Удаление винлокера (WinLocker)

<<

Imobilazer

Аватар пользователя

Администратор
Администратор

Сообщений: 55

Зарегистрирован
17 дек 2012, 12:44

Откуда: Беларусь, Минск

Сообщение 17 дек 2012, 16:56

Удаление винлокера (WinLocker)

Винлокеры могут выглядеть примерно так:
Изображение Изображение Изображение


Сразу же можно попробовать воспользоваться AntiWinLockerLiveCD, возможно он удалит WinLocker автоматически.

Как может показаться на первый взгляд, речь идет об абсолютно разных вещах. Так, в первом случае, мы однозначно имеем дело с вредоносным программным обеспечением, а во втором, может показаться, что имеет место быть, неисправность операционной системы. Но дело в том, что в обоих случаях проблема одна, но на разных стадиях. В первом случае, антивирусная программа "проспала" появление трояна, который незамедлительно приступил к выполнению своих обязанностей, а во втором, антивирусное ПО обнаружило "неприятеля", но немного припозднилось, т.к. он частично выполнился и подменил некоторые значения реестра. Троян в данном случае был благополучно удален антивирусом, но изменения в реестре исправлены не были, отсюда и появился второй заголовок у статьи. Но, обо всем по порядку.

В последнее время проблема удаления т.н. программ-блокираторов (Win32/LockScreen), которые после своей активации (запуска) блокируют работу пользователя на компьютере, а за оказание услуги возвращения прежней работоспособности ПК вымогают денежные средства посредством отправки SMS, перевода денег на счет, через терминал и т.д., стала особенно актуальна. К большому сожалению, некогда помогавшие сервисы антивирусных компаний по генерации кодов разблокировки (Антивирус Касперского, DrWeb, NOD32 ), сегодня оказываются практически бесполезными. В первую очередь это связано с огромным разнообразием вариантов, как программ-блокираторов, кодов разблокировки, так и отсутствием в программах механизма разблокировки. Однако, данное вредоносное ПО очень просто удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows. Постараюсь помочь Вам в этом деле.

Но сначала рассмотрим еще одну ситуацию, три дня назад в одной из организаций,, "забили тревогу". Поступила жалоба на один из компьютеров, который накануне благополучно отработал весь день и был, как обычно выключен, но на следующий день, по непонятным причинам, требовал выбрать пользователя, после чего, начинал загружать личные параметры и тут же завершал сеанс работы и так по кругу. Как мне сказали загрузка в "Безопасном режиме" и "Загрузка последней удачной конфигурации (с работоспособными параметрами)", не давали положительных результатов. Вход в систему стал невозможен.

Описываемый мной второй случай, есть ничто иное, как результат послевирусной активности на компьютере. Т.е. трояном был изменен раздел реестра, а сам троянец был удален антивирусным ПО, но изменения сделанные им в реестре остались. Сейчас мы и начнем разбираться во всем этом безобразии.

ВНИМАНИЕ! Не ищите легкого пути, не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!!!

Итак, в обоих случаях искать причину следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.

Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки операционной системы. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки операционной системы. Так, что очень вероятно, что у нас этот файл поврежден или удален, а возможно, что были изменены некоторые ключи реестра.

Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. А, вот, присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным программным обеспечением.

Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.

Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD, использование любого другого диска не возбраняется, важно, чтобы он умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную.
Описание процедуры "лечения" на примере вышеназванной версии LiveCD. Советую держать подобные диски всегда под рукой!

1. Итак, в BIOS выбираем загрузку с компакт-диска и загружаем систему с Вашего LiveCD.
2. После загрузки Windows с диска, откройте ПУСК -> Система -> ERD Commander -> ErdRoot.
Изображение
3. Укажите папку с установленной ("испорченной") Windows и нажмите ОК. Чаще всего, это C:\Windows, но на данном компьютере Windows находится на диске D, поэтому указывается D:\Windows.
Изображение
4. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у нас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело :)
Изображение
5. Получив доступ к реестру "испорченной" Windows, переходим к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, и проверяем ключи Shell и Userinit.
Изображение

Должно быть так (стандартные значения):

Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"

Подробнее о стандартных значениях:

Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.

Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.

Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]

Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Поэтому наберите эти строки с клавиатуры самостоятельно.

6. Исправьте значения ключей Shell и Userinit на стандартные значения, предварительно запомнив папку, из которой запускается вирус и имя файла.

Кстати, последнее время появилась новая разновидность винлокера изменяющая оба параметра: прописывая в Shell файл из C:\Documents and Settings\All Users\Application Data\, он так же не изменяя строку инициализации Userinit, подменяет сам файл userinit.exe в каталоге C:\Windows\system32\, также подменяя файл Диспетчера задач - taskmgr.exe в том же каталоге. В этом случае, исправив параметр Shell, после перезагрузки мы получим такую же заблокированную машину.

7. Чтобы этого не произошло, идем в C:\Windows\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\Windows\. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.

Можно воспользоваться установочным диском:

expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

8. Запускаем проводник, переходим в каталог содержащий вирус (мы же его запоминали) и удаляем файл содержащий блокировщик.

9. Перезагружаемся.

По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом.
<<

JamboIV

Аватар пользователя

Сообщений: 2

Зарегистрирован
07 янв 2016, 22:04

Сообщение 07 янв 2016, 22:10

Re: Удаление винлокера (WinLocker)

да, приходилось с этой бедой бороться, только я первый раз не имел возможности скачать лайв сд и делал все руками :kach хорошо, повстречаласьэта статья. кстати, ты не упомянул о наборах ERD commander, тоже мощная вещь для автоматического удаления.

Вернуться в Программные вопросы

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron
Powered by phpBB © 2000 - 2011 phpBB Group.
Designed by ST Software | localization AveWeb.
Если Вам что-либо отсюда понравилось и Вы хотите отблагодарить меня то всегда можете скинуть немного денюжки на пивко =)



Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями.