Ваш windows заблокирован вирус

Баннер-вымогатель — казнить, нельзя помиловать

Баннеры «Windows заблокирован — для разблокировки отправьте СМС» и их многочисленные вариации безмерно любят ограничивать права доступа вольных пользователей ОС Windows. При этом зачастую стандартные способы выхода из неприятной ситуации – корректировка проблемы из Безопасного режима, коды разблокировки на сайтах ESET и DR Web, как и перенос времени на часах BIOS в будущее далеко не всегда срабатывают.

Неужели придется переустанавливать систему или платить вымогателям? Конечно, можно пойти и простейшим путем, но не лучше ли нам попробовать справиться с навязчивым монстром по имени Trojan.WinLock собственными силами и имеющимися средствами, тем более что проблему можно попытаться решить достаточно быстро и совершенно бесплатно.

С кем боремся?

Первые программы-вымогатели активизировались в декабре 1989 года. Многие пользователи получили тогда по почте дискетки, предоставляющие информацию о вирусе СПИДа. После установки небольшой программы система приходила в неработоспособное состояние. За её реанимацию пользователям предлагали раскошелиться. Вредоносная деятельность первого SMS-блокера, познакомившего пользователей с понятием “синий экран смерти” была отмечена в октябре 2007 года.

Trojan.Winlock (Винлокер) — представитель обширного семейства вредоносных программ, установка которых приводит к полной блокировке или существенному затруднению работы с операционной системой. Используя успешный опыт предшественников и передовые технологии разработчики винлокеров стремительно перевернули новую страницу в истории интернет-мошенничества. Больше всего модификаций вируса пользователи получили зимой 2009-2010 гг, когда по данным статистики был заражен ни один миллион персональных компьютеров и ноутбуков. Второй пик активности пришелся на май 2010 года. Несмотря на то, что число жертв целого поколения троянцев Trojan.Winlock в последнее время значительно сократилось, а отцы идеи заключены под стражу, проблема по-прежнему актуальна.

Число различных версий винлокеров превысило тысячи. В ранних версиях (Trojan.Winlock 19 и др.) злоумышленники требовали за разблокировку доступа 10 рублей. Отсутствие любой активности пользователя спустя 2 часа приводило к самоудалению программы, которая оставляла после себя лишь неприятные воспоминания. С годами аппетиты росли, и для разблокировки возможностей Windows в более поздних версиях требовалось уже 300 – 1000 рублей и выше, о самоудалении программы разработчики скромно забыли.

В качестве вариантов оплаты пользователю предлагается СМС – платеж на короткий номер или же электронный кошелек в системах WebMoney, Яндекс Деньги. Фактором, “стимулирующим” неискушенного пользователя совершить платеж становится вероятный просмотр порносайтов, использование нелицензионного ПО… А для повышения эффективности текст-обращение вымогателя содержит угрозы уничтожить данные на компьютере пользователя при попытке обмануть систему.

Пути распространения Trojan.Winlock

В большинстве случаев заражение происходит в связи с уязвимостью браузера. Зона риска – все те же “взрослые” ресурсы. Классический вариант заражения – юбилейный посетитель с ценным призом. Еще один традиционный путь инфицирования – программы, маскирующиеся под авторитетные инсталляторы, самораспаковывающиеся архивы, обновления – Adobe Flash и пр. Интерфейс троянов красочен и разнообразен, традиционно используется техника маскировки под окна антивирусной программы, реже — анимация и др.

Среди общего многообразия встречающихся модификаций, Trojan.Winlock можно разделить на 3 типа:

1. Порноиформеры или баннеры, заставляющиеся только при открывании окна браузера.
2. Баннеры, остающиеся на рабочем столе после закрытия браузера.
3. Баннеры, появляющиеся после загрузки рабочего стола Windows и блокирующие запуск диспетчера задач, доступ к редактору реестра, загрузку в безопасном режиме, а в отдельных случаях – и клавиатуру.

В последнем случае для совершения минимума нехитрых манипуляций, нужных злоумышленнику, в распоряжении пользователя остается мышь для ввода кода на цифровом экранном интерфейсе.

Вредные привычки Trojan.Winlock

Для обеспечения распространения и автозапуска вирусы семейства Trojan.Winlock модифицируют ключи реестра:

-[…\Software\Microsoft\Windows\CurrentVersion\Run] ‘svhost’ = ‘%APPDATA%\svhost\svhost.exe’
-[…\Software\Microsoft\Windows\CurrentVersion\Run] ‘winlogon.exe’ = ‘<SYSTEM 32>\winlogon.exe’

С целью затруднения обнаружения в системе вирус блокирует отображение срытых файлов, создает и запускает на исполнение:

• %APPDATA%\svhost\svhost.exe

Запускает на исполнение:

