens Boot CD(с флэшки или диска) версию 10,1(или любую другую в инете их валом) с miniWindowsXP там есть утилита Registri что-то там Wizard, интуитивно понятный интерфейс, просто выбираем состояние регистра на более раннюю дату(самая ранняя это состояние регистра сразу после установки 100% рабочая система,правда без дров), перезагружаемся и потом проверяем антивирусами, бэкапим, переустанавливаем и т.д.
*Windows 7, если настраивали архивацию, просто запускаем восстановление системы в более раннем состоянии, либо как с ХР восстанавливаем более раннее состояние регистра.
Откат на самую раннюю версию регистра помогал мне пока в 100% случаев. После очистки системы CureIt, иногда возвращал более позднее состояние регистра(если включен бэкап регистра), но обычно, просто восстанавливаю ярлыки и переустанавливаю необходимый софт.
*Windows XP- обычно я загружаю Hirens Boot CD(с флэшки или диска) версию 10,1(или любую другую в инете их валом) с miniWindowsXP там есть утилита Registri что-то там Wizard, интуитивно понятный интерфейс, просто выбираем состояние регистра на более раннюю дату(самая ранняя это состояние регистра сразу после установки 100% рабочая система,правда без дров), перезагружаемся и потом проверяем антивирусами, бэкапим, переустанавливаем и т.д.
*Windows 7, если настраивали архивацию, просто запускаем восстановление системы в более раннем состоянии, либо как с ХР восстанавливаем более раннее состояние регистра.
Откат на самую раннюю версию регистра помогал мне пока в 100% случаев. После очистки системы CureIt, иногда возвращал более позднее состояние регистра(если включен бэкап регистра), но обычно, просто восстанавливаю ярлыки и переустанавливаю необходимый софт.
В последнее время ЛОКЕРЫ прописываются в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Создается доп. обработчик к "легальному" имени файла, например explorer.exe. В указанных ранее разделах все чисто. Лечится убивание этого доп раздела. Например в приведенном выше случае удаляется полностью HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Удачи в лечении!
Создается доп. обработчик к "легальному" имени файла, например explorer.exe. В указанных ранее разделах все чисто. Лечится убивание этого доп раздела. Например в приведенном выше случае удаляется полностью HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Удачи в лечении!
Пользовался ZverDVD c Live-CD. Там редактор реестра и восстанавливал ветки
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = c:\windows\system32\userinit.exe,
Когда комп нормально загрузится, то AVZ с сайта
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = c:\windows\system32\userinit.exe,
Когда комп нормально загрузится, то AVZ с сайта
Самый универсальный способ - Live CD с Erd Commander.
Загружаемся, проверяемся через CureIT (например),
выбираем в ERDе папку Windows, запускаем ERD Computer Management
(управление компьютером), внимательно изучаем ветку autoruns,
чистим %temp%, windows\temp, кэши браузеров в Documents and settings,
запускаем ERD System Restore и, если есть возможность,
"откатываемся" на день до заражения.
Потом можно "натравить" антивирус на скрытую папку ErdSystemRestore.
Загружаемся, проверяемся через CureIT (например),
выбираем в ERDе папку Windows, запускаем ERD Computer Management
(управление компьютером), внимательно изучаем ветку autoruns,
чистим %temp%, windows\temp, кэши браузеров в Documents and settings,
запускаем ERD System Restore и, если есть возможность,
"откатываемся" на день до заражения.
Потом можно "натравить" антивирус на скрытую папку ErdSystemRestore.
Грузишься c Live-CD. через ERD Computer Management восстанавливал ветки
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = c:\windows\system32\userinit.exe,
плюс заменить system32\userinit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = c:\windows\system32\userinit.exe,
плюс заменить system32\userinit.exe
Лучше всего сделать загрузочную флешку с системой WinPE.
Для этого надо флешку не меньше гига и образ SV-MicroPE 2k10 PlusPack CD/USB.
С помощью нехитрых операций залить образ на флешку, как написано описании к , а затем
1. Загружаемся под сборкой.
2. Сначала чистим систему AntiWinLocker (раздел "Антивирусные утилиты"). В ней всё просто - используем автоматический режим. Если обнаружена подмена системных файлов - исправляем их. Скорее всего, вирус обнаружен и ликвидирован, но на этом останавливаться не стоит.
3. Запускаем SysInternals Autoruns (раздел "Системные утилиты"), в ней анализируем закладку "Вход в систему" (т.е., то, что запускается при старте винды). Особое внимание обращаем на "Издатель" и "Путь к файлу" - если издатель неизвестен (незнаком), а путь к файлу - ТЕМР-овый каталог или имя/путь к файлу не соответствуют системным - это тревожный звоночек. Пока ничего не делаем.
4. Запускаем файл-менеджер (FAR/TC), заходим в каталог винды (вначале C:Windows, потом C:WINDOWSsystem32), сортируем файлы по времени создания (Ctrl+F5) - вверху будут последние. Ищем все *.exe *.dll за последнее время (поскольку порнобаннер блокирует запуск винды, то именно его файлы могут быть "последними").
5. Сверяем инфу SysInternals Autoruns и имена из системного каталога, наличие файла в автозапуске и свежая дата - признак искомого порно-баннета. Можно сразу удалить и файл, и ветку его запуска, или для перестраховки переименовать файл и снять галочку его запуска в SysInternals Autoruns.
6. Если в SysInternals Autoruns есть запуск файлов из ТЕМР-овых каталогов пользователя, System Volume Information или RECYCLER - это 100%-но порнобаннер либо вирус, поступаем аналогично п.5.
7. Закрываем SysInternals Autoruns и файл-менеджер. После проделанных операций вирус, скорее всего, удалён. Но, чтобы предотвратить повторное заражение, нужно с помощью CCleaner (раздел "Системные утилиты") полностью очистить ТЕМР-овые файлы и кеши браузеров.
8. Последний штрих - запускаем антивирус Зайцева (раздел "Антивирусные утилиты"), в нём выбрать Файл->Восстановление системы, отмечаем по вкусу (я выбираю всё, кроме п.18-Полное пересоздание настроек SPI), "Выполнить отмеченные операции". Это позволит очистить перенаправление запросов браузеров на зараженную страничку, разблокирует реестр и защищённый режим, и т.д.
9. По желанию - проверить комп на вирусы с помощью Касперского (быстрее) или Вебера (дольше). Блокеры антивирусы не лечат (пока?).
Всё. Можно перезагружаться и проверять. Если файлы не удалялись, можно их отослать на проверку в Virustotal.com, окончательно удалить файлы локера и его записи в реестре (с помощью SysInternals Autoruns). Для предотвращения заражения рекомендуется установить FireWall или антивирус с онным.
PS Ну, и как уже советовалось, в папке "c:\Windows\System32\" "userinit.exe", "explorer.exe", "winlogon.exe" проверить файлы на предмет их подмены. Оригиналы файлов необходимо брать с установочного диска. Если накатывался сервис пак, то соответственно из него. В противном случае загрузка не гарантируется.
Для этого надо флешку не меньше гига и образ SV-MicroPE 2k10 PlusPack CD/USB.
С помощью нехитрых операций залить образ на флешку, как написано описании к , а затем
1. Загружаемся под сборкой.
2. Сначала чистим систему AntiWinLocker (раздел "Антивирусные утилиты"). В ней всё просто - используем автоматический режим. Если обнаружена подмена системных файлов - исправляем их. Скорее всего, вирус обнаружен и ликвидирован, но на этом останавливаться не стоит.
3. Запускаем SysInternals Autoruns (раздел "Системные утилиты"), в ней анализируем закладку "Вход в систему" (т.е., то, что запускается при старте винды). Особое внимание обращаем на "Издатель" и "Путь к файлу" - если издатель неизвестен (незнаком), а путь к файлу - ТЕМР-овый каталог или имя/путь к файлу не соответствуют системным - это тревожный звоночек. Пока ничего не делаем.
4. Запускаем файл-менеджер (FAR/TC), заходим в каталог винды (вначале C:Windows, потом C:WINDOWSsystem32), сортируем файлы по времени создания (Ctrl+F5) - вверху будут последние. Ищем все *.exe *.dll за последнее время (поскольку порнобаннер блокирует запуск винды, то именно его файлы могут быть "последними").
5. Сверяем инфу SysInternals Autoruns и имена из системного каталога, наличие файла в автозапуске и свежая дата - признак искомого порно-баннета. Можно сразу удалить и файл, и ветку его запуска, или для перестраховки переименовать файл и снять галочку его запуска в SysInternals Autoruns.
6. Если в SysInternals Autoruns есть запуск файлов из ТЕМР-овых каталогов пользователя, System Volume Information или RECYCLER - это 100%-но порнобаннер либо вирус, поступаем аналогично п.5.
7. Закрываем SysInternals Autoruns и файл-менеджер. После проделанных операций вирус, скорее всего, удалён. Но, чтобы предотвратить повторное заражение, нужно с помощью CCleaner (раздел "Системные утилиты") полностью очистить ТЕМР-овые файлы и кеши браузеров.
8. Последний штрих - запускаем антивирус Зайцева (раздел "Антивирусные утилиты"), в нём выбрать Файл->Восстановление системы, отмечаем по вкусу (я выбираю всё, кроме п.18-Полное пересоздание настроек SPI), "Выполнить отмеченные операции". Это позволит очистить перенаправление запросов браузеров на зараженную страничку, разблокирует реестр и защищённый режим, и т.д.
9. По желанию - проверить комп на вирусы с помощью Касперского (быстрее) или Вебера (дольше). Блокеры антивирусы не лечат (пока?).
Всё. Можно перезагружаться и проверять. Если файлы не удалялись, можно их отослать на проверку в Virustotal.com, окончательно удалить файлы локера и его записи в реестре (с помощью SysInternals Autoruns). Для предотвращения заражения рекомендуется установить FireWall или антивирус с онным.
PS Ну, и как уже советовалось, в папке "c:\Windows\System32\" "userinit.exe", "explorer.exe", "winlogon.exe" проверить файлы на предмет их подмены. Оригиналы файлов необходимо брать с установочного диска. Если накатывался сервис пак, то соответственно из него. В противном случае загрузка не гарантируется.
vovka72 пишет:
Грузишься c Live-CD. через ERD Computer Management восстанавливал ветки
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = c:\windows\system32\userinit.exe,
плюс заменить system32\userinit.exe
Грузишься c Live-CD. через ERD Computer Management восстанавливал ветки
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = c:\windows\system32\userinit.exe,
плюс заменить system32\userinit.exe
Плюс ОБЯЗАТЕЛЬНО проверить буквы в параметрах explorer и userinit, а лучше перенабрать параметры "руками". Бывали моменты, когда вирус подменял рабочий параметр "одноименным", в котором буквы "о" или "е" набирались кириллицей. Визуально все в норме, на деле система отправляется к зараженному файлу-носителю.
Ну, а после чистки реестра - восстановление системы с установочного диска, для успокоения.
Принесли недавно компьютер с этим трояном...вышеперечисленные способы не помогли!!!!!
