17 дек 2012, 16:56
Удаление винлокера (WinLocker)
Винлокеры могут выглядеть примерно так:
Сразу же можно попробовать воспользоваться AntiWinLockerLiveCD, возможно он удалит WinLocker автоматически.
Как может показаться на первый взгляд, речь идет об абсолютно разных вещах. Так, в первом случае, мы однозначно имеем дело с вредоносным программным обеспечением, а во втором, может показаться, что имеет место быть, неисправность операционной системы. Но дело в том, что в обоих случаях проблема одна, но на разных стадиях. В первом случае, антивирусная программа "проспала" появление трояна, который незамедлительно приступил к выполнению своих обязанностей, а во втором, антивирусное ПО обнаружило "неприятеля", но немного припозднилось, т.к. он частично выполнился и подменил некоторые значения реестра. Троян в данном случае был благополучно удален антивирусом, но изменения в реестре исправлены не были, отсюда и появился второй заголовок у статьи. Но, обо всем по порядку.
В последнее время проблема удаления т.н. программ-блокираторов (Win32/LockScreen), которые после своей активации (запуска) блокируют работу пользователя на компьютере, а за оказание услуги возвращения прежней работоспособности ПК вымогают денежные средства посредством отправки SMS, перевода денег на счет, через терминал и т.д., стала особенно актуальна. К большому сожалению, некогда помогавшие сервисы антивирусных компаний по генерации кодов разблокировки (Антивирус Касперского, DrWeb, NOD32 ), сегодня оказываются практически бесполезными. В первую очередь это связано с огромным разнообразием вариантов, как программ-блокираторов, кодов разблокировки, так и отсутствием в программах механизма разблокировки. Однако, данное вредоносное ПО очень просто удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows. Постараюсь помочь Вам в этом деле.
Но сначала рассмотрим еще одну ситуацию, три дня назад в одной из организаций,, "забили тревогу". Поступила жалоба на один из компьютеров, который накануне благополучно отработал весь день и был, как обычно выключен, но на следующий день, по непонятным причинам, требовал выбрать пользователя, после чего, начинал загружать личные параметры и тут же завершал сеанс работы и так по кругу. Как мне сказали загрузка в "Безопасном режиме" и "Загрузка последней удачной конфигурации (с работоспособными параметрами)", не давали положительных результатов. Вход в систему стал невозможен.
Описываемый мной второй случай, есть ничто иное, как результат послевирусной активности на компьютере. Т.е. трояном был изменен раздел реестра, а сам троянец был удален антивирусным ПО, но изменения сделанные им в реестре остались. Сейчас мы и начнем разбираться во всем этом безобразии.
ВНИМАНИЕ! Не ищите легкого пути, не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!!!
Итак, в обоих случаях искать причину следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.
Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки операционной системы. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки операционной системы. Так, что очень вероятно, что у нас этот файл поврежден или удален, а возможно, что были изменены некоторые ключи реестра.
Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. А, вот, присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным программным обеспечением.
Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.
Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD, использование любого другого диска не возбраняется, важно, чтобы он умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную.
Описание процедуры "лечения" на примере вышеназванной версии LiveCD. Советую держать подобные диски всегда под рукой!
1. Итак, в BIOS выбираем загрузку с компакт-диска и загружаем систему с Вашего LiveCD.
2. После загрузки Windows с диска, откройте ПУСК -> Система -> ERD Commander -> ErdRoot.
3. Укажите папку с установленной ("испорченной") Windows и нажмите ОК. Чаще всего, это C:\Windows, но на данном компьютере Windows находится на диске D, поэтому указывается D:\Windows.
4. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у нас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело
5. Получив доступ к реестру "испорченной" Windows, переходим к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и проверяем ключи Shell и Userinit.
Должно быть так (стандартные значения):
Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
Подробнее о стандартных значениях:
Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.
Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.
Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]
Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Поэтому наберите эти строки с клавиатуры самостоятельно.
6. Исправьте значения ключей Shell и Userinit на стандартные значения, предварительно запомнив папку, из которой запускается вирус и имя файла.
Кстати, последнее время появилась новая разновидность винлокера изменяющая оба параметра: прописывая в Shell файл из C:\Documents and Settings\All Users\Application Data\, он так же не изменяя строку инициализации Userinit, подменяет сам файл userinit.exe в каталоге C:\Windows\system32\, также подменяя файл Диспетчера задач - taskmgr.exe в том же каталоге. В этом случае, исправив параметр Shell, после перезагрузки мы получим такую же заблокированную машину.
7. Чтобы этого не произошло, идем в C:\Windows\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\Windows\. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).
Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.
Можно воспользоваться установочным диском:
expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.
8. Запускаем проводник, переходим в каталог содержащий вирус (мы же его запоминали) и удаляем файл содержащий блокировщик.