• <SYSTEM 32>\winlogon.exe
• %WINDIR%\explorer.exe
• <SYSTEM 32>\cmd.exe /c «»»%TEMP%\uAJZN.bat»» «
• <SYSTEM 32>\reg.exe ADD «HKCU\Software\Microsoft\Windows\CurrentVersion\Run» /v «svhost» /t REG_SZ /d «%APPDATA%\svhost\svhost.exe» /f

Завершает или пытается завершить системный процесс:

• %WINDIR%\Explorer.EXE

Вносит изменения в файловую систему:

Создает следующие файлы:

• %APPDATA%\svhost\svhost.exe
• %TEMP%\uAJZN.bat

Присваивает атрибут ‘скрытый’ для файлов:

• %APPDATA%\svhost\svhost.exe

Ищет окна:

• ClassName: ‘Shell_TrayWnd’ WindowName: »
• ClassName: ‘Indicator’ WindowName: »

Лечение. Способ 1-й. Подбор кодовой комбинации по платежным реквизитам или номеру телефона

Распространенность и острота проблемы подтолкнула разработчиков антивирусных программ к поиску эффективных решений проблемы. Так на сайте Dr.Web в открытом доступе представлен интерфейс разблокировки в виде окошка, куда нужно ввести номер телефона или электронного кошелька, используемые для вымогательства. Ввод соответствующих данных в окошко (см. рис. ниже) при наличии вируса в базе позволит получить желаемый код.

Картинка с сайта: habr.com

Способ 2. Поиск нужного кода разблокировки по изображению в базе данных сервиса Dr.Web

На другой странице сайта авторы представили еще один вариант выбора — готовую базу кодов разблокировки для распространенных версий Trojan.Winlock, классифицируемых по изображениям.

Аналогичный сервис поиска кодов представлен антивирусной студией ESET, где собрана база из почти 400 000 тысяч вариантов кодов разблокировки и лабораторией Касперского, предложившей не только доступ к базе кодов, но и собственную лечащую утилиту — Kaspersky WindowsUnlocker.

Способ 3. Утилиты – разблокировщики

Сплошь и рядом встречаются ситуации, когда из-за активности вируса или сбоя системы Безопасный режим с поддержкой командной строки, позволяющий провести необходимые оперативные манипуляции оказывается недоступным, а откат системы по каким-то причинам также оказывается невозможным. В таких случаях Устранение неполадок компьютера и Диск восстановления Windows оказываются бесполезны, и приходится задействовать возможности восстановления с Live CD.

Для разрешения ситуации рекомендуется использовать специализированную лечащую утилиту, образ которой потребуется загрузить с компакт диска или USB-накопителя. Для этого соответствующая возможность загрузки должна быть предусмотрена в BIOS. После того, как загрузочному диску с образом в настройках БИОС будет задан высший приоритет, первыми смогут загрузиться CD-диск или флэшка с образом лечащей утилиты.

В общем случае зайти в БИОС на ноутбуке чаще всего удается при помощи клавиши F2, на ПК – DEL/DELETE, но клавиши и их сочетания для входа могут отличаться (F1, F8, реже F10, F12…, сочетания клавиш Ctrl+Esc, Ctrl+Ins, Ctrl+Alt, Ctrl+Alt+Esc и др.). Узнать сочетание клавиш для входа можно, отслеживая текстовую информацию в нижней левой области экрана в первые секунды входа. Подробнее о настройках и возможностях BIOS различных версий можно узнать здесь.

Поскольку работу мышки поддерживают только поздние версии BIOS, перемещаться вверх и вниз по меню вероятнее всего придется при помощи стрелок “вверх” – “вниз”, кнопок “+” “–“, ”F5” и ”F6”.

AntiWinLockerLiveCD

Одна из самых популярных и простых утилит, эффективно справляющаяся с баннерами-вымогателями – “убийца баннеров” AntiWinLockerLiveCD вполне заслужила свою репутацию.

Основные функции программы:

• Фиксирование изменений важнейших параметров Операционной системы;
• Фиксирование присутствия в области автозагрузки не подписанных файлов;
• Защита от замены некоторых системных файлов в WindowsXP userinit.exe, taskmgr.exe;
• Защита от отключения вирусами Диспетчера задач и редактора реестра;
• Защита загрузочного сектора от вирусов типа Trojan.MBR.lock;
• Защита области подмены образа программы на другой. Если баннер не даёт загрузится Вашему компьютеру, AntiWinLocker LiveCD / USB поможет его убрать в автоматическом режиме и восстановит нормальную загрузку.

Автоматическое восстановление системы:

• Восстанавливает корректные значения во всех критических областях оболочки;
• Отключает не подписанные файлы из автозагрузки;
• Устраняет блокировку Диспетчера задач и редактора реестра;
• Очистка всех временных файлов и исполняемых файлов из профиля пользователей;
• Устранение всех системных отладчиков (HiJack);
• Восстановление файлов HOSTS к первоначальному состоянию;
• Восстановление системных файлов, если он не подписаны (Userinit, taskmgr, logonui, ctfmon);
• Перемещение всех неподписанных заданий (.job) в папку AutorunsDisabled;
• Удаление всех найденных файлов Autorun.inf на всех дисках;
• Восстановление загрузочного сектора (в среде WinPE).