Выручил вот этот способ:
Баннер с именем 22CC6C32.exe нового поколения, который сидит в папке c:\Documents and Settings\All Users\Application Data\. Меняет файлы userinit.exe и taskmgr.exe на свои заражённые, с низменным кодом. Мало того он изменяет эти файлы так, что при запуске системы userinit.exe запускает другой файл такой же userinit.exe, только тот, который является резервным для восстановления системы. а эта пакость генерирует файл 22CC6C32.exe по указанному выше пути.
У файла userinit.exe, который лежит в папке c:\WINDOWS\system32\dllcache\ есть отличие, у него иконка квадрат серого цвета. В свою очередь не похожий на оригинал, что его и выдаёт.
И так к сути проблемы:
Грузимся с Live-CD или подобным ему, удаляем баннер находящейся в папке c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
Меняем заражённые файлы c:\WINDOWS\system32\userinit.exe, c:\WINDOWS\system32\dllcache\userinit.exe и c:\WINDOWS\system32\taskmgr.exe, c:\WINDOWS\system32\dllcache\taskmgr.exe на здоровые. Если есть файл «03014D3F.exe» в папке windows/system32 то переименовываем из 03014D3F.exe в userinit.exe).Вы не можете скачивать файлы с нашего сервераВы не можете скачивать файлы с нашего сервера
Идём в ветку реестра Вашей винды HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и меняем значение параметра на Explorer.exe ( было значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe а стало Explorer.exe")
Значения параметров для работоспособности системы:
Shell - Explorer.exe
UIhost - logonui.exe
Userinit - C:\Windows\system32\userinit.exe,
А том как зайти в ветку реестра Вашей винды:
Пуск >> Выполнить >> regedit и жмём Enter. Откроется редактор реестра.
Выделить раздел HKEY_LOCAL_MACHINE, меню Файл, пункт Загрузить куст.
Выбрать диск на котором установлена Windows (буква может отличаться от С), и откройте файл: С:\Windows\System32\config\SOFTWARE.
Вводим любое имя для загружаемого раздела. Например - 888.
Переходим в раздел HKEY_LOCAL_MACHINE\888\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Вот собственно и все что нужно сделать для удаления этого баннера с именем 22CC6C32.exe
(
Выручил вот этот способ:
Баннер с именем 22CC6C32.exe нового поколения, который сидит в папке c:\Documents and Settings\All Users\Application Data\. Меняет файлы userinit.exe и taskmgr.exe на свои заражённые, с низменным кодом. Мало того он изменяет эти файлы так, что при запуске системы userinit.exe запускает другой файл такой же userinit.exe, только тот, который является резервным для восстановления системы. а эта пакость генерирует файл 22CC6C32.exe по указанному выше пути.
У файла userinit.exe, который лежит в папке c:\WINDOWS\system32\dllcache\ есть отличие, у него иконка квадрат серого цвета. В свою очередь не похожий на оригинал, что его и выдаёт.
И так к сути проблемы:
Грузимся с Live-CD или подобным ему, удаляем баннер находящейся в папке c:\Documents and Settings\All Users\Application Data\22CC6C32.exe
Меняем заражённые файлы c:\WINDOWS\system32\userinit.exe, c:\WINDOWS\system32\dllcache\userinit.exe и c:\WINDOWS\system32\taskmgr.exe, c:\WINDOWS\system32\dllcache\taskmgr.exe на здоровые. Если есть файл «03014D3F.exe» в папке windows/system32 то переименовываем из 03014D3F.exe в userinit.exe).Вы не можете скачивать файлы с нашего сервераВы не можете скачивать файлы с нашего сервера
Идём в ветку реестра Вашей винды HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и меняем значение параметра на Explorer.exe ( было значение "c:\Documents and Settings\All Users\Application Data\22CC6C32.exe а стало Explorer.exe")
Значения параметров для работоспособности системы:
Shell - Explorer.exe
UIhost - logonui.exe
Userinit - C:\Windows\system32\userinit.exe,
А том как зайти в ветку реестра Вашей винды:
Пуск >> Выполнить >> regedit и жмём Enter. Откроется редактор реестра.
Выделить раздел HKEY_LOCAL_MACHINE, меню Файл, пункт Загрузить куст.
Выбрать диск на котором установлена Windows (буква может отличаться от С), и откройте файл: С:\Windows\System32\config\SOFTWARE.
Вводим любое имя для загружаемого раздела. Например - 888.
Переходим в раздел HKEY_LOCAL_MACHINE\888\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Вот собственно и все что нужно сделать для удаления этого баннера с именем 22CC6C32.exe
(
Если нет live-cd, то MBR-locker можно деактивировать через консоль восстановления windows. Загружаемся с установочного диска Windows, выбираем восстановить через консоль, там команда fixmbr и всё. Потом уже в загруженной винде проводим окончательную чистку антивирусом.
А еще дорогие друзъя создатели новых так сказать "крутых банеров" эти форумы и эти диски и все хитрости тоже читают и тоже совершенствуются. Писать нато подробно(((: где в их работе ошибки, погрешности - каждый раз будет сложнеее. (((
В реестре прописываются - там же где и другие вирусы, в местах автозапуска.
Например, популярен среди Winlock-ов ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В нем есть два ключевых (с "вирусологической" точки зрения) параметра - Shell и Userinit.
Shell - определяет программу-оболочку Windows, стандартное значение - explorer.exe. Если заменить его, допустим, на calc.exe (внимание: не делайте этого, это всего лишь пример), то после перезагрузки мы увидим лишь одно окно калькулятора. Этот параметр не задействуется при загрузке в "безопасном режиме с поддержкой командной строки"
Userinit - определяет... даже не знаю как написать... программу, отвечающую за выполнение одного из этапов загрузки ОС - запуск того же Shell и т.д.
Стандартное значение - C:\WINDOWS\system32\userinit.exe, (с запятой!)
Этот параметр обрабатывается во всех режимах загрузки. Его исправить можно только через LiveCD или подключив HDD к другому ПК.
Также вирусы прописываются в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Например, популярен среди Winlock-ов ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
В нем есть два ключевых (с "вирусологической" точки зрения) параметра - Shell и Userinit.
Shell - определяет программу-оболочку Windows, стандартное значение - explorer.exe. Если заменить его, допустим, на calc.exe (внимание: не делайте этого, это всего лишь пример), то после перезагрузки мы увидим лишь одно окно калькулятора. Этот параметр не задействуется при загрузке в "безопасном режиме с поддержкой командной строки"
Userinit - определяет... даже не знаю как написать... программу, отвечающую за выполнение одного из этапов загрузки ОС - запуск того же Shell и т.д.
Стандартное значение - C:\WINDOWS\system32\userinit.exe, (с запятой!)
Этот параметр обрабатывается во всех режимах загрузки. Его исправить можно только через LiveCD или подключив HDD к другому ПК.
Также вирусы прописываются в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
JustLive пишет:
Сколько встречал разных винлоков, у всех алгоритм примерно схож - подмена в реестре ключа, чаще всего это HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, подмена системных файлов в windows\system32 и windows\system32\dllcache, а также создание левых служб с пропиской в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs. Причем если раньше удаленному/далекому пользователю можно было подкинуть код разблокировки и после этого посоветовать прогнать различными антивирусами, то последние винлоки уже в принципе не имеют такого кода разблокировки. Учите пользователей быть аккуратными в интернет-серфинге ;)
Сколько встречал разных винлоков, у всех алгоритм примерно схож - подмена в реестре ключа, чаще всего это HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, подмена системных файлов в windows\system32 и windows\system32\dllcache, а также создание левых служб с пропиской в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs. Причем если раньше удаленному/далекому пользователю можно было подкинуть код разблокировки и после этого посоветовать прогнать различными антивирусами, то последние винлоки уже в принципе не имеют такого кода разблокировки. Учите пользователей быть аккуратными в интернет-серфинге ;)
Cпасибо - качественно расписал
basej1c пишет:
, спасало ни раз !!
, спасало ни раз !!
Согласен. Таскаю с собой пару сборок на всякий случай. А всякие кашперские с дрвебами нифига не помогают... У себя на компе куда ток не ползал чтобы словить эту заразу и ни разу не цеплялось, у клиентов в неделю может не по разу...
Проще всего загрузиться с какого нибудь LIveCd, и восстановить файлы конфигурации системы из папок "System Volume Information", там по дате найти папку с последней рабочей версией системы. И из неё перекопирывать нужные файлы в папку "C:\WINDOWS\system32\config" переименовав их в требуемые имена(SAM, SYSTEM и т.д.)
В этой статье мы рассмотрим не малополезную функцию, встроенную в операционную систему Windows XP – Восстановление системы. Восстановление системы позволяет восстановить состояние операционной системы на тот момент, когда система работала нормально. Это становиться возможным благодаря создаваемым точкам восстановления. Точка восстановления фиксирует состояние системы на определенный момент. Точки восстановления создаются автоматически системой, но их можно создавать и вручную. Самый главный плюс восстановления системы – это возможность быстро восстановить систему без переустановки Windows. Точки восстановления представляют собой, как бы фотоснимки системы, которые периодически сохраняются на жестком диске (винчестере). Создаются точки восстановления в соответствии с заданным расписанием ( например, после каждой загрузки операционной системы), а также при определенных событиях ( например, установка новой программы или драйвера устройства).
Способы запуска функции Восстановление системы.
1) Пуск / Все программы / Стандартные / Служебные / Восстановление системы.
2) Пуск / Справка и поддержка / Отмена изменений с помощью Восстановления системы (находиться в разделе Выбор задания).
3) Пуск / Выполнить / %SystemRoot%\system32\restore\rstrui.exe ( эту строку нужно ввести в поле Открыть и нажать кнопку ОК).
Создание точки восстановления в ручную.
Для того, чтобы создать точку восстановления в ручную проделайте следующее:
Запустите утилиту Восстановление системы любым из способов, указанных выше. После этого перед вами появиться окно Восстановление системы. Отметьте опцию Создать точку восстановления и нажмите Далее. Теперь вам нужно ввести название (описание) точки восстановления в поле Описание контрольной точки восстановления. Придумайте такое название данной точке, чтобы вы потом с легкостью могли понять, что именно восстанавливает данная контрольная точка. После этого нажмите кнопку Создать. Теперь точка восстановления создана. Чтобы выйти из приложения Восстановление системы – нажмите кнопку Завершить. Если вам нужно еще что-то сделать в этом приложении – нажмите кнопку Домой. Когда создается точка восстановления к ней автоматически добавляется время и дата на момент создания этой точки. Обратите внимание, что нельзя изменять точку восстановления после ее создания, поэтому еще раз напоминаю вам придумать хорошо информирующее название контрольной точки восстановления, а потом уже ее создавать.
Теперь давайте не много отвлечемся от практических знаний и поговорим об общем представлении восстановления системы. Для чего может быть полезно такое восстановление? Как вы уже, наверное, поняли из вышеуказанного материла, что восстановлением системы следует пользоваться в случаях некорректной работы системы после того, как было установлено новое приложение или драйвер и т.д. Благодаря этому возможно восстановить состояние системы на определенный момент времени. Думаю теперь вам стало все понятно. Вернемся к практике…
Выполнение восстановления системы.
