Борьба с winlock (часть 2)
Я уже писал, что ко мне за одно утро обратилось два страдальца, у которых работа Windows была заблокирована вредными программами. Эти программки по сети рассылают вымогатели денег. Обычно эти вредные программки не портят данные на компьютере, а только запускаются из раздела автозапуска операционной системы. Программки эти относятся к классу winlock (блокировщики Windows). На сайтах антивирусных компаний есть бесплатная помощь в типа Deblocker (разблокировщик). Это небольшой справочник по известным кодам, которыми снимается блокировка. Но база данных этого средства не так свежа и иногда не находит подходящего кода-отмычки к очень свежей блокировке :(
успехи и неудачи в борьбе с вредным winlock (фото)
После нескольких телефонных консультаций один из обратившихся ко мне, решил найти более компетентного специалиста, т.к. прочитанные мною коды с антивирусного сайта не подошли. Вообще картина была как из шпионского фильма. Я диктую по телефону последовательности цифр, временами вставляя ремарку "следующий код" :)
Другой товарищ решил притащить ко мне системный блок и сказал: "Сделай хоть что-нибудь!" Через некоторое время он позвонил и пересказал совет одного специалиста. Мол, есть бесплатная горячая телефонная линия. Звонишь по телефону 8-800-100-73-37 и тебе помогают разблокировать компьютер.
Для верности я погуглил названный номер и нашёл сайт Службы поддержки абонентов, где действительно обещают помочь.
Я бы испытал эту помощь. Да проблема в том, что вход в Windows у товарища запаролен, а сам он уехал из города и по телефону не отвечает.
Пришлось вспомнить всё доброе и умное, что я вычитал по теме разблокирования за последние сутки. Среди разных советов была рекомендация загрузиться с антивирусного Live-CD, образ которого бесплатно можно скачать с антивирусного сайта. Просканировать антивирусником винчестер с заблокированной операционкой и ещё поискать на том винчестере зловредную программку, которая маскируется под видео-файл.
Я загрузился с CD-ROM, на котором есть DrWeb. Диск старенький, аж 2008 года. Антивирусные базы уже не актуальны. Да и DrWeb сам отказывается искать вирусы, ссылаясь на то, то его ключ устарел несколько месяцев назад.
Ладно, будем ловить почти голыми руками :) Я запустил Midnight Commander (аналог Total Commander, Far или Norton Commander), который чьими-то заботливыми руками включен в состав программ на LiveCD. И с помощью этого манипулятора файлов стал искать на винчестере файл по маске *.avi.*, т.е. с любым расширением и любым именем оканчивающимся на ".avi". Кое-что удалось выловить. Посмотрите сами на скриншот:
Весь список найденных по маске названий состоит из линков на фильмы, которые пользователи смотрели из сети. А последнее название, кажется, то самое, что и требовалось отыскать. Название xxx_video_603.avi.exe очень подходит под описание, которое мне встречалось в рекомендациях борцов с винлоком. Возможно из этого файла и запускается тот процесс, который в Диспетчере задач виделся как hellop.
Глядя на путь к файлу, можно догадаться о его происхождении на винчестере. Пользователь к себе на компьютер вытянул его из интернета, когда шарился по его бескрайним просторам с помощью браузера Opera.
Подозрительный файл я без сожаления удалил и на этом работу пока приостановил. Буду ждать, когда отзовётся хозяин компьютера и назовёт пароль. Тогда загружусь с винчестера и посмотрю на дело рук своих. Убил я заразу или нет.