Лечение с использованием утилиты AntiWinLocker LiveCD – не панацея, но один из самых простых и быстрых способов избавиться от вируса. Дистрибутив LiveCD, даже в своей облегченной бесплатной Lite версии располагает для этого всеми необходимыми инструментами – файловым менеджером FreeCommander, обеспечивающим доступ к системным файлам, доступом к файлам автозагрузки, доступом к реестру.

Программа – настоящая находка для начинающих пользователей, поскольку позволяет выбрать режим автоматической проверки и коррекции, в процессе которой вирус и последствия его активности будут найдены и нейтрализованы за несколько минут практически без участия пользователя. После перезагрузки машина будет готова продолжить работу в нормальном режиме.

Последовательность действий предельно проста:

Скачиваем файл AntiWinLockerLiveCD нужной версии на сторонний компьютер в формате ISO, вставляем CD компакт-диск в его дисковод и затем, щелкнув правой кнопкой мышки по файлу выбираем ”Открыть с помощью”, далее выбираем “Средство записи образов дисков Windows” – “Записать” и переписываем образ на CD-диск. Загрузочный диск готов.

Картинка с сайта: habr.com

• Помещаем диск с образом в дисковод заблокированного ПК/ноутбука с предварительно настроенными параметрами BIOS (см. выше);
• Ожидаем загрузки образа LiveCD в оперативную память.

Картинка с сайта: habr.com

• После запуска окна программы выбираем заблокированную учетную запись;
• Выбираем для обработки данных версию Professional или Lite. Бесплатная версия (Lite) подходит для решения почти всех поставленных задач;
• После выбора версии выбираем диск, на котором установлен заблокированный Windows (если не выбран программой автоматически), учетную запись Пользователя, используемую ОС и устанавливаем параметры поиска.

Для чистоты эксперимента можно отметить галочками все пункты меню, кроме последнего (восстановить загрузочный сектор).

Нажимаем ”Старт”/”Начать лечение”.

Ожидаем результатов проверки. Проблемные файлы по ее окончании будут подсвечены на экране красным цветом.

Картинка с сайта: habr.com

Как мы и предполагали, особое внимание при поиске вируса в приведенном примере программа уделила традиционным ареалам его обитания. Утилитой зафиксированы изменения в параметрах Shell, отвечающих за графическую оболочку ОС. После лечения и закрытия всех окон программы в обратном порядке, нажатия кнопки ”Выход” и перезагрузки знакомая заставка Windows вновь заняла свое привычное положение. Наша проблема решена успешно.

В числе дополнительных полезных инструментов программы:

• Редактор реестра;
• Командная строка;
• Диспетчер задач;
• Дисковая утилита TestDisk;
• AntiSMS.

Проверка в автоматическом режиме утилитой AntiWinLockerLiveCD не всегда дает возможность обнаружить блокировщика.
Если автоматическая чистка не принесла результатов, вы всегда можете воспользоваться возможностями Менеджера Файлов, проверив пути C: или D:\Documents and Settings\Имя пользователя\Local Settings\Temp (Для ОС Windows XP) и С: или D:\Users\Имя пользователя\AppData\Local\Temp (Для Windows 7). Если баннер прописался в автозагрузке, есть возможность анализа результатов проверки в ручном режиме, позволяющего отключить элементы автозагрузки.

Картинка с сайта: habr.com

Trojan.Winlock, как правило, не зарывается слишком глубоко, и достаточно предсказуем. Все, что нужно для того, чтобы напомнить ему свое место – пару хороших программ и советов, ну и, конечно же, осмотрительность в безграничном киберпространстве.

Профилактика

Чисто не там, где часто убирают, а там, где не сорят! — Верно сказано, а в случае с веселым троянцем, как никогда! Для того, чтобы свести к минимуму вероятность заразы стоит придерживаться нескольких простых и вполне выполнимых правил.

Пароль для учетной записи Админа придумайте посложней, что не позволит прямолинейному зловреду подобрать его методом простейшего перебора.

В настройках браузера отметьте опцию очищения кэша после сеанса, запрет на исполнение файлов из временных папок браузера и пр.

Всегда имейте под рукой лечайщий диск/флэшку LiveCD (LiveUSB), записанную с доверенного ресурса (торрента).

Сохраните установочный диск с виндой и всегда помните, где он находится. В час «Ч» из командной строки вы сможете восстановить жизненно важные файлы системы до исходного состояния.

Не реже чем раз в две недели создавайте контрольную точку восстановления.

Любой сомнительный софт — кряки, кайгены и пр. запускайте под виртуальным ПК (VirtualBox и пр.). Это обеспечит возможность легко восстановить поврежденные сегменты средствами оболочки виртуального ПК.