Чтобы произвести восстановление системы до определенной точки восстановления, выполните следующие действия…
Запустите приложение Восстановление системы. Теперь в окне приложения отметьте опцию Восстановление более раннего состояния компьютера и нажмите Далее. В следующем окне Выбор контрольной точки восстановления укажите точку до которой вы хотите восстановить систему и нажмите Далее. Обратите внимание на то, что если вы работаете за компьютером очень часто, устанавливаете различные программы, драйвера и т.д – для этого дня будет создано несколько точек восстановления. Поэтому при выборе точки руководствуйтесь списком контрольных точек, который отображается при выборе даты точки восстановления. Теперь появиться окно, где вам необходимо подтвердить свой выбор точки и самой процедуры восстановления. Нажмите кнопку Далее и запуститься сам процесс восстановления. После того, как приложение выполнить все требуемые для восстановления действия – произойдет перезагрузка системы. После перезапуска системы появиться окно, информирующее вас о том, как произошло восстановление. Здесь может быть только два варианта: восстановление прошло успешно и восстановление не произошло. Даже если восстановление прошло успешно, но это не исправило вашу проблему – вы можете отменить это восстановление или выбрать другую контрольную точку. Для того, чтобы отменить недавно произведенное восстановление – нажмите на ссылку Отменить это восстановление и начнется обратный процесс. Обратите внимание на то, что в результате восстановления могут пропадать некоторые программы (которые были установлены позже даты контрольной точки, которую вы выбрали для восстановления), файлы и изменения в них. Что избежать утери таких файлов – запишите их на какой-нибудь носитель. Кроме того, в случае такой пропажи вы можете обратно восстановить состояние системы до того момента, где требуемый файл, программа и т.д. присутствовали.
Настройка утилиты Восстановление системы.
У любой медали есть и обратная сторона. А какая она у этой полезной утилиты? Дело в том, что для того, чтобы хранить конфигурацию всех контрольных точек восстановления нашей благородной утилите требуется достаточно большой объем памяти на жестком диске ( около 200 Мбайт). Если на вашем винчестере нет такого количества свободного места – Восстановление системы будет блокировано. Чтобы этого избежать достаточно освободить указанное количество объема памяти и восстановление заработает, как и прежде, но это не спасет утерянные точки восстановления. Теперь я расскажу о том, как настроить резервируемое место для восстановления системы и как включать и отключать саму утилиту.
Для этого нам нужно открыть окно Свойства системы. Вот парочка способов для «залезания» в свойства системы: 1) Пуск / Панель управления / Система; 2) На ярлыке Мой компьютер нажать правую кнопку мыши и в появившемся меню выбрать пункт Свойства.
После того, как мы открыли окно Свойства системы перейдем на вкладку Восстановление системы. Теперь рассмотрим, что здесь и как можно настроить.
Свойства системы.
Галка на опции Отключить восстановление системы на всех дисках – включает/ отключает полностью утилиту. Я настоятельно рекомендую не отключать восстановление без особой острой необходимости, потому что оно еще не один раз вам понадобиться при использовании вашего компьютера. Теперь запомните следующее – восстановления системы работает на каждом томе (разделе жесткого диска) отдельно. Другими словами вы можете отключить восстановление на диске, где у вас не хранятся самые драгоценные файлы, но я бы все равно не рекомендовал бы делать это. Для этого нужно воспользоваться полем Доступные диски и выбрать требуемый для настройки диск. После этого нужно нажать кнопку Параметры – откроется окно параметров выбранного диска. Теперь передвигая ползунок – вы выбираете требуемый объем резервируемого места для хранения контрольных точек восстановления. Разумеется, чем меньше объем этого места тем меньше контрольных точек может храниться одновременно. Если у вас винчестер с небольшим объемом памяти, а ее вам не хватает для других целей – можно освободить приличное количество места. Для этого рекомендую поставить ползунок на отметке 4% - этого будет достаточно для хранения пары контрольных точек. Если для вас вопрос свободной памяти на жестком диске является достаточно больным – рекомендую почитать мою статью Освобождаем память. В ней, как раз задет вопрос недостачи, необходимой как воздух свободной памяти.
Таким образом благодаря этим настройкам вы можете настроить восстановление системы на каждом диске, как вам хочется. Например для диска С лучше отвести побольше места, чем для диска D. Выбирайте конфигурирование утилиты на ваше усмотрение.
Вот, пожалуй, и все с чем я хотел познакомить начинающего пользователя по теме восстановления системы. Надеюсь, что я достаточно понятно изложил материал по данной теме.
Способы запуска функции Восстановление системы.
1) Пуск / Все программы / Стандартные / Служебные / Восстановление системы.
2) Пуск / Справка и поддержка / Отмена изменений с помощью Восстановления системы (находиться в разделе Выбор задания).
3) Пуск / Выполнить / %SystemRoot%\system32\restore\rstrui.exe ( эту строку нужно ввести в поле Открыть и нажать кнопку ОК).
Создание точки восстановления в ручную.
Для того, чтобы создать точку восстановления в ручную проделайте следующее:
Запустите утилиту Восстановление системы любым из способов, указанных выше. После этого перед вами появиться окно Восстановление системы. Отметьте опцию Создать точку восстановления и нажмите Далее. Теперь вам нужно ввести название (описание) точки восстановления в поле Описание контрольной точки восстановления. Придумайте такое название данной точке, чтобы вы потом с легкостью могли понять, что именно восстанавливает данная контрольная точка. После этого нажмите кнопку Создать. Теперь точка восстановления создана. Чтобы выйти из приложения Восстановление системы – нажмите кнопку Завершить. Если вам нужно еще что-то сделать в этом приложении – нажмите кнопку Домой. Когда создается точка восстановления к ней автоматически добавляется время и дата на момент создания этой точки. Обратите внимание, что нельзя изменять точку восстановления после ее создания, поэтому еще раз напоминаю вам придумать хорошо информирующее название контрольной точки восстановления, а потом уже ее создавать.
Теперь давайте не много отвлечемся от практических знаний и поговорим об общем представлении восстановления системы. Для чего может быть полезно такое восстановление? Как вы уже, наверное, поняли из вышеуказанного материла, что восстановлением системы следует пользоваться в случаях некорректной работы системы после того, как было установлено новое приложение или драйвер и т.д. Благодаря этому возможно восстановить состояние системы на определенный момент времени. Думаю теперь вам стало все понятно. Вернемся к практике…
Выполнение восстановления системы.
Чтобы произвести восстановление системы до определенной точки восстановления, выполните следующие действия…
Запустите приложение Восстановление системы. Теперь в окне приложения отметьте опцию Восстановление более раннего состояния компьютера и нажмите Далее. В следующем окне Выбор контрольной точки восстановления укажите точку до которой вы хотите восстановить систему и нажмите Далее. Обратите внимание на то, что если вы работаете за компьютером очень часто, устанавливаете различные программы, драйвера и т.д – для этого дня будет создано несколько точек восстановления. Поэтому при выборе точки руководствуйтесь списком контрольных точек, который отображается при выборе даты точки восстановления. Теперь появиться окно, где вам необходимо подтвердить свой выбор точки и самой процедуры восстановления. Нажмите кнопку Далее и запуститься сам процесс восстановления. После того, как приложение выполнить все требуемые для восстановления действия – произойдет перезагрузка системы. После перезапуска системы появиться окно, информирующее вас о том, как произошло восстановление. Здесь может быть только два варианта: восстановление прошло успешно и восстановление не произошло. Даже если восстановление прошло успешно, но это не исправило вашу проблему – вы можете отменить это восстановление или выбрать другую контрольную точку. Для того, чтобы отменить недавно произведенное восстановление – нажмите на ссылку Отменить это восстановление и начнется обратный процесс. Обратите внимание на то, что в результате восстановления могут пропадать некоторые программы (которые были установлены позже даты контрольной точки, которую вы выбрали для восстановления), файлы и изменения в них. Что избежать утери таких файлов – запишите их на какой-нибудь носитель. Кроме того, в случае такой пропажи вы можете обратно восстановить состояние системы до того момента, где требуемый файл, программа и т.д. присутствовали.
Настройка утилиты Восстановление системы.
У любой медали есть и обратная сторона. А какая она у этой полезной утилиты? Дело в том, что для того, чтобы хранить конфигурацию всех контрольных точек восстановления нашей благородной утилите требуется достаточно большой объем памяти на жестком диске ( около 200 Мбайт). Если на вашем винчестере нет такого количества свободного места – Восстановление системы будет блокировано. Чтобы этого избежать достаточно освободить указанное количество объема памяти и восстановление заработает, как и прежде, но это не спасет утерянные точки восстановления. Теперь я расскажу о том, как настроить резервируемое место для восстановления системы и как включать и отключать саму утилиту.
Для этого нам нужно открыть окно Свойства системы. Вот парочка способов для «залезания» в свойства системы: 1) Пуск / Панель управления / Система; 2) На ярлыке Мой компьютер нажать правую кнопку мыши и в появившемся меню выбрать пункт Свойства.
После того, как мы открыли окно Свойства системы перейдем на вкладку Восстановление системы. Теперь рассмотрим, что здесь и как можно настроить.
Свойства системы.
Галка на опции Отключить восстановление системы на всех дисках – включает/ отключает полностью утилиту. Я настоятельно рекомендую не отключать восстановление без особой острой необходимости, потому что оно еще не один раз вам понадобиться при использовании вашего компьютера. Теперь запомните следующее – восстановления системы работает на каждом томе (разделе жесткого диска) отдельно. Другими словами вы можете отключить восстановление на диске, где у вас не хранятся самые драгоценные файлы, но я бы все равно не рекомендовал бы делать это. Для этого нужно воспользоваться полем Доступные диски и выбрать требуемый для настройки диск. После этого нужно нажать кнопку Параметры – откроется окно параметров выбранного диска. Теперь передвигая ползунок – вы выбираете требуемый объем резервируемого места для хранения контрольных точек восстановления. Разумеется, чем меньше объем этого места тем меньше контрольных точек может храниться одновременно. Если у вас винчестер с небольшим объемом памяти, а ее вам не хватает для других целей – можно освободить приличное количество места. Для этого рекомендую поставить ползунок на отметке 4% - этого будет достаточно для хранения пары контрольных точек. Если для вас вопрос свободной памяти на жестком диске является достаточно больным – рекомендую почитать мою статью Освобождаем память. В ней, как раз задет вопрос недостачи, необходимой как воздух свободной памяти.
Таким образом благодаря этим настройкам вы можете настроить восстановление системы на каждом диске, как вам хочется. Например для диска С лучше отвести побольше места, чем для диска D. Выбирайте конфигурирование утилиты на ваше усмотрение.
Вот, пожалуй, и все с чем я хотел познакомить начинающего пользователя по теме восстановления системы. Надеюсь, что я достаточно понятно изложил материал по данной теме.
