Свежачок-с...
Обнаружил у очередного юзера "апгрейженую версию" куклы Джима: посреди экрана окно, перекрывающее все за ним. Свернуть или закрыть его нельзя. В окне якобы результаты проверки компа на вирусы, причем результаты неутешительные. Также там присутствует текст "Внимание! Internet Security обнаружил вредоносное ПО на вашем компьютере" и ля-ля на тему того, что сей чудодейственный Internet Security не зарегистрирован и необходимо отправить SMS с кодом на некий номер.
Первая хрень за два последних года, которую не удалось сходу побороть. Отчасти, ввиду отсутствия под рукой автономной перационки на флешке\диске. Этот зверь даже закрывает любую активную задачу, если там есть название антивируса и/или текст из окна вируса. Так что лечить в горячем режиме практически нереально.
Как забороть:
Нужен какой-нить WinPE (я по привычке юзал Alkid LiveCD). Загружаемся, через ERD Commander цепляем каталог нашей винды и запускаем редактор реестра.
Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, пункт AppInit_DLLs и убеждаемся, что там прописан файл .chm, физически лежащий в каталоге C:\WINDOWS\Help\. Стираем значение этого параметра, а файл (он скрытый) удаляем.
Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, проверяем пункты Userinit и Shell. Необходимо, чтобы значение Userinit было строго C:\WINDOWS\system32\userinit.exe,, а значение Shell было строго Explorer.exe. Все прочее из этих пунктов необходимо убрать, а прописанные дополнительно файлы найти и удалить.
После этого перезагружаемся и гоняем системный диск DrWeb Cure It! и/или Kaspersky Virus Removal Tool 2010 (максимально свежими версиями). Подойдет KIS 2010. (Dr.Web 4, 5 и более поздние версии Кашперовского не видят в упор. NOD не пробовал. Но в процессе жизнидеятельности вирь купировал его на ура.)
Возможно, найдутся несколько вирусных DLL'ок в каталоге винды и в пользовательских профилях. Вирус может опознаваться как Trojan.Winlock.xxx (где xxx - цифра). У меня утилиты остались голодными - зверя прибил вручную.
Возможно, что вирус заблокирует Диспетчер задач. Разблокировка несложная - в редакторе реестра ищем HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System и удаляем или приравниваем к нулю пункт DisableTaskMgr.
Если после лечения при попытке запустить антивирус (проверено на NOD'е и Касперском) получаем сообщение "Невозможно открыть данную программу из-за политики ограниченного применения программного обеспечения. За дополнительной информацией обратитесь системному администратору или откройте "Просмотр событий", то идем в Панель управления --> Администрирование --> Просмотр событий и ищем событие, источником которого является Software Restriction Policies. Читаем событие и в тексте видим строчку, заключенную в фигурные скобки. Запускаем поиск по реестру этой строчки и удаляем ветку реестра с таким названием. После чего антивирус нормально запустится. При необходимости, повторить для всех заблокированных таким образом программ.
Первая хрень за два последних года, которую не удалось сходу побороть. Отчасти, ввиду отсутствия под рукой автономной перационки на флешке\диске. Этот зверь даже закрывает любую активную задачу, если там есть название антивируса и/или текст из окна вируса. Так что лечить в горячем режиме практически нереально.
Как забороть:
Нужен какой-нить WinPE (я по привычке юзал Alkid LiveCD). Загружаемся, через ERD Commander цепляем каталог нашей винды и запускаем редактор реестра.
Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, пункт AppInit_DLLs и убеждаемся, что там прописан файл .chm, физически лежащий в каталоге C:\WINDOWS\Help\. Стираем значение этого параметра, а файл (он скрытый) удаляем.
Ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, проверяем пункты Userinit и Shell. Необходимо, чтобы значение Userinit было строго C:\WINDOWS\system32\userinit.exe,, а значение Shell было строго Explorer.exe. Все прочее из этих пунктов необходимо убрать, а прописанные дополнительно файлы найти и удалить.
После этого перезагружаемся и гоняем системный диск DrWeb Cure It! и/или Kaspersky Virus Removal Tool 2010 (максимально свежими версиями). Подойдет KIS 2010. (Dr.Web 4, 5 и более поздние версии Кашперовского не видят в упор. NOD не пробовал. Но в процессе жизнидеятельности вирь купировал его на ура.)
Возможно, найдутся несколько вирусных DLL'ок в каталоге винды и в пользовательских профилях. Вирус может опознаваться как Trojan.Winlock.xxx (где xxx - цифра). У меня утилиты остались голодными - зверя прибил вручную.
Возможно, что вирус заблокирует Диспетчер задач. Разблокировка несложная - в редакторе реестра ищем HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System и удаляем или приравниваем к нулю пункт DisableTaskMgr.
Если после лечения при попытке запустить антивирус (проверено на NOD'е и Касперском) получаем сообщение "Невозможно открыть данную программу из-за политики ограниченного применения программного обеспечения. За дополнительной информацией обратитесь системному администратору или откройте "Просмотр событий", то идем в Панель управления --> Администрирование --> Просмотр событий и ищем событие, источником которого является Software Restriction Policies. Читаем событие и в тексте видим строчку, заключенную в фигурные скобки. Запускаем поиск по реестру этой строчки и удаляем ветку реестра с таким названием. После чего антивирус нормально запустится. При необходимости, повторить для всех заблокированных таким образом программ.