Регулярно выполняйте резервное копирование на внешний носитель. Запретите запись в файлы сомнительным программам.
Удачи вам в начинаниях и только приятных, а главное — безопасных встреч!

Послесловие от команды iCover

Надеемся, что предоставленная в этом материале информация будет полезна читателям блога компании iCover и поможет без особого труда справиться с описанной проблемой за считанные минуты. А еще надеемся, что в нашем блоге вы найдете много полезного и интересного, сможете познакомиться с результатами уникальных тестов и экспертиз новейших гаджетов, найдете ответы на самые актуальные вопросы, решение которых зачастую требовалось еще вчера.).

Разблокировка Windows, выбрав безопасный режим с поддержкой командной строки, последовательность шагов:

1. Перезагрузите систему в безопасном режиме с поддержкой командной строки. В то время как компьютер загружается нажимайте » клавишу F8 » на вашей клавиатуре несколько раз. Это приведет вас к «Меню дополнительных вариантов загрузки Windows«, как показано ниже. Применить клавиши со стрелками для перехода на безопасный режим с поддержкой командной строки, а затем нажмите Enter. Внимание! Вы должны зайти под тем же именем, что и ранее заходили в систему с в нормальном режиме Windows. 

Картинка с сайта: super-itservice.ru

2. Ждите пока не пройдет полностью загрузка ОС Windows и не появится окно с командной строкой, как показано на скриншоте ниже. В командной строке нужно прописать » Regedit «(без кавычек) и нажмите Enter.

Картинка с сайта: super-itservice.ru

3. Найдите следующий параметр реестра:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \

В правой панели выберите ключ реестра под названием Shell. Щелкните правой кнопкой мыши на этом ключе реестра и выберите Изменить.

Картинка с сайта: super-itservice.ru

Значение по умолчанию: Explorer.exe.

Теперь вы должны изменить значение данных на iexplore.exe. Нажмите OK, чтобы сохранить изменения и закрыть редактор реестра. 

Теперь вернемся в » Обычный режим «. Для того, чтобы перезагрузить компьютер, введите в командной строке команду » shutdown / R / T 0 «(без кавычек) и нажмите Enter. 

4. Как только Виндовс загрузиться вы не увидите никаких значков на рабочем столе. Не паникуйте, эта проблема будет решена в ближайшее время. Прежде всего, используйте комбинацию клавиш » Ctrl + Alt + Del «или» Ctrl + Shift + Esc «(рекомендуется) и запустить Диспетчер задач. Выберите в меню Файл → Новая задача (Выполнить …)

Картинка с сайта: super-itservice.ru

Введите iexplore и нажмите OK или нажмите кнопку Enter.

Верните его значение по умолчанию обратно на Explorer.exe .

Борьба с вирусами-блокерами
«Ваш компьютер заблокирован»

Уже несколько лет гуляет по стране, распространяется и множится новая напасть — вирусы-блокеры. Эти зловреды блокируют работу Windows, требуя от пользователя отправки платной СМС на короткий номер за прекращение своей разрушительной деятельности. Многие дурачки поддаются на этот примитивный шантаж…

Почему такое вообще возможно, и куда смотрят право­охрани­тельные органы вкупе с сотовыми операторами и сервисами коротких телефонных номеров — это другой вопрос. Почему-то кажется, что было бы желание, владельца засветившегося благодаря вирусу короткого номера можно было бы посадить далеко и надолго… Без этого, пожалуй, данное явление, имеющее в этом году все признаки эпидемии, не остановить. Ну и пользователи должны хоть немного помочь — пока находятся чудаки, соглашающиеся на отправку СМС, будут делать и вирусы-блокеры.

Но не будем о грустном. Сегодня наша задача — не юридические тонкости, а избавление системы от поселившегося в ней вируса-блокера без глупейшей отправки денег (а это могут быть сотни рублей) вымогателю. И тут возможны разные варианты.

Сервисы деактивации

Самый простой способ быстро разблокировать Windows, например, для того, чтобы срочно продолжить работу или даже скачать свежий антивирус — это воспользоваться специальными сервисами деактивации блокеров. Дело в том, что большая часть блокеров уже хорошо известна анти­вирусным компаниям, причём вместе с кодами их разблокировки.

Напомню для тех, кто не в курсе — после того, как поддавшийся на шантаж пользователь отправит платную СМС вымогателю, ему, по идее, должна придти ответная СМС с неким буквенно-цифровым кодом, который надо ввести в специальную форму окна вируса, дабы он отключился и разрешил работать в системе. Что самое интересное — сам вирус при этом обычно не уничтожается, а спокойно сидит в памяти ПК, и ещё неизвестно, что он там может в дальнейшем наделать. Поэтому разблокировка с помощью кода — это экстренная мера, пред­наз­наченная для быстрого возобновления работы системы, но никоим образом не отменяющая последующей её зачистки от остатков вируса.

Итак, рассмотрите как следует окно, которое отображает на экране ПК вирус, запишите на бумажку телефонный номер, на который он предлагает отправить СМС, и текст сообщения, которое требуют отправить на этот номер, после чего откройте на другом ПК один из сайтов:

• drweb.com/unlocker/index [1]
• esetnod32.ru/.support/winlock [2]
• virusinfo.info/deblocker [3]
• support.kaspersky.ru/viruses/deblocker [4]
• kaspersky-911.ru [5]
• forum.drweb.com/index.php?showtopic=287460 [6]

На худой конец есть даже версии сайтов-деблокеров для мобильных телефонов:

• drweb.com/unlocker/mobile [7]
• support.kaspersky.ru/sms [8]

Здесь вы увидите форму для ввода короткого номера и текста из сообщения трояна, либо сможете выбрать «правильный» вирус прямо по его скриншоту. Далее всё просто — заполняете форму или щёлкаете по скриншоту (а ещё иногда можно ввести точное название троянца, если оно вам известно) и получаете код для разблокировки системы. Скармливаете его вирусу и получаете доступ к Windows. Теперь вы можете выходить в интернет, запускать какие-то программы.

Кроме того, можно попробовать поискать офлайн-генераторы кодов для некоторых типов широко рас­про­стра­нённых блокеров, такие как Symantec Trojan.Ransomlock Key Generator Tool [9].

Только учтите, данный способ хоть и может показаться кому-то не обязательным на фоне ниже­следующих вариантов, тем не менее польза в нём есть. Например, в случае с троянами, шифрующими информацию на вашем диске. Если вы ещё до полного избавления от троянца сможете ввести верный код, то есть шанс, что он вернёт зашифрованным документам их первозданный вид. Кстати, на сайте Лаборатории Касперского можно найти даже утилиты для расшифровки [10] файлов, над которыми «поработал» вирус:.

Тотальная зачистка

Следующим шагом обязательно должно быть полное удаление зловреда и всех его следов на диске и в реестре Windows. Ни в коем случае нельзя оставлять троянца в системе! Даже не проявляя внешней активности, он может воровать ваши приватные данные, пароли, рассылать спам и так далее. Да и не исключено, что через какое-то время он снова захочет заблокировать ОС.

Но не всё так просто — поскольку вирус всё ещё в системе, не факт, что он позволит вам открыть сайт анти­вирусной компании или запустить анти­вирусную утилиту. Поэтому самый надёжный способ «зачистки» — использование LiveCD со свежим антивирусом или же установка заражённого винчестера на другой ПК, с «чистой» системой и хорошим анти­вирусом. Также может сработать сканирование после загрузки ПК в так называемом «Безопасном режиме», который вызывается нажатием клавиши F8 при запуске системы. Эти же методы придётся использовать в том случае, если ни один антивирусный сайт не смог подобрать вам код разблокировки Windows.

Итак, снова пойдём от простого к сложному. Для начала, независимо от того, смогли ли вы подобрать код разблокировки, пробуем загрузить «Безопасный режим». Если Windows стартовала, то сканируем систему с помощью бесплатных утилит:

• Dr.Web CureIt [11]
• Kaspersky Virus Removal Tool [12]
• F-Secure Easy Clean [13]
• McAfee AVERT Stinger [14]
• BitDefender Security Scan [15]

Подобных бесплатных сканеров очень много — большой их список вы найдетё, например, на сайте comss.ru [16]. Попробуйте скачать несколько штук и просканируйте ими диски заражённого компьютера.

Есть и утилиты, нацеленные на лечение какого-то одного семейства троянов, например — Digita_Cure.exe [17], удаляющая Trojan-Ransom.Win32.Digitala.

После завершения работы всех выбранных вами утилит и лечения ПК можно уже достаточно смело загружать систему в обычном режиме. Но и на этом останавливаться категорически нельзя! Обязательно просканируйте диски ещё раз уже полно­ценным анти­вирусом с самыми последними обновлениями анти­вирусных баз. Плюс ко всему, в случае каких-то проблем в работе Windows можно восполь­зоваться встроенным в Windows механизмом восстановления системы — System Restore. Только учтите, «откат» надо делать к той точке, когда ваш ПК ещё гарантированно не был заражён трояном. Иначе всю процедуру лечения придётся начинать заново.

Однако троян может настолько серьёзно «вгрызться» в систему, что даже «Безопасный режим» не будет работать. В этом случае очень удобно восполь­зоваться специальными лечащими LiveCD антивирусных компаний. Подобные диски есть у Лаборатории Касперского [18], Dr.Web [19], Avira [20], BitDefender и других разработчиков. Большущий список со ссылками для загрузки можно взять на сайте comss.ru [21]. Есть даже специальный AntiWinLockerLiveCD [22].