На первый взгляд может показаться если система заработала, значит вирус побеждён и можно расслабится. Однако, то что система загрузилась, не означает того, что все в порядке. Проблема в том, что Trojan Winlock всего лишь спрятался, и даже если в этот раз вы смогли запустить Windows, то вполне вероятно что следующее ваше включение компьютера или его перезагрузка может снова озадачить вас до боли знакомым банером. Для того что бы этого не произошло, необходимо полностью вылечить вирус Trojan.Winlock. Эта статья поможет вам удалить не только Winlock, но и любой другой вредоносный код.
Нам понадобятся следующие программы:
- dr.web cureit
- RegCleaner
- Касперский removal tool
- RemoveIT
- ATF cleaner
- Plstfix
Их можно запустить и с жесткого диска и со сменного носителя (cd, флешка и т.д.). Установки требует лишь RemoveIT,остальные утилиты работают без установки на ваш компьютер.
1. Удаляем вирус Trojan из автозагрузки с помощью программы RegCleaner. В меню утилиты выбираем: Задачи – Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, заходим в shell, где должно быть указано explorer.exe и в раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Любые другие варианты меняем на правильные значения. Закрываем редактор реестра.
Затем идём во вкладку “автозагрузка”. Тщательно изучаем список того, что у вас загружается вместе с windows. Выбираем галочками и удаляем (правый нижний угол) все-то, что вы не устанавливали, и не является desktop и ctfmon.exe. Разнообразные svchost.exe и ему подобные .exe из папки windows удаляйте в первую очередь.
Выбираем задачи – очистка реестра – задействовать все варианты. Программа проверит реестр, все что найдет – удаляем. С помощью данных операций мы очистили реестр от Trojan Winlock.
2. Далее ищем сам вирус. Для этого понадобятся следующие утилиты. Касперский и Dr.Web – очень простые и бесплатные антивирусы с последними базами вирусов. Более сложная программа это RemoveIT – он платный (первые 30 дней бесплатны) довольно хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но его обязательно необходимо дополнять т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Его минус в том, что необходимо будет наличие интернета, на время обновления антивируса.
Теперь по очереди сканируем каждый диск антивирусом, и удаляем всё что они находят. А найдут они много. Если есть время, лучше сразу проверить все локальные диски, если нет, то хотя бы диск с системой Windows.
3. Запустим утилиту Plstfix. Эта утилита восстановит реестр Windows, от любых вредоносных манипуляций. В частности, включит снова безопасный режим и диспетчер задач.
4. Теперь необходимо удалить все временные файлы. С большой долей вероятности вирусы прячутся в этих папках. Для этого запускаем ATF Cleaner, отмечаем всё и удаляем.
Нам понадобятся следующие программы:
- dr.web cureit
- RegCleaner
- Касперский removal tool
- RemoveIT
- ATF cleaner
- Plstfix
Их можно запустить и с жесткого диска и со сменного носителя (cd, флешка и т.д.). Установки требует лишь RemoveIT,остальные утилиты работают без установки на ваш компьютер.
1. Удаляем вирус Trojan из автозагрузки с помощью программы RegCleaner. В меню утилиты выбираем: Задачи – Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, заходим в shell, где должно быть указано explorer.exe и в раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Любые другие варианты меняем на правильные значения. Закрываем редактор реестра.
Затем идём во вкладку “автозагрузка”. Тщательно изучаем список того, что у вас загружается вместе с windows. Выбираем галочками и удаляем (правый нижний угол) все-то, что вы не устанавливали, и не является desktop и ctfmon.exe. Разнообразные svchost.exe и ему подобные .exe из папки windows удаляйте в первую очередь.
Выбираем задачи – очистка реестра – задействовать все варианты. Программа проверит реестр, все что найдет – удаляем. С помощью данных операций мы очистили реестр от Trojan Winlock.
2. Далее ищем сам вирус. Для этого понадобятся следующие утилиты. Касперский и Dr.Web – очень простые и бесплатные антивирусы с последними базами вирусов. Более сложная программа это RemoveIT – он платный (первые 30 дней бесплатны) довольно хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но его обязательно необходимо дополнять т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Его минус в том, что необходимо будет наличие интернета, на время обновления антивируса.
Теперь по очереди сканируем каждый диск антивирусом, и удаляем всё что они находят. А найдут они много. Если есть время, лучше сразу проверить все локальные диски, если нет, то хотя бы диск с системой Windows.
3. Запустим утилиту Plstfix. Эта утилита восстановит реестр Windows, от любых вредоносных манипуляций. В частности, включит снова безопасный режим и диспетчер задач.
4. Теперь необходимо удалить все временные файлы. С большой долей вероятности вирусы прячутся в этих папках. Для этого запускаем ATF Cleaner, отмечаем всё и удаляем.
давно убедился, что путь "чисто убрать экран, чтобы инет работал" - это для лохотронщиков, работающих с частными клиентами - удобно доить, видимо. для нормальных людей и юридических, на мой взгляд, приемлем только качествнный путь лечения. основная проблема - не винлок, а низкий уровень защищенности, и винлоки всегда бывают лишь вершиной айсберга, частью приличного зоопарка.
я использую следующий алгоритм лечения:
1. Подключение жесткого с зараженной машины к чистому компьютеру.
2. Прогон диска cureit
3. прогон штатным антивирусом (у меня лично кав)
4. возврат диска в целевую машину.
5. иногда бывают случаи незагрузки после проведенной проверки. тут все строго индивидуально и к винлоку обычно не имеет отношения.
6. если не загрузился экплорер или не прошел логон (что бывает очень часто), то ерд в помощь. ключи уже написал JustLive.
7. запустить на целевой машине combofix (не работает на х64 и не любит 1с 8)
8. запустить еще одну утилиту поиска руткитов или троянов, их немало
9. убрать ограничения политики безопасности. я применяю для этого avz.
10. отключить автозапуск со всех носителей
11. Включить автоматические обновления. Для лицензии - не вопрос, для нелицензий - все тоже решаемо. Это надо сделать обязательно.
12. Объяснить недопустимость использования IE. Поставить любой альтернативный браузер.
13. Обновить флэш плеер
14. Установить любой легальный антивирус
15. много читать. например virusinfo.info, oszone.net
Только после этого мы принимаем компьютер на обслуживание. За три последних года рецидива не было ни разу. Сейчас компов почти 150 только у юр.лиц, еще около 300 у частных лиц, так что система апробирована давно и успешно)
я использую следующий алгоритм лечения:
1. Подключение жесткого с зараженной машины к чистому компьютеру.
2. Прогон диска cureit
3. прогон штатным антивирусом (у меня лично кав)
4. возврат диска в целевую машину.
5. иногда бывают случаи незагрузки после проведенной проверки. тут все строго индивидуально и к винлоку обычно не имеет отношения.
6. если не загрузился экплорер или не прошел логон (что бывает очень часто), то ерд в помощь. ключи уже написал JustLive.
7. запустить на целевой машине combofix (не работает на х64 и не любит 1с 8)
8. запустить еще одну утилиту поиска руткитов или троянов, их немало
9. убрать ограничения политики безопасности. я применяю для этого avz.
10. отключить автозапуск со всех носителей
11. Включить автоматические обновления. Для лицензии - не вопрос, для нелицензий - все тоже решаемо. Это надо сделать обязательно.
12. Объяснить недопустимость использования IE. Поставить любой альтернативный браузер.
13. Обновить флэш плеер
14. Установить любой легальный антивирус
15. много читать. например virusinfo.info, oszone.net
Только после этого мы принимаем компьютер на обслуживание. За три последних года рецидива не было ни разу. Сейчас компов почти 150 только у юр.лиц, еще около 300 у частных лиц, так что система апробирована давно и успешно)
при заражении в руткаталоге\систем32 каталоге создается обычно 2файла; 1-*.exe ,2 - *.tmp или *.dll дата,время и размер файлов одинаков. простейшее решение (если это конечно возможно прощитать) загрузится с лайв диска и сделав сравнение по дате создания файлов и размера с относительной легкостью и точностью вычисляется вредоносный код, естественно потом для полной уверенности прогнать куритом и можно на всякий пройтись утилитой HiJack (использовать крайне осторожно). естественно возможны побочные эффекты как например невозможность загрузки userinit (вход в систему не выполняется для любово пользователя ), данную проблему решать только ручками с помощью лайфсд и подключением реестра. так же возможен вариант что данный файл был заражен вирусом и был удалем антивирем, тут опять же вариант рукотворный, ибо надо найти работоспособную систему (можно даже распаковать из дистрибутива виндов необходимые удаленные экзешники ручками (особых хитростей при распаковке нет)) и откопировать удаленные файлы(естественно необходимо всетаки составить список таких файлов и пути по которым они распологались).
а) загрузиться с любого загрузочного CD, DVD, т.е. WinPE
б) зайти в %SystemRoot%\system32 (обычно %SystemRoot%\ это C:\Windows\) и отсортировать файлы по размеру
в) ОСТОРОЖНО! Найти и удалить (или переместить в другую папку) файлы размером 133 664 байт (131 КБ). Они имеют расширение DLL и являются скрытыми. Их может быть от одного до нескольких сотен штук. Они все абсолютно идентичны между собой - в этом можно убедиться в любом файловом менеджере, или если выделить два из них и выбрать пункт Файл - Сравнить по содержимому.
Замечание: название файлов DLL-ок самое разнообразное от 3 до 8 латинских букв, напр. у меня bjnfu.dll, igymxvj.dll. Единственный общий признак - дата создания, размер, атрибут "Скрытый"
Подсказка: дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe (не обязательное условие)
г) Произвести аналогичное удаление файлов (может 2, может 3 штуки) размером 133 664 байт (131 КБ) из папки TEMP (та, которая по умолчанию находиться в Documents and Settings\имя пользователя\Local Settings\Temp\) - в принципе можно очистить и все папки Documents and Settings\%имя пользователя%\Local Settings\Temp\ и %SystemRoot%\Temp)
д) Попутно убить все файлы Autorun.inf во всех корневых каталогах всех дисков и флешек
е) И ещё попутно поискать и удалить файл sdra64.exe, который находится в %SystemRoot%\system32 (обычно это C:\Windows\System32\) - просто он у меня был в обоих случаях, хотя я знаю, что это совершенно другой вирус.
ж) Перезагрузка (надеюсь, что удачная)
з) Запускаете AVZ и выполняете Файл - Восстановление системы - пункты 1,8,10,11,16,17.
3. Бывает, что это не помогает. Хитрый вирус может прятаться в других местах. Для того, чтобы узнать, где этот подлец притаился, нам понадобиться загрузочный диск с ERD Commander’ом (ну или какой-нибудь загрузочный диск любой сборки с утилитой для работы с реестром Windows).