9. Перезагружаемся.
По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом.
Сразу же можно попробовать воспользоваться AntiWinLockerLiveCD, возможно он удалит WinLocker автоматически.
Как может показаться на первый взгляд, речь идет об абсолютно разных вещах. Так, в первом случае, мы однозначно имеем дело с вредоносным программным обеспечением, а во втором, может показаться, что имеет место быть, неисправность операционной системы. Но дело в том, что в обоих случаях проблема одна, но на разных стадиях. В первом случае, антивирусная программа "проспала" появление трояна, который незамедлительно приступил к выполнению своих обязанностей, а во втором, антивирусное ПО обнаружило "неприятеля", но немного припозднилось, т.к. он частично выполнился и подменил некоторые значения реестра. Троян в данном случае был благополучно удален антивирусом, но изменения в реестре исправлены не были, отсюда и появился второй заголовок у статьи. Но, обо всем по порядку.
В последнее время проблема удаления т.н. программ-блокираторов (Win32/LockScreen), которые после своей активации (запуска) блокируют работу пользователя на компьютере, а за оказание услуги возвращения прежней работоспособности ПК вымогают денежные средства посредством отправки SMS, перевода денег на счет, через терминал и т.д., стала особенно актуальна. К большому сожалению, некогда помогавшие сервисы антивирусных компаний по генерации кодов разблокировки (Антивирус Касперского, DrWeb, NOD32 ), сегодня оказываются практически бесполезными. В первую очередь это связано с огромным разнообразием вариантов, как программ-блокираторов, кодов разблокировки, так и отсутствием в программах механизма разблокировки. Однако, данное вредоносное ПО очень просто удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows. Постараюсь помочь Вам в этом деле.
Но сначала рассмотрим еще одну ситуацию, три дня назад в одной из организаций,, "забили тревогу". Поступила жалоба на один из компьютеров, который накануне благополучно отработал весь день и был, как обычно выключен, но на следующий день, по непонятным причинам, требовал выбрать пользователя, после чего, начинал загружать личные параметры и тут же завершал сеанс работы и так по кругу. Как мне сказали загрузка в "Безопасном режиме" и "Загрузка последней удачной конфигурации (с работоспособными параметрами)", не давали положительных результатов. Вход в систему стал невозможен.
Описываемый мной второй случай, есть ничто иное, как результат послевирусной активности на компьютере. Т.е. трояном был изменен раздел реестра, а сам троянец был удален антивирусным ПО, но изменения сделанные им в реестре остались. Сейчас мы и начнем разбираться во всем этом безобразии.
ВНИМАНИЕ! Не ищите легкого пути, не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!!!
Итак, в обоих случаях искать причину следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.
Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки операционной системы. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки операционной системы. Так, что очень вероятно, что у нас этот файл поврежден или удален, а возможно, что были изменены некоторые ключи реестра.
Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. А, вот, присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным программным обеспечением.
Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.
Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD, использование любого другого диска не возбраняется, важно, чтобы он умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную.
Описание процедуры "лечения" на примере вышеназванной версии LiveCD. Советую держать подобные диски всегда под рукой!
1. Итак, в BIOS выбираем загрузку с компакт-диска и загружаем систему с Вашего LiveCD.
2. После загрузки Windows с диска, откройте ПУСК -> Система -> ERD Commander -> ErdRoot.
3. Укажите папку с установленной ("испорченной") Windows и нажмите ОК. Чаще всего, это C:\Windows, но на данном компьютере Windows находится на диске D, поэтому указывается D:\Windows.
4. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у нас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело
5. Получив доступ к реестру "испорченной" Windows, переходим к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и проверяем ключи Shell и Userinit.
Должно быть так (стандартные значения):
Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"
Подробнее о стандартных значениях:
Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.
Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.
Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]
Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Поэтому наберите эти строки с клавиатуры самостоятельно.
6. Исправьте значения ключей Shell и Userinit на стандартные значения, предварительно запомнив папку, из которой запускается вирус и имя файла.
Кстати, последнее время появилась новая разновидность винлокера изменяющая оба параметра: прописывая в Shell файл из C:\Documents and Settings\All Users\Application Data\, он так же не изменяя строку инициализации Userinit, подменяет сам файл userinit.exe в каталоге C:\Windows\system32\, также подменяя файл Диспетчера задач - taskmgr.exe в том же каталоге. В этом случае, исправив параметр Shell, после перезагрузки мы получим такую же заблокированную машину.
7. Чтобы этого не произошло, идем в C:\Windows\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\Windows\. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).
Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.
Можно воспользоваться установочным диском:
expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.
8. Запускаем проводник, переходим в каталог содержащий вирус (мы же его запоминали) и удаляем файл содержащий блокировщик.
9. Перезагружаемся.
По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом.
хорошо, повстречалась