Преимущество сканирования с помощью LiveCD заключается в том, что при этом полностью исключается возможность запуска трояна, кроме того, сканирование производится полно­ценным анти­вирусом с полным набором анти­вирусных баз, а не усечённой его версией как в случае со специальными лечащими утилитами. Соответственно, вероятность успешного избавления от «заразы» гораздо выше.

Причём в составе Kaspersky Rescue Disk, например, преду­смотрена даже специальная утилита для борьбы с программами-вымогателями Kaspersky WindowsUnlocker. Она проводит лечение реестра всех операционных систем, установленных на компьютере.

Наконец, ещё один беспроигрышный вариант — тупо снять с заблокированного ПК винчестер, подключить его к другому компьютеру (можно даже с помощью пере­носного USB-бокса) и проска­нировать его уже из-под заведомо незаражённой системы. Опять же — хорошим анти­вирусом, со свежими базами и с наиболее жёсткими настройками эвристики. Разумеется, крайне желательно отследить действия анти­вируса, дабы понять, нашёл ли он что-то, смог ли вылечить, и вообще — похоже ли всё это на удаление именно подцеп­ленного вами блокера.

Удаление вручную

В принципе, уже на этом этапе у вас должно всё работать, и система должна быть чистой. Но опять же, гладко бывает только на бумаге. В жизни могут быть варианты. Например, блокер может оказаться настолько новым и хитрым, что даже самый свежий антивирус при полном режиме сканирования не сможет его выявить. Или же процесс лечения окажется по своим последствиям не менее фатальным для ОС, чем действия вируса, поскольку при этом могут оказаться повреждены или удалены какие-то важные системные файлы (ввиду их заражения или подмены вирусом) и система опять же откажется загружаться. При таком раскладе, если вы, конечно, не хотите переустанавливать ОС, придётся разбираться во всём вручную.

И лучший инструмент для ручного лечения системы — загрузочный диск ERD Commander (существуют версии как для Windows XP, так и для Windows Vista/7). Он предоставляет вам полный доступ к заражённой системе — к файлам на диске, к редактору реестра, к службе System Restore и так далее. Но поскольку трояны-блокеры прописываются главным образом в системном реестре, то начать их поиск следует именно оттуда. Просто запускаете редактор реестра и просматриваете ветки, которые могут использовать вирусы для своего авто­запуска — подробный список возможных вариантов в случае с Windows XP можно найти в статье «Секретные приёмы авто­загрузки» [23]. Также неплохой списочек из порядка 130 позиций можно посмотреть на сайте PenTestIT.com [24]. Чуть более наглядно, но только основные места — на сайте bleepingcomputer.com [25]. Но не пугайтесь раньше времени — наиболее популярными среди блокеров являются такие способы авто­запуска:

• Изменение значения параметров

  "Shell"="Explorer.exe"
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

  в разделе

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  или

  HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

• Изменение значения параметра "AppInit_DLLs"="" в разделе

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

• И, разумеется, параметры в стандартных разделах авто­запуска в реестре:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Разумеется, если вы найдёте в этих ветках реестра (или других, тоже позволяющих произвести авто­запуск, но реже используемых) упоминания каких-то непонятных приложений (типа "Shell"="C:\Windows\svvghost.exe" или программ с именами вроде aers0997.exe, составленными из случайных букв и цифр) и удалите их, приведя значения параметров к стандартному виду, надо будет впоследствии удалить и сами файлы вируса. Путь к ним вы увидите в реестре, в значении всё тех же изменённых параметров. Самые излюбленные места, где они обычно «прячутся» — папки временных файлов Documents and Settings\<имя_юзера>\Local Settings\Temp и Temporary Internet Files, папка службы восстановления системы System Volume Information и даже папка корзины $RECYCLE.BIN или RECYCLER. Если заражение произошло только что, файлы вируса легко искать по дате создания.

Впрочем, на базе ERD Commander или BartPE умельцы наделали множество ещё более продвинутых инструментов восстановления системы, содержащих в себе и пакет анти­вирусных сканеров и полезнейшие утилиты вроде программы Autoruns [26]. Если вам попадётся такой диск, то с Autoruns инспектировать возможные места авто­запуска в сотни раз удобнее и быстрее, к тому же не требуется никаких знаний структуры реестра. Просто ищешь в списке явно «левые» программы и снимаешь напротив них флажок — как в штатном MSCONFIG.EXE.

В частности, Autoruns в едином списке покажет и программы разделов RUN реестра, и заплани­рованные задачи Task Scheduler (а через него тоже могут запускаться трояны), и надстройки браузера (а это также очень важная область авто­запуска — подробнее про борьбу с вредо­носными надстройками читайте в статье «Борьба с рекламными модулями для Internet Explorer» [27]), и службы, и всё остальное, что только может быть. Короче говоря, троянец может быть пропущен, если только он «присосался» к телу «законного» системного файла Windows или полностью подменил его.