Грузимся с имеющегося загрузочного диска. В ERD Commander открываем реестр заражённой системы и смотрим следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр AppInit_DLLs должен быть пустым (в редких случаях там может быть прописан путь к файлу антивируса) если это не так, очищаем этот параметр и удаляем файл, который был здась прописан (у меня, например, в AppInit_DLLs было такое: «C:\Windows\System32\win32srv.dll» - очистил значение параметра и удалил указанный файл)
HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon, проверьте значения ключей Shell и Userinit должно быть так:
Shell=Explorer.exe
Userinit=C:\WINDOWS\system32\userinit.exe,
Если значения парметров не такие – меняем на указанные и удаляем файлы, ссылки на которые были в параметрах (для примера, у меня было так в Userinit: «C:\WINDOWS\system32\userinit.exe, Documents and Settings\user1\Local Settings\Temp\don23.tmp» - поменял параметр на «C:\WINDOWS\system32\userinit.exe,» и удалил файл don23.tmp, а заодно и все файлы в папке Temp по указанному пути)
Пробуем загрузиться в нашей несчастной системе в безопасном режиме и при успешной загрузке (обычно это так) проверяем компьютер на вирусы с помощью утилиты cureit.
Ну и при блокировках диспетчера задач и редактора реестра используем AVZ, как было указано выше.
Если AVZ отсутствует, можно создать reg-файл следующего содержания:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0
Или из командной строки выполнить для разблокировки следующие команды:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst
б) зайти в %SystemRoot%\system32 (обычно %SystemRoot%\ это C:\Windows\) и отсортировать файлы по размеру
в) ОСТОРОЖНО! Найти и удалить (или переместить в другую папку) файлы размером 133 664 байт (131 КБ). Они имеют расширение DLL и являются скрытыми. Их может быть от одного до нескольких сотен штук. Они все абсолютно идентичны между собой - в этом можно убедиться в любом файловом менеджере, или если выделить два из них и выбрать пункт Файл - Сравнить по содержимому.
Замечание: название файлов DLL-ок самое разнообразное от 3 до 8 латинских букв, напр. у меня bjnfu.dll, igymxvj.dll. Единственный общий признак - дата создания, размер, атрибут "Скрытый"
Подсказка: дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe (не обязательное условие)
г) Произвести аналогичное удаление файлов (может 2, может 3 штуки) размером 133 664 байт (131 КБ) из папки TEMP (та, которая по умолчанию находиться в Documents and Settings\имя пользователя\Local Settings\Temp\) - в принципе можно очистить и все папки Documents and Settings\%имя пользователя%\Local Settings\Temp\ и %SystemRoot%\Temp)
д) Попутно убить все файлы Autorun.inf во всех корневых каталогах всех дисков и флешек
е) И ещё попутно поискать и удалить файл sdra64.exe, который находится в %SystemRoot%\system32 (обычно это C:\Windows\System32\) - просто он у меня был в обоих случаях, хотя я знаю, что это совершенно другой вирус.
ж) Перезагрузка (надеюсь, что удачная)
з) Запускаете AVZ и выполняете Файл - Восстановление системы - пункты 1,8,10,11,16,17.
3. Бывает, что это не помогает. Хитрый вирус может прятаться в других местах. Для того, чтобы узнать, где этот подлец притаился, нам понадобиться загрузочный диск с ERD Commander’ом (ну или какой-нибудь загрузочный диск любой сборки с утилитой для работы с реестром Windows).
Грузимся с имеющегося загрузочного диска. В ERD Commander открываем реестр заражённой системы и смотрим следующие ключи реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Параметр AppInit_DLLs должен быть пустым (в редких случаях там может быть прописан путь к файлу антивируса) если это не так, очищаем этот параметр и удаляем файл, который был здась прописан (у меня, например, в AppInit_DLLs было такое: «C:\Windows\System32\win32srv.dll» - очистил значение параметра и удалил указанный файл)
HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon, проверьте значения ключей Shell и Userinit должно быть так:
Shell=Explorer.exe
Userinit=C:\WINDOWS\system32\userinit.exe,
Если значения парметров не такие – меняем на указанные и удаляем файлы, ссылки на которые были в параметрах (для примера, у меня было так в Userinit: «C:\WINDOWS\system32\userinit.exe, Documents and Settings\user1\Local Settings\Temp\don23.tmp» - поменял параметр на «C:\WINDOWS\system32\userinit.exe,» и удалил файл don23.tmp, а заодно и все файлы в папке Temp по указанному пути)
Пробуем загрузиться в нашей несчастной системе в безопасном режиме и при успешной загрузке (обычно это так) проверяем компьютер на вирусы с помощью утилиты cureit.
Ну и при блокировках диспетчера задач и редактора реестра используем AVZ, как было указано выше.
Если AVZ отсутствует, можно создать reg-файл следующего содержания:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegedit"=dword:0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:0
Или из командной строки выполнить для разблокировки следующие команды:
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Syst
Было уже подобное обсуждение в ветке "Проблемы с загрузкой Windows"
*Windows XP- обычно я загружаю Hirens Boot CD(с флэшки или диска) версию 10,1(или любую другую в инете их валом) с miniWindowsXP там есть утилита Registri что-то там Wizard, интуитивно понятный интерфейс, просто выбираем состояние регистра на более раннюю дату(самая ранняя это состояние регистра сразу после установки 100% рабочая система,правда без дров), перезагружаемся и потом проверяем антивирусами, бэкапим, переустанавливаем и т.д.
*Windows 7, если настраивали архивацию, просто запускаем восстановление системы в более раннем состоянии, либо как с ХР восстанавливаем более раннее состояние регистра.
Откат на самую раннюю версию регистра помогал мне пока в 100% случаев. После очистки системы CureIt, иногда возвращал более позднее состояние регистра(если включен бэкап регистра), но обычно, просто восстанавливаю ярлыки и переустанавливаю необходимый софт.
*Windows XP- обычно я загружаю Hirens Boot CD(с флэшки или диска) версию 10,1(или любую другую в инете их валом) с miniWindowsXP там есть утилита Registri что-то там Wizard, интуитивно понятный интерфейс, просто выбираем состояние регистра на более раннюю дату(самая ранняя это состояние регистра сразу после установки 100% рабочая система,правда без дров), перезагружаемся и потом проверяем антивирусами, бэкапим, переустанавливаем и т.д.
*Windows 7, если настраивали архивацию, просто запускаем восстановление системы в более раннем состоянии, либо как с ХР восстанавливаем более раннее состояние регистра.
Откат на самую раннюю версию регистра помогал мне пока в 100% случаев. После очистки системы CureIt, иногда возвращал более позднее состояние регистра(если включен бэкап регистра), но обычно, просто восстанавливаю ярлыки и переустанавливаю необходимый софт.
Лечение компьютера от winlock Баннеров
Рассказ пойдет о борьбе с подобного рода вирусами, а точнее не всегда вирусами, и далеко не всегда вредоносными :)
Для начала разберемся что такое надоевший "Баннер"...
В нашем случае "Баннер" - это некая программа, надстройка, скрипт или любой другой файл, который обрабатываться приложениями или ядром системы и собственно мешать нам работать...
А так, как это файл, соответсвенно он занимает определенное кол-во места на жестком диске и имеет все атрибуты присущие любому другому файлу.
А именно: расширение, размер, права, и конечно дату создания (огромный плюс для нас)...
В основном все эти "Баннеры" не распространяются сетевыми атаками или элементами автозагрузки...
Чаще всего они оказываются на гашем компьютере при помощи элементов ActiveX или от собственного желания поскорее кликнуть на что-нибудь скаченное из глобальной паутины...
Лечить данные чудеса науки не так уж и сложно, главное понять как работает система.
В системе windows есть системные папки (C:\Program Files, C:\WINDOWS), где как правило и обитает этот вирус (скрипт) и конешно системный реестр (конфигурационные настройки системы), в котором собственно и прописаны все параметры. Исходя из этого мы делаем вывод:
надо удалить файл
почистить реестр
Но как нам найти тот самый злополучный файл?
Тут нам на помощь приходит дата его создания....
Обычно люди подхватившие эту заразу в состоянии вспомнить дату последнего пользования компьютером перед появлением "Баннера", и это главный козырь...
Для поиска файла с вредоносным кодом (вирусом), нам надо загрузится в безопасный режим, если это не возможно, то подключить диск к другому компьютеру и там загрузится в безопасном режиме, или произвести загрузку с (лайф сиди) Live CD. После загрузки, мы открываем любую папку в системе (к примеру Мой Компьютер или мои документы) и нажимаем F3, чтобы открыть средство поиска Виндовс...
Выбираем поиск Файлов и Папок, отмечаем что хотим искать в системных папках, и для этого нажимаем на дополнительные параметры и ставим галку поиск в скрытых файлах и папках...
Меняем стиль отображения найденного, Нажимаем на меню "Вид" и выбираем "Таблица"
Далее выбираем диск на котором установлена зараженная копия системы (в выпадающем меню "Поиск в:"), и начинаем искать по маскам файлов...
В первую очередь мы ищем файлы *.exe , и сортируем их по дате создания.
Смотрим путь до файлов созданных в тот день когда компьютер работал в последний раз нормально и вспоминаем что мы тогда ставили за Программы, Обновления...
Если не ставили ни чего а путь до *.exe начинается с C:\WINDOWS или C:\Program Files , то скорее всего это и есть наш злополучный "Баннер"...
В случае если нам не попалось ничего подозрительного, то мы меняем маску на *.dll , *.bat , *.bin , *.msi и смотрим на их пути и дату создания..
После удаляем его, записав название на бумажку, (перед удалением сначала поискать информацию об этом файле в гугле, не критичен ли он для работы нашей системы) затем пробуем загрузится с жесткого диска в безопасном режиме...
Если банера не оказалось, то теперь его надо удалить из реестра...
Для этого мы нажимаем "пуск" -> "выполнить" пишем regedit.
Появится Редактор реестра, там мы нажимаем Ctrl+F, для вызова поиска и вписываем, то самое название файла которое заранее переписали на бумажку перед удалением...
Находим все упоминанием в реестре об этом файле и удаляем пути до этого файла, ключи.
После всего этого перезагружаемся и если всё прошло хорошо, то получаем рабочую систему.
Рассказ пойдет о борьбе с подобного рода вирусами, а точнее не всегда вирусами, и далеко не всегда вредоносными :)
Для начала разберемся что такое надоевший "Баннер"...
В нашем случае "Баннер" - это некая программа, надстройка, скрипт или любой другой файл, который обрабатываться приложениями или ядром системы и собственно мешать нам работать...
А так, как это файл, соответсвенно он занимает определенное кол-во места на жестком диске и имеет все атрибуты присущие любому другому файлу.
А именно: расширение, размер, права, и конечно дату создания (огромный плюс для нас)...
В основном все эти "Баннеры" не распространяются сетевыми атаками или элементами автозагрузки...
Чаще всего они оказываются на гашем компьютере при помощи элементов ActiveX или от собственного желания поскорее кликнуть на что-нибудь скаченное из глобальной паутины...
Лечить данные чудеса науки не так уж и сложно, главное понять как работает система.
В системе windows есть системные папки (C:\Program Files, C:\WINDOWS), где как правило и обитает этот вирус (скрипт) и конешно системный реестр (конфигурационные настройки системы), в котором собственно и прописаны все параметры. Исходя из этого мы делаем вывод:
надо удалить файл
почистить реестр
Но как нам найти тот самый злополучный файл?
