Вбиваємо вінлокер своїми руками
Останнім часом вінлокери стали ще більш поширеним явищем. Раніше можна було скористатися сервісами від лабораторій Касперського або Доктора Веб, але зараз генерація ключів втратила колишню оперативність через частого поновлення вінлокеров і зміни механізмів вимагання. Так само, як раніше, не завжди можливо лікування через безпечний режим, тому що файл вінлокера записується в автозавантаження замість оболонки, explorer.exe:
Тобто при завантаженні як в звичайному, так і в безпечному режимі замість штатної оболонки explorer.exe завантажується вірус.
Як нам вилікуватися? Для того щоб вилікуватися, потрібно запустити систему в режимі: "Безпечний режим з підтримкою командного рядка"
Для доступу до меню режиму запуску слід затиснути F8 після перезавантаження комп'ютера.
Після запуску в обраному режимі нас зустріне командний рядок.
Додано через 9 хвилин
Нагадаю, що краще буде все таки звернутися за допомогою в відповідну тему. щоб не угробити систему самостійним лікуванням остаточно.
Так само можна використовувати не безпечний режим, а Live-диски для аварійного відновлення системи, такі як Alkid Live CD або ERD Commander. Ось витяг зі статті з netler.ru.
- натисніть Start -> Administrative Tools -> RegEdit;
- у вікні ERD Commander RegistryEditor розкрийте розділ
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon];
- виправте (при необхідності) значення строкового (REG_SZ) параметра Shell (значенням якого, як правило, є шлях до виконуваного файлу вірусу) на Explorer.exe;
- перевірте значення строкового (REG_SZ) параметра Userinit, - повинно бути
C: \ Windows \ system32 \ userinit.exe, (якщо система встановлена на диску C: \, якщо на іншому диску, то <буква_диска>: \ Windows \ system32 \ userinit.exe,);
- розкрийте розділ [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run];
- видаліть (якщо вони там присутні) параметри завантаження вірусу;
- закрийте ERD Commander RegistryEditor;
- натисніть Start -> Log Off -> Restart -> OK.
- під час перезавантаження натисніть Delete для входу в CMOS Setup Utility;
- встановіть завантаження ПК з вінчестера, натисніть F10, санкціонуйте зроблені зміни, почнеться перезавантаження;
- завантажте Windows в звичайному режимі (якщо після перезавантаження ПК з'явиться BSOD, вимкніть ПК за допомогою кнопки Power на системному блоці і знову ввімкніть);
- натисніть Пуск -> Виконати ... -> в полі Відкрити введіть regsvr32 / i shell32.dll -> OK;
- з'явиться вікно RegSvr32 з повідомленням «DllRegisterServer and DllInstall в shell32.dll завершено успішно», натисніть OK;
Провівши невелике дослідження, я зрозумів, що все таки механізми актуальних вінлокеров дещо відрізняються. Як-небудь класифікувати їх я не буду, тут досить зображення самого банера блокувальника.
Почнемо з ось такого примірника:
Що ж робити?
Необхідно видалити файл і всі посилання на нього за допомогою UVS:
А так же видалити посилання на файл calc.exe:
Для виклику контекстного меню необхідно натиснути правою кнопкою миші на рядку.
Після цього потрібно реанімувати автозапуск оболонки windows.
для цього в UVS йдемо Додатково -> Твики (або сполучення клавіш Alt + T)
І клацнути на Пукто 12. Скидання ключа Winlogon в початковий стан
У цій статті розглянемо екземпляр вінлокера, зображення якого можна побачити на скрині вище.
Як і попередній зловредів, цей блокує нормальну роботу операційної системи, прописує себе в автозавантаження замість стандартної оболонки explorer.exe для звичайного і безпечного режимів.
Минулого разу ми навчилися прибирати банер з допомогою програми Universal Virus Sniffer. На цей раз ми розглянемо схожий інструмент - AVZ.
І так, викачуємо AVZ звідси на флешку, запускаємо комп'ютер в безпечному режимі з підтримкою командного рядка, вводимо explorer.exe, знаходимо avz, запускаємо.
Починати сканування системи не обов'язково, нам потрібен пункт "Відновлення системи":
Після виконання лікування програма нас повідомить про завершення. Можна перезавантажувати комп'ютер і насолоджуватися відсутністю банера. Залишилося тільки провести сканування системи антивірусом для видалення залишків інфекції.