Очень неплохо подходит для поиска следов зловредов программа Trend Micro HijackThis [28]. Она, например, позволяет удобно просматривать файл HOSTS (его трояны изменяют для того, чтобы заблокировать вам доступ к анти­вирусным сайтам) и даже альтер­нативные потоки файловой системы NTFS. Хорош, особенно при поиске «руткитов», и достаточно известный GMER [29].

Огромную помощь окажет и утилита AVZ [30], она восстановит возможность запуска exe-файлов, настройки IE, удалит всевозможные запрещающие политики, разблокирует диспетчер задач, очистит файл HOSTS, разблокирует редактор реестра.

Словом, чем более продвинутый LiveCD вы найдёте, тем более глубоко вы сможете проникнуть в систему для поиска вредо­носного засланца.

Самое неприятное — если троянец подменит собой ещё и часть системных файлов Windows (taskmgr.exe, userinit.exe, explorer.exe и тому подобное) — в этом случае вам придётся восполь­зоваться такими механизмами, как «Восстановление системы» и «Проверка системных файлов» (sfc.exe, команда на его запуск выглядит так: sfc /scannow). Также можно поискать в интернете комплект «родных» файлов для вашей версии Windows. Восстанавливать их придётся после загрузки ПК с LiveCD.

Не отходя от кассы

Но далеко не всегда есть возможность загрузить ПК с LiveCD. Иногда надо «прибить» заразу прямо не выходя из заражённой системы, имея на экране только окно вируса с ласковым предложением поделиться зарплатой. Или же просто нет возможности и времени искать какие-то дополни­тельные инструменты. Что делать в этом случае? Оказывается, есть ряд трюков, позволяющих «обмануть» вирус.

Например, в Windows XP при появлении окна вируса попробуйте нажать клавиши Win+U и быстро запустить экранную лупу (кнопка «Запустить»), затем жмите «Справка», далее щелкните правой кнопкой мыши на заголовке окна и выберите пункт «Jump to URL», введите адрес Total Commander или командного процессора (например, C:\Program files\Total Commander\tcmd.exe), в командной строке наберите msconfig и затем через восстановление системы сделайте откат на пару дней назад, когда вируса в системе ещё не было!

Если вы смогли получить доступ к командной строке, а редактор реестра не запускается, можно попробовать исправить в реестре самые важные параметры, отключив авто­запуск трояна, через такие команды:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /d explorer.exe reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /d C:\Windows\system32\userinit.exe,

Если же надо убрать с экрана окно троянца, можно попробовать через диспетчер задач (если он вызывается), «убить» процесс explorer. Если троян не дает запустить, скажем, ту же Autoruns, то попробуйте пере­именовать файл этой программы во что-то типа game.exe.

Не забываем про сочетания клавиш Win+R, Ctrl+Shift+Esc, а также команды tasklist и taskkill.

Если вы можете запустить Microsoft Word, наберите в нём какой-нибуть короткий текст и, не сохраняя документ, выберите «Пуск» → «Завершение работы». Все программы начнут закрываться, в том числе и троян, а Microsoft Word выдаст сообщение «Хотите закрыть не сохранив?», нажмите «Отмена» и приступайте к очистке системы.

Если вирус прописался в обычные места авто­загрузки, попробуйте включить ПК с зажатой клавишей Shift — это запрещает запуск авто­мати­чески загружаемых программ.

Если можете создать пользователя с ограниченными правами или такой уже есть в вашей системе, попробуйте войти из-под него — вирус может не запуститься, вы же сможете от имени Администратора восполь­зоваться любой лечащей утилитой.

Профилактика

Ну хорошо, «заразу» «пришибли», «хвосты» подчистили, всё работает. Но, вспоминая каждый раз, скольких это стоило нервов и усилий, вы решили больше не повторять таких ошибок. Что же нужно сделать, чтобы избежать заражения в будущем? Разумеется, самое главное — хороший антивирус и файерволл, причём желательно с возможностью принуди­тельной блокировки скриптов в браузере (ActiveX, JAVA Applets, Jscript, VBS, но, к сожалению, такое в файерволлах сейчас почти не встречается, хотя в браузере блокировать это можно — используйте хотя бы средства браузера или блокирующие скрипты плагины, такие как NoScript [31] и Adblock Plus [32] для Firefox [33]).

Второе важное средство защиты — повседневная работа из-под учётной записи с ограни­ченными правами, хотя это многие и не любят (я в том числе). Но тут можно пойти на небольшую хитрость — даже для учётной записи Администратора ограничить возможность изменения ветки реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Делается это просто — в редакторе реестра щёлкаете правой кнопкой мыши по данной ветке, выбираете «Разрешения» и запрещаете изменения своей группе пользователей.

Кстати, не стоит отключать и функцию восста­новления системы Windows — она очень сильно помогает как раз в таких случаях.

Не запускайте без предва­рительной проверки (например, на VirusTotal.com [34]) файлы, полученные из подо­зри­тельных источников, по почте, через «мессенджер». Пользуйтесь «песочницей» антивируса, если таковая есть. Файлы программ скачивайте только с сайтов непосред­ственных разработчиков. Ни в коем случае не устанавливайте непонятные аудио-/видео­декодеры; если скачали видео, пред­лагающее их для просмотра — через программу GSpot [35] узнайте, что за кодек там используется, установлен ли он у вас в системе. Если нет — тогда берите его на сайте разработчика.

Не забывайте обновлять систему, устанавливать новые версии постоянно используемых программ — это избавит от некоторых уязвимостей. Убедитесь, что на диске с операционной системой у вас используется файловая система NTFS.

Отключите авто­запуск программ с подключаемых съёмных дисков, «флешек», оптических носителей — это можно сделать с помощью Tweak UI [36] или других распространенных «твикеров». Не запускайте файл сразу после скачивания — сохраните его на диск и посмотрите, какое у него расширение — не исключено, что вместо видео вы скачали программу (ехе, pif, com, cmd, bat, scr и так далее), а само­рас­пако­выва­ющийся архив не воспри­нимается как архив такими программами, как PowerArchiver и WinRAR (всегда открывайте такие архивы через архиваторы, не давайте им рас­пако­вываться самим).

Помните, что проверять на наличие вирусов можно не только файлы, но даже находящиеся в интернете веб-странички — в этом вам помогут встроенные функции браузеров (SmartScreen в IE, расширение LinkExtend [37] для Firefox) и такие сервисы, как:

• online.us.drweb.com/?url=1 [38]
• linkscanner.explabs.com/linkscanner/default.aspx [39]

Также в целях профилактики можно пойти на трюк с заменой файла sethc.exe, отвечающего за «залипание клавиш», на cmd.exe, пере­именовав файл командного процессора в sethc.exe (придётся это делать через LiveCD). В результате чего вы всегда, даже при загрузке ОС, пятью нажатиями Shift сможете вызывать командную строку, а из неё уже любую другую программу — хоть редактор реестра, хоть MSCONFIG. Кстати, в окне входа в систему запущенный таким образом cmd.exe будет иметь права SYSTEM. Только помните, что тем самым вы создадите в системе нехилый чёрный ход, многим хорошо известный при этом.

И, наконец, никогда не следует слать СМС злоумыш­леннику, создавшему вирус. Помните, что деньги вы потеряете почти наверняка, а код разблокировки можете и не получить. Проще получить код у оператора компании, отвечающей за работу данного короткого номера. Всегда после заражения вирусами меняйте свои пароли и «явки» — не исключено, что кроме блокировки системы троянец выполняет и какие-то другие вредо­носные функции.

Вор должен сидеть в тюрьме!

Помните, что вы всегда можете обратиться к поставщику, обслужи­вающему короткий номер, требуя выдать код деактивации. В частности, помимо своего сотового оператора, вам пригодятся такие контакты:

• А1: Первый альтернативный контент-провайдер (alt1.ru, a1agregator.ru)
• ИнкорМедиа (incoremedia.ru)

Звоните, ругайтесь, грозите подать заявление в прокуратуру, требуйте наказать злоумыш­ленника, заодно сообщите данные блокера и получите разблоки­ровочный код. А если вы действительно подадите заявление в милицию, общест­венность поставит вам памятник!

Полезные ссылки

• forum.drweb.com/index.php?showtopic=287460 [6]
• forum.drweb.com/index.php?showtopic=293348 [40]
• forum.drweb.com/index.php?act=Print&client=printer&f=35&t=292921 [41]
• support.kaspersky.ru/viruses/solutions?qid=208637133 [42]
• forum.ru-board.com/misc.cgi?action=printtopic&forum=62&topic=16770 [43]
• protivovirus.blogspot.com [44]
• siri-urz.blogspot.com [45]
• xylibox.blogspot.com [46]

Разное

• Если не запускаются exe-файлы, импортируйте в реестр:

  Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

• Если не запускается редактор реестра, удобно воспользоваться ERD Commander или Registry Workshop [47]. Также не забудьте проверить ветки реестра

  HKEY_LOCAL_MACHINE\SOFTWARE\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

  — именно там можно отключать различные системные компоненты.

• Если файл HOSTS вирусом не менялся, но доступа к анти­вирусным сайтам всё равно нет, попробуйте удалить статические маршруты с помощью команды route -f.
• Первая программа-вымогатель, требующая денег за восстановление системы, появилась в декабре 1989 года.
• Первый SMS-блокер был зареги­стрирован 25 октября 2007.
• Не забудьте проверить Планировщик заданий и удалить непонятные и подо­зри­тельные задания.
• Тело вируса может прятаться где угодно, даже в папке Cookies…
• Наиболее опасны «буткиты», требующие восстановления MBR, и шифрующие троянцы.

Знаете ответ?