Тут нам на помощь приходит дата его создания....
Обычно люди подхватившие эту заразу в состоянии вспомнить дату последнего пользования компьютером перед появлением "Баннера", и это главный козырь...
Для поиска файла с вредоносным кодом (вирусом), нам надо загрузится в безопасный режим, если это не возможно, то подключить диск к другому компьютеру и там загрузится в безопасном режиме, или произвести загрузку с (лайф сиди) Live CD. После загрузки, мы открываем любую папку в системе (к примеру Мой Компьютер или мои документы) и нажимаем F3, чтобы открыть средство поиска Виндовс...
Выбираем поиск Файлов и Папок, отмечаем что хотим искать в системных папках, и для этого нажимаем на дополнительные параметры и ставим галку поиск в скрытых файлах и папках...
Меняем стиль отображения найденного, Нажимаем на меню "Вид" и выбираем "Таблица"
Далее выбираем диск на котором установлена зараженная копия системы (в выпадающем меню "Поиск в:"), и начинаем искать по маскам файлов...
В первую очередь мы ищем файлы *.exe , и сортируем их по дате создания.
Смотрим путь до файлов созданных в тот день когда компьютер работал в последний раз нормально и вспоминаем что мы тогда ставили за Программы, Обновления...
Если не ставили ни чего а путь до *.exe начинается с C:\WINDOWS или C:\Program Files , то скорее всего это и есть наш злополучный "Баннер"...
В случае если нам не попалось ничего подозрительного, то мы меняем маску на *.dll , *.bat , *.bin , *.msi и смотрим на их пути и дату создания..
После удаляем его, записав название на бумажку, (перед удалением сначала поискать информацию об этом файле в гугле, не критичен ли он для работы нашей системы) затем пробуем загрузится с жесткого диска в безопасном режиме...
Если банера не оказалось, то теперь его надо удалить из реестра...
Для этого мы нажимаем "пуск" -> "выполнить" пишем regedit.
Появится Редактор реестра, там мы нажимаем Ctrl+F, для вызова поиска и вписываем, то самое название файла которое заранее переписали на бумажку перед удалением...
Находим все упоминанием в реестре об этом файле и удаляем пути до этого файла, ключи.
После всего этого перезагружаемся и если всё прошло хорошо, то получаем рабочую систему.
захожу в БР с подд. ком.строки запускаю реестр ищу ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell должно быть указано explorer.exe и в раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe
У меня была такая же фигня, антивирус не помог. Загрузился с (life cd win 7) запустил erd commander, почистил реестр, как описано выше, почистил куки, все tempory internet файлы перезагрузился и все винлока как и не было.
есть не большая программка UVS. Она давно помогает справиться с бедой банеров-вымогателей. Плюсы в ее бесплатности и универсальности. Она спокойно определит подозрительные объекты в загрузке, ручками убиваем зверька, затем сбрасываем ключи реестра в стандартное положение, очищаем временные папки инета и можно спокойно пользоваться компьютером.
Проще всего - это образ диска с,сделанный при помощи программы ghost.Эту программу можно найти почти на всех сборках загрузочных флешек. Один раз установить все программы,обновить драйвера,насторить систему,потом снять образ и все! потом при возникновении каких-нибудь проблем,даже не разбираясь-вирус там или просто система тупит просто перенакатываете этот образ.5 мин и у вас полностью работоспособная система!
Пройти Касперским. Потом Combofix. Далее правильное применение политик безопасности самой операционной системы с обязательно установленным антивирусом. Периодически использовать AVZ с исправлением ошибок (уязвимостей). Этот алгоритм помогал всегда.
Сколько встречал разных винлоков, у всех алгоритм примерно схож - подмена в реестре ключа, чаще всего это HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Shell и HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, подмена системных файлов в windows\system32 и windows\system32\dllcache, а также создание левых служб с пропиской в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs. Причем если раньше удаленному/далекому пользователю можно было подкинуть код разблокировки и после этого посоветовать прогнать различными антивирусами, то последние винлоки уже в принципе не имеют такого кода разблокировки. Учите пользователей быть аккуратными в интернет-серфинге ;)
К сожалению, в Windows качественное ограничение на запись в реестр далеко не всегда возможно, так как очень многие программы слишком часто используют его для сохранения всяческих своих нужд.
Единственное, что может оградить от поимки WinLock'а - это, так сказать, самоконтроль, антивирус (спасёт от случайностей и устаревших зараз) и запрет на выполнение Java-скриптов на сайтах. В Internet Exporer'е последнее вызывает жуткие трудности и неудобности. Как в других браузерах дело обстоит я не знаю, так как не пробовал, но лично я использую связку "Firefox" + "Дополнение NoScript". Очень удобное дополнение, которое позволяет очень легко контролировать выполнение скриптов на страницах. Собсно, ещё и назойливая плавающая реклама тоже обрубается... :))
А по восстановлению - тута индивидуальный подход к каждой заразе нужен. Но, как говорилось выше, есть у них протоптанные дорожки:
1. Если винда лочится ещё до загрузки "Приветствия", то надо чистить раздел MBR:
Надо загрузиться с виндового диска в консоль восстановления и проделать там пару команд:
Для Windows 7:
Bootrec.exe /FixMbr
Bootrec.exe /FixBoot
Для Windows XP:
fixmbr
fixboot
2. Загрузиться с Live-CD и оттуда посмотреть разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть так:
Shell = "Explorer.exe"
Userinit = "Userinit.exe," (с запятой, после которой пусто!)
Бывает, что после запятой идёт куча пробелов и потом добавлена зараза.
Если не грузится винда после удаления, либо самоудаления заразы, то Вам именно в Userinit = "Userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Должно быть так:
AppInit_DLLs = "" (пусто)
Хотя туда часто прописываются "полезные" (это ещё смотря с какой стороны посмотреть) программы, такие как Касперыч и ЛовиВКонтакте.
3. Если винда после этих манипуляций успешно загрузилась, то сразу проверяем файл hosts:
Кста, это можно сделать и автоматически в следующем пункте, но тогда есть риск, что, например, придётся потом Админу перенастраивать параметры доступа к серверу.., ну или, безусловно гораздо более важное, потерять бесплатные лицензии на вылеченное программное обеспечение...
В общем, идём сюды:
C:\Windows\System32\drivers\etc
тута лежит файл "hosts", он без расширения и открывается с помощью Блокнота. В Windows 7 для его редактирования нужно обладать правами Администратора. Соответственно Блокнот надо запускать от имени Администратора.., ну или переместить этот файлик, например, на рабочий стол, отредактировать и после вернуть обратно... ;))
Обычно, в этом файле есть текст, который слева обозначен решёткой "#" - это закомментированные строки, нас они не волнуют, а волнуют те, что ниже, без решёток - обычно, там только одна такая строка:
127.0.0.1 localhost
либо ваще их нету. Но если у вас есть пиратское программное обеспечение, то, скорее всего, этих строк там будет несколько (так "отключается" доступ к адресам в Интернете для проверки лицензий). В общем, надо определить нужные строки, а все остальные, если есть, удалить!
При этот бывает, что зараза скрывается за многими пустыми строками снизу, то есть если окно блокнота прокручивается вниз, то снизу что-то будет и надо это что-то удалить! ;)
4. Есть замечательная программа AVZ:
Скачиваем (лучше заранее это сделать), запускаем (если не запускается, то пробуем изменить расширение файла avz.exe на avz.com и снова запускаем) и идём в пункт меню "Файл - Восстановление системы", ставим галочки, которые хотим восстановить:
"Восстановление настроек рабочего стола" - обычно, я этот пункт пропускаю, так как все ваши красивости придётся настраивать заного...
"Очистка файла Hosts" - это то, что делали в предыдущем пункте, тока тут этот файл чистится подчистую... Если не надо, то пропускаем...
"Сброс настроек SPI/LSP и TCP/IP (XP+)" - сбросит настройки подключения к Инету к настройкам по-умолчанию, после чего Интернет может стать недоступен, так что эту галочку надо ставить, тока если знаете что потом делать!
"Полное пересоздание настроек SPI" - тоже пропускаем...
"Заменить DNS всех подключений на Google Public DNS" - если в своих DNS-серверах мы уверенны (они даются Админом, Провайдером или сервисом DHCP), то пропускаем этот пункт...
Всё остальное, в принципе, можно отметить... Пара секунд и восстановление выполнено!
5. Теперь можно просканить систему свежим антивирусом, хотя правильнее это было сделать во втором пункте из под Live-CD, например бесплатным сканером CureIt от Dr.Web (, но это очень долгое событие... Перезагружаемся для точности и можно работать дальше...
ЗЫ: Как я уже говорил, к каждой заразе нужен личный подход! Эта писанина описывает лишь пару стандартных приёмов, которые в большинстве случаев позволят вернуть компьютер в рабочее состояние. Описать все методы борьбы просто невозможно, так как это очень большой объём информации и постоянно придумываются новые способы заражения, да и обычному пользователю все методы просто не понять, не осилить да и незачем ему эту...
Единственное, что может оградить от поимки WinLock'а - это, так сказать, самоконтроль, антивирус (спасёт от случайностей и устаревших зараз) и запрет на выполнение Java-скриптов на сайтах. В Internet Exporer'е последнее вызывает жуткие трудности и неудобности. Как в других браузерах дело обстоит я не знаю, так как не пробовал, но лично я использую связку "Firefox" + "Дополнение NoScript". Очень удобное дополнение, которое позволяет очень легко контролировать выполнение скриптов на страницах. Собсно, ещё и назойливая плавающая реклама тоже обрубается... :))
А по восстановлению - тута индивидуальный подход к каждой заразе нужен. Но, как говорилось выше, есть у них протоптанные дорожки:
1. Если винда лочится ещё до загрузки "Приветствия", то надо чистить раздел MBR:
Надо загрузиться с виндового диска в консоль восстановления и проделать там пару команд:
Для Windows 7:
Bootrec.exe /FixMbr
Bootrec.exe /FixBoot
Для Windows XP:
fixmbr
fixboot
2. Загрузиться с Live-CD и оттуда посмотреть разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть так:
Shell = "Explorer.exe"
Userinit = "Userinit.exe," (с запятой, после которой пусто!)
Бывает, что после запятой идёт куча пробелов и потом добавлена зараза.
Если не грузится винда после удаления, либо самоудаления заразы, то Вам именно в Userinit = "Userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Должно быть так:
AppInit_DLLs = "" (пусто)
Хотя туда часто прописываются "полезные" (это ещё смотря с какой стороны посмотреть) программы, такие как Касперыч и ЛовиВКонтакте.
3. Если винда после этих манипуляций успешно загрузилась, то сразу проверяем файл hosts:
Кста, это можно сделать и автоматически в следующем пункте, но тогда есть риск, что, например, придётся потом Админу перенастраивать параметры доступа к серверу.., ну или, безусловно гораздо более важное, потерять бесплатные лицензии на вылеченное программное обеспечение...
В общем, идём сюды:
C:\Windows\System32\drivers\etc
тута лежит файл "hosts", он без расширения и открывается с помощью Блокнота. В Windows 7 для его редактирования нужно обладать правами Администратора. Соответственно Блокнот надо запускать от имени Администратора.., ну или переместить этот файлик, например, на рабочий стол, отредактировать и после вернуть обратно... ;))
Обычно, в этом файле есть текст, который слева обозначен решёткой "#" - это закомментированные строки, нас они не волнуют, а волнуют те, что ниже, без решёток - обычно, там только одна такая строка:
127.0.0.1 localhost
либо ваще их нету. Но если у вас есть пиратское программное обеспечение, то, скорее всего, этих строк там будет несколько (так "отключается" доступ к адресам в Интернете для проверки лицензий). В общем, надо определить нужные строки, а все остальные, если есть, удалить!
При этот бывает, что зараза скрывается за многими пустыми строками снизу, то есть если окно блокнота прокручивается вниз, то снизу что-то будет и надо это что-то удалить! ;)
4. Есть замечательная программа AVZ:
Скачиваем (лучше заранее это сделать), запускаем (если не запускается, то пробуем изменить расширение файла avz.exe на avz.com и снова запускаем) и идём в пункт меню "Файл - Восстановление системы", ставим галочки, которые хотим восстановить:
"Восстановление настроек рабочего стола" - обычно, я этот пункт пропускаю, так как все ваши красивости придётся настраивать заного...
"Очистка файла Hosts" - это то, что делали в предыдущем пункте, тока тут этот файл чистится подчистую... Если не надо, то пропускаем...
"Сброс настроек SPI/LSP и TCP/IP (XP+)" - сбросит настройки подключения к Инету к настройкам по-умолчанию, после чего Интернет может стать недоступен, так что эту галочку надо ставить, тока если знаете что потом делать!
"Полное пересоздание настроек SPI" - тоже пропускаем...
"Заменить DNS всех подключений на Google Public DNS" - если в своих DNS-серверах мы уверенны (они даются Админом, Провайдером или сервисом DHCP), то пропускаем этот пункт...
Всё остальное, в принципе, можно отметить... Пара секунд и восстановление выполнено!
5. Теперь можно просканить систему свежим антивирусом, хотя правильнее это было сделать во втором пункте из под Live-CD, например бесплатным сканером CureIt от Dr.Web (, но это очень долгое событие... Перезагружаемся для точности и можно работать дальше...
ЗЫ: Как я уже говорил, к каждой заразе нужен личный подход! Эта писанина описывает лишь пару стандартных приёмов, которые в большинстве случаев позволят вернуть компьютер в рабочее состояние. Описать все методы борьбы просто невозможно, так как это очень большой объём информации и постоянно придумываются новые способы заражения, да и обычному пользователю все методы просто не понять, не осилить да и незачем ему эту...
программа regran reanimator просто чудо грузишся с какого нибудь live-cd запускаешь ее и она ищет подозрительные файлы тоесть файлы которые не относятся к windows и спрашивает тебя что это подозрительный файл что с ним делать удалить или пропустить или в инете информацию о нем удаляешь она еще и в реестре че то подчищает из 10 раз 9 получалось но и иногда рубит операционку
Вот недавно видел такой винлок - до загрузки винды!!! выдает сообщение о бла бла бла. заплатите 400руб. снял жесткий, подцепил к своему компу, а он не распределен, т.е. все разделы стали неразмеченные, что соответственно очень усложняет задачу по восстановлению (если это возможно конечно) винды. и восстановление файлов на харде.
в Windows качественное ограничение на запись в реестр далеко не всегда возможно, так как очень многие программы слишком часто используют его для сохранения всяческих своих нужд.
Единственное, что может оградить от поимки WinLock'а - это, так сказать, самоконтроль, антивирус (спасёт от случайностей и устаревших зараз) и запрет на выполнение Java-скриптов на сайтах. В Internet Exporer'е последнее вызывает жуткие трудности и неудобности. Как в других браузерах дело обстоит я не знаю, так как не пробовал, но лично я использую связку "Firefox" + "Дополнение NoScript". Очень удобное дополнение, которое позволяет очень легко контролировать выполнение скриптов на страницах. Собсно, ещё и назойливая плавающая реклама тоже обрубается... :))
А по восстановлению - тута индивидуальный подход к каждой заразе нужен. Но, как говорилось выше, есть у них протоптанные дорожки:
1. Если винда лочится ещё до загрузки "Приветствия", то надо чистить раздел MBR:
Надо загрузиться с виндового диска в консоль восстановления и проделать там пару команд:
Для Windows 7:
Bootrec.exe /FixMbr
Bootrec.exe /FixBoot
Для Windows XP:
fixmbr
fixboot
2. Загрузиться с Live-CD и оттуда посмотреть разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть так:
Shell = "Explorer.exe"
Userinit = "Userinit.exe," (с запятой, после которой пусто!)
Бывает, что после запятой идёт куча пробелов и потом добавлена зараза.
Если не грузится винда после удаления, либо самоудаления заразы, то Вам именно в Userinit = "Userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Должно быть так:
AppInit_DLLs = "" (пусто)
Хотя туда часто прописываются "полезные" (это ещё смотря с какой стороны посмотреть) программы, такие как Касперыч и ЛовиВКонтакте.
3. Если винда после этих манипуляций успешно загрузилась, то сразу проверяем файл hosts:
Кста, это можно сделать и автоматически в следующем пункте, но тогда есть риск, что, например, придётся потом Админу перенастраивать параметры доступа к серверу.., ну или, безусловно гораздо более важное, потерять бесплатные лицензии на вылеченное программное обеспечение...
В общем, идём сюды:
C:\Windows\System32\drivers\etc
тута лежит файл "hosts", он без расширения и открывается с помощью Блокнота. В Windows 7 для его редактирования нужно обладать правами Администратора. Соответственно Блокнот надо запускать от имени Администратора.., ну или переместить этот файлик, например, на рабочий стол, отредактировать и после вернуть обратно... ;))
Обычно, в этом файле есть текст, который слева обозначен решёткой "#" - это закомментированные строки, нас они не волнуют, а волнуют те, что ниже, без решёток - обычно, там только одна такая строка:
127.0.0.1 localhost
либо ваще их нету. Но если у вас есть пиратское программное обеспечение, то, скорее всего, этих строк там будет несколько (так "отключается" доступ к адресам в Интернете для проверки лицензий). В общем, надо определить нужные строки, а все остальные, если есть, удалить!
При этот бывает, что зараза скрывается за многими пустыми строками снизу, то есть если окно блокнота прокручивается вниз, то снизу что-то будет и надо это что-то удалить!
Единственное, что может оградить от поимки WinLock'а - это, так сказать, самоконтроль, антивирус (спасёт от случайностей и устаревших зараз) и запрет на выполнение Java-скриптов на сайтах. В Internet Exporer'е последнее вызывает жуткие трудности и неудобности. Как в других браузерах дело обстоит я не знаю, так как не пробовал, но лично я использую связку "Firefox" + "Дополнение NoScript". Очень удобное дополнение, которое позволяет очень легко контролировать выполнение скриптов на страницах. Собсно, ещё и назойливая плавающая реклама тоже обрубается... :))
А по восстановлению - тута индивидуальный подход к каждой заразе нужен. Но, как говорилось выше, есть у них протоптанные дорожки:
1. Если винда лочится ещё до загрузки "Приветствия", то надо чистить раздел MBR:
Надо загрузиться с виндового диска в консоль восстановления и проделать там пару команд:
Для Windows 7:
Bootrec.exe /FixMbr
Bootrec.exe /FixBoot
Для Windows XP:
fixmbr
fixboot
2. Загрузиться с Live-CD и оттуда посмотреть разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть так:
Shell = "Explorer.exe"
Userinit = "Userinit.exe," (с запятой, после которой пусто!)
Бывает, что после запятой идёт куча пробелов и потом добавлена зараза.
Если не грузится винда после удаления, либо самоудаления заразы, то Вам именно в Userinit = "Userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Должно быть так:
AppInit_DLLs = "" (пусто)
Хотя туда часто прописываются "полезные" (это ещё смотря с какой стороны посмотреть) программы, такие как Касперыч и ЛовиВКонтакте.
3. Если винда после этих манипуляций успешно загрузилась, то сразу проверяем файл hosts:
Кста, это можно сделать и автоматически в следующем пункте, но тогда есть риск, что, например, придётся потом Админу перенастраивать параметры доступа к серверу.., ну или, безусловно гораздо более важное, потерять бесплатные лицензии на вылеченное программное обеспечение...
В общем, идём сюды:
C:\Windows\System32\drivers\etc
тута лежит файл "hosts", он без расширения и открывается с помощью Блокнота. В Windows 7 для его редактирования нужно обладать правами Администратора. Соответственно Блокнот надо запускать от имени Администратора.., ну или переместить этот файлик, например, на рабочий стол, отредактировать и после вернуть обратно... ;))
Обычно, в этом файле есть текст, который слева обозначен решёткой "#" - это закомментированные строки, нас они не волнуют, а волнуют те, что ниже, без решёток - обычно, там только одна такая строка:
127.0.0.1 localhost
либо ваще их нету. Но если у вас есть пиратское программное обеспечение, то, скорее всего, этих строк там будет несколько (так "отключается" доступ к адресам в Интернете для проверки лицензий). В общем, надо определить нужные строки, а все остальные, если есть, удалить!
При этот бывает, что зараза скрывается за многими пустыми строками снизу, то есть если окно блокнота прокручивается вниз, то снизу что-то будет и надо это что-то удалить!
Лучше всего сделать загрузочную флешку с системой WinPE.
Для этого надо флешку не меньше гига и образ SV-MicroPE 2k10 PlusPack CD/USB.
С помощью нехитрых операций залить образ на флешку, как написано описании к раздаче , а затем
1. Загружаемся под сборкой.
2. Сначала чистим систему AntiWinLocker (раздел "Антивирусные утилиты"). В ней всё просто - используем автоматический режим. Если обнаружена подмена системных файлов - исправляем их. Скорее всего, вирус обнаружен и ликвидирован, но на этом останавливаться не стоит.
3. Запускаем SysInternals Autoruns (раздел "Системные утилиты"), в ней анализируем закладку "Вход в систему" (т.е., то, что запускается при старте винды). Особое внимание обращаем на "Издатель" и "Путь к файлу" - если издатель неизвестен (незнаком), а путь к файлу - ТЕМР-овый каталог или имя/путь к файлу не соответствуют системным - это тревожный звоночек. Пока ничего не делаем.
4. Запускаем файл-менеджер (FAR/TC), заходим в каталог винды (вначале C:Windows, потом C:WINDOWSsystem32), сортируем файлы по времени создания (Ctrl+F5) - вверху будут последние. Ищем все *.exe *.dll за последнее время (поскольку порнобаннер блокирует запуск винды, то именно его файлы могут быть "последними").
5. Сверяем инфу SysInternals Autoruns и имена из системного каталога, наличие файла в автозапуске и свежая дата - признак искомого порно-баннета. Можно сразу удалить и файл, и ветку его запуска, или для перестраховки переименовать файл и снять галочку его запуска в SysInternals Autoruns.
6. Если в SysInternals Autoruns есть запуск файлов из ТЕМР-овых каталогов пользователя, System Volume Information или RECYCLER - это 100%-но порнобаннер либо вирус, поступаем аналогично п.5.
7. Закрываем SysInternals Autoruns и файл-менеджер. После проделанных операций вирус, скорее всего, удалён. Но, чтобы предотвратить повторное заражение, нужно с помощью CCleaner (раздел "Системные утилиты") полностью очистить ТЕМР-овые файлы и кеши браузеров.
8. Последний штрих - запускаем антивирус Зайцева (раздел "Антивирусные утилиты"), в нём выбрать Файл->Восстановление системы, отмечаем по вкусу (я выбираю всё, кроме п.18-Полное пересоздание настроек SPI), "Выполнить отмеченные операции". Это позволит очистить перенаправление запросов браузеров на зараженную страничку, разблокирует реестр и защищённый режим, и т.д.
9. По желанию - проверить комп на вирусы с помощью Касперского (быстрее) или Вебера (дольше). Блокеры антивирусы не лечат (пока?).
Всё. Можно перезагружаться и проверять. Если файлы не удалялись, можно их отослать на проверку в Virustotal.com, окончательно удалить файлы локера и его записи в реестре (с помощью SysInternals Autoruns). Для предотвращения заражения рекомендуется установить FireWall или антивирус с онным.
PS Ну, и как уже советовалось, в папке "c:\Windows\System32\" "userinit.exe", "explorer.exe", "winlogon.exe" проверить файлы на предмет их подмены. Оригиналы файлов необходимо брать с установочного диска. Если накатывался сервис пак, то соответственно из него. В противном случае загрузка не гарантируется.
Для этого надо флешку не меньше гига и образ SV-MicroPE 2k10 PlusPack CD/USB.
С помощью нехитрых операций залить образ на флешку, как написано описании к раздаче , а затем
1. Загружаемся под сборкой.
2. Сначала чистим систему AntiWinLocker (раздел "Антивирусные утилиты"). В ней всё просто - используем автоматический режим. Если обнаружена подмена системных файлов - исправляем их. Скорее всего, вирус обнаружен и ликвидирован, но на этом останавливаться не стоит.
3. Запускаем SysInternals Autoruns (раздел "Системные утилиты"), в ней анализируем закладку "Вход в систему" (т.е., то, что запускается при старте винды). Особое внимание обращаем на "Издатель" и "Путь к файлу" - если издатель неизвестен (незнаком), а путь к файлу - ТЕМР-овый каталог или имя/путь к файлу не соответствуют системным - это тревожный звоночек. Пока ничего не делаем.
4. Запускаем файл-менеджер (FAR/TC), заходим в каталог винды (вначале C:Windows, потом C:WINDOWSsystem32), сортируем файлы по времени создания (Ctrl+F5) - вверху будут последние. Ищем все *.exe *.dll за последнее время (поскольку порнобаннер блокирует запуск винды, то именно его файлы могут быть "последними").
5. Сверяем инфу SysInternals Autoruns и имена из системного каталога, наличие файла в автозапуске и свежая дата - признак искомого порно-баннета. Можно сразу удалить и файл, и ветку его запуска, или для перестраховки переименовать файл и снять галочку его запуска в SysInternals Autoruns.
6. Если в SysInternals Autoruns есть запуск файлов из ТЕМР-овых каталогов пользователя, System Volume Information или RECYCLER - это 100%-но порнобаннер либо вирус, поступаем аналогично п.5.
7. Закрываем SysInternals Autoruns и файл-менеджер. После проделанных операций вирус, скорее всего, удалён. Но, чтобы предотвратить повторное заражение, нужно с помощью CCleaner (раздел "Системные утилиты") полностью очистить ТЕМР-овые файлы и кеши браузеров.
8. Последний штрих - запускаем антивирус Зайцева (раздел "Антивирусные утилиты"), в нём выбрать Файл->Восстановление системы, отмечаем по вкусу (я выбираю всё, кроме п.18-Полное пересоздание настроек SPI), "Выполнить отмеченные операции". Это позволит очистить перенаправление запросов браузеров на зараженную страничку, разблокирует реестр и защищённый режим, и т.д.
9. По желанию - проверить комп на вирусы с помощью Касперского (быстрее) или Вебера (дольше). Блокеры антивирусы не лечат (пока?).
Всё. Можно перезагружаться и проверять. Если файлы не удалялись, можно их отослать на проверку в Virustotal.com, окончательно удалить файлы локера и его записи в реестре (с помощью SysInternals Autoruns). Для предотвращения заражения рекомендуется установить FireWall или антивирус с онным.
PS Ну, и как уже советовалось, в папке "c:\Windows\System32\" "userinit.exe", "explorer.exe", "winlogon.exe" проверить файлы на предмет их подмены. Оригиналы файлов необходимо брать с установочного диска. Если накатывался сервис пак, то соответственно из него. В противном случае загрузка не гарантируется.
в Windows качественное ограничение на запись в реестр далеко не всегда возможно, так как очень многие программы слишком часто используют его для сохранения всяческих своих нужд.
Единственное, что может оградить от поимки WinLock'а - это, так сказать, самоконтроль, антивирус (спасёт от случайностей и устаревших зараз) и запрет на выполнение Java-скриптов на сайтах. В Internet Exporer'е последнее вызывает жуткие трудности и неудобности. Как в других браузерах дело обстоит я не знаю, так как не пробовал, но лично я использую связку "Firefox" + "Дополнение NoScript". Очень удобное дополнение, которое позволяет очень легко контролировать выполнение скриптов на страницах. Собсно, ещё и назойливая плавающая реклама тоже обрубается... :))
А по восстановлению - тута индивидуальный подход к каждой заразе нужен. Но, как говорилось выше, есть у них протоптанные дорожки:
1. Если винда лочится ещё до загрузки "Приветствия", то надо чистить раздел MBR:
Надо загрузиться с виндового диска в консоль восстановления и проделать там пару команд:
Для Windows 7:
Bootrec.exe /FixMbr
Bootrec.exe /FixBoot
Для Windows XP:
fixmbr
fixboot
2. Загрузиться с Live-CD и оттуда посмотреть разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть так:
Shell = "Explorer.exe"
Userinit = "Userinit.exe," (с запятой, после которой пусто!)
Бывает, что после запятой идёт куча пробелов и потом добавлена зараза.
Если не грузится винда после удаления, либо самоудаления заразы, то Вам именно в Userinit = "Userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Должно быть так:
AppInit_DLLs = "" (пусто)
Хотя туда часто прописываются "полезные" (это ещё смотря с какой стороны посмотреть) программы, такие как Касперыч и ЛовиВКонтакте.
3. Если винда после этих манипуляций успешно загрузилась, то сразу проверяем файл hosts:
Кста, это можно сделать и автоматически в следующем пункте, но тогда есть риск, что, например, придётся потом Админу перенастраивать параметры доступа к серверу.., ну или, безусловно гораздо более важное, потерять бесплатные лицензии на вылеченное программное обеспечение...
В общем, идём сюды:
C:\Windows\System32\drivers\etc
тута лежит файл "hosts", он без расширения и открывается с помощью Блокнота. В Windows 7 для его редактирования нужно обладать правами Администратора. Соответственно Блокнот надо запускать от имени Администратора.., ну или переместить этот файлик, например, на рабочий стол, отредактировать и после вернуть обратно... ;))
Обычно, в этом файле есть текст, который слева обозначен решёткой "#" - это закомментированные строки, нас они не волнуют, а волнуют те, что ниже, без решёток - обычно, там только одна такая строка:
127.0.0.1 localhost
либо ваще их нету. Но если у вас есть пиратское программное обеспечение, то, скорее всего, этих строк там будет несколько (так "отключается" доступ к адресам в Интернете для проверки лицензий). В общем, надо определить нужные строки, а все остальные, если есть, удалить!
При этот бывает, что зараза скрывается за многими пустыми строками снизу, то есть если окно блокнота прокручивается вниз, то снизу что-то будет и надо это что-то удалить!
Единственное, что может оградить от поимки WinLock'а - это, так сказать, самоконтроль, антивирус (спасёт от случайностей и устаревших зараз) и запрет на выполнение Java-скриптов на сайтах. В Internet Exporer'е последнее вызывает жуткие трудности и неудобности. Как в других браузерах дело обстоит я не знаю, так как не пробовал, но лично я использую связку "Firefox" + "Дополнение NoScript". Очень удобное дополнение, которое позволяет очень легко контролировать выполнение скриптов на страницах. Собсно, ещё и назойливая плавающая реклама тоже обрубается... :))
А по восстановлению - тута индивидуальный подход к каждой заразе нужен. Но, как говорилось выше, есть у них протоптанные дорожки:
1. Если винда лочится ещё до загрузки "Приветствия", то надо чистить раздел MBR:
Надо загрузиться с виндового диска в консоль восстановления и проделать там пару команд:
Для Windows 7:
Bootrec.exe /FixMbr
Bootrec.exe /FixBoot
Для Windows XP:
fixmbr
fixboot
2. Загрузиться с Live-CD и оттуда посмотреть разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon
Должно быть так:
Shell = "Explorer.exe"
Userinit = "Userinit.exe," (с запятой, после которой пусто!)
Бывает, что после запятой идёт куча пробелов и потом добавлена зараза.
Если не грузится винда после удаления, либо самоудаления заразы, то Вам именно в Userinit = "Userinit.exe,"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Должно быть так:
AppInit_DLLs = "" (пусто)
Хотя туда часто прописываются "полезные" (это ещё смотря с какой стороны посмотреть) программы, такие как Касперыч и ЛовиВКонтакте.
3. Если винда после этих манипуляций успешно загрузилась, то сразу проверяем файл hosts:
Кста, это можно сделать и автоматически в следующем пункте, но тогда есть риск, что, например, придётся потом Админу перенастраивать параметры доступа к серверу.., ну или, безусловно гораздо более важное, потерять бесплатные лицензии на вылеченное программное обеспечение...
В общем, идём сюды:
C:\Windows\System32\drivers\etc
тута лежит файл "hosts", он без расширения и открывается с помощью Блокнота. В Windows 7 для его редактирования нужно обладать правами Администратора. Соответственно Блокнот надо запускать от имени Администратора.., ну или переместить этот файлик, например, на рабочий стол, отредактировать и после вернуть обратно... ;))
Обычно, в этом файле есть текст, который слева обозначен решёткой "#" - это закомментированные строки, нас они не волнуют, а волнуют те, что ниже, без решёток - обычно, там только одна такая строка:
127.0.0.1 localhost
либо ваще их нету. Но если у вас есть пиратское программное обеспечение, то, скорее всего, этих строк там будет несколько (так "отключается" доступ к адресам в Интернете для проверки лицензий). В общем, надо определить нужные строки, а все остальные, если есть, удалить!
При этот бывает, что зараза скрывается за многими пустыми строками снизу, то есть если окно блокнота прокручивается вниз, то снизу что-то будет и надо это что-то удалить!
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот