удаляем WinLocker’ы. часть 1

В последнее время появляется все больше вирусов блокирующих ОС. На данный момент не существует 100% средства борьбы с подобной напастью. Многие WinLocker’ы индивидуальны и лечение ПК после заражения приходится выполнять вручную.

http://mycrealife.ru/wp-content/uploads/2011/07/trojan_winlocker_01.jpg

Сейчас я хочу рассказать о средствах борьбы с ними.

Пример winlocker'а

Чаще всего происходит заражение системных файлов «userinit.exe», «svchost.exe», «services.exe» и изменение значения ветки реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon», «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run»

 

Существует несколько методов борьбы с ними. Давайте рассмотрим один из них.

Способ №1

Во первых нам понадобится загрузочный диск(к примеру, LEX LIVE CD), записываем его на болванку и перезагружаем компьютер. Теперь необходимо выставить загрузку с CD в биосе.

 

Загрузка с CD

В разных версиях BIOS эта процедура имеет разный внешний вид, однако, принцип везде одинаковый. Для загрузки с CD/DVD диска, в закладке «BOOT (Загрузка)» настроек BIOS необходимо поменять местами загрузочные устройства так, чтобы CD/DVD привод оказался на первом месте (First Boot – CD-ROM). На втором желательно оставить жесткий диск (Second boot HDD). В некоторых версиях BIOS, устройство, которое будет грузиться первым, нужно выбрать из списка, в других, нужно перемещать список вверх или вниз. На первое место выставьте CD/DVD привод. Перемещение по списку обычно производится клавишами: «F5/F6»«+/-». (Читайте сноски в настройках BIOS)

-/+ (F5/F6) – Изменить значение 

Enter – Выбрать

F9 – Сбросить BIOS

F10 – Сохранить и выйти

bios

Сохраняем настройки и загружаемся с диска. После поной загрузки системы, открываем редактор реестра(пуск — выполнить — Regedit — OK). В открывшемся окне «Загрузить куст» переходим в директорию C:\Windows\System32\Config\, где C: – буква диска, на который у вас установлена Windows. В зависимости от того какая ветвь реестра нуждается в редактировании выбираем в папке Config соответствующий куст. Например, если необходимо редактировать ветвь HKLM\SOFTWARE, выбираем в папке Config куст SOFTWARE и нажимаем «Открыть», но имейте в виду, что куст может быть и любой другой (DEFAULT, SAM, SECURITY или SYSTEM).

Далее, вводим любое имя для загружаемого раздела и работаем с появившейся в HKEY_USERS веткой, это и есть куст SOFTWARE зараженного компьютера.
Как правило, вирусы-блокеры изменяют несколько параметров реестра, что мешает нормальной загрузке Windows. Поэтому удаление вирусов сводится к восстановлению ключей реестра и физическому удалению исполняемых файлов вируса которые прописаны в измененном параметре.
Найдите в реестре ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр:
userinit
Значение параметра должно быть:
с:\windows\system32\userinit.exe
где, «c:\» диск на который установлена Windows. Если значение параметра после буквы диска отличается, исправляем на вышеуказанный.
Параметр:
shell
Значение параметра должно быть:
Explorer.exe

1. В Windows XP в некоторых случаях после исправления параметров реестра необходимо восстановить (заменить зараженные на заведомо «чистые») некоторые системные файлы – userinit.exe, реже – explorer.exe, taskmgr.exe. Скачать их можно тут

2. Выбирайте куст SOFTWARE, параметры которые надо исправить именно в нем.

Также прилагаю reg файл для автоматической замены веток реестра.

http://mycrealife.ru/wp-content/uploads/2011/07/trojan_winlocker_03.jpg

Способ №2

Давайте рассмотрим более простой способ лечения системы. В загрузочном диске, который предлагается в 1 способе есть несколько антивирусов, нам понадобится AVZ.

1. Копируем следующий скрипт на флешку:

begin

ClearQuarantine;

QuarantineFile(‘C:\!BEST PROGRAMS\DAEMON Tools\DAEMON TOOLS PRO 4.11.0219 BASIC\AdVantage.rar’,»);

QuarantineFile(‘C:\SCAD Soft\SCAD Office 11\ViewProf.exe’,»);

QuarantineFile(‘C:\WINDOWS\services.exe’,»);

QuarantineFile(‘c:\windows\system32\userinit.exe’,»);

QuarantineFile(‘C:\WINDOWS\system32\DRIVERS\tcpip.sys’,»);

DeleteFile(‘C:\WINDOWS\services.exe’);

BC_ImportALL;

ExecuteSysClean;

ExecuteRepair(1);

BC_Activate;

RebootWindows(true);

end.


2.Открыть AVZ , Нажать на Файл -> Выполнить скрипт

-> в появившимся окошке программы нажать правой кнопкой мышки и выбрать Вставить .


3.нажать в AVZ на кнопку Запустить

4. Заменяем системные файлы  – userinit.exe, реже – explorer.exe, taskmgr.exe. Скачать их можно тут

Перезагружаем систему(не забудьте вытащить диск) и на всякий случай восстанавливаем все настройки через AVZ


Восстановление системы — это особая функция AVZ,  которая позволяет восстановить ряд системных настроек, поврежденных вредоносными программами.

Микропрограммы восстановления системы хранятся в антивирусной базе и обновляются по мере необходимости.

 

 

Восстановление системыВосстановление системы

[spoiler]В настоящее время в базе есть следующие микропрограммы:

1.Восстановление параметров запуска .exe, .com, .pif файлов

Данная микропрограмма восстанавливает реакцию системы на файлы exe, com, pif, scr.

Показания к применению: после удаления вируса перестают запускаться программы.

 

2.Сброс настроек префиксов протоколов Internet Explorer на стандартные

Данная микропрограмма восстанавливает настройки префиксов протоколов в Internet Explorer

Показания к применению: при вводе адреса типа www.yandex.ru идет его подмена на что-то вида www.seque.com/abcd.php?url=www.yandex.ru

 

3.Восстановление стартовой страницы Internet Explorer

Данная микропрограмма восстанавливает стартовую страницу в Internet Explorer

Показания к применению: подмена стартовой страницы

 

4.Сброс настроек поиска Internet Explorer на стандартные

Данная микропрограмма восстанавливает настройки поиска в Internet Explorer

Показания к применению: При нажатии кнопки «Поиск» в IE идет обращение к какому-то постороннему сайту

 

5.Восстановление настроек рабочего стола

Данная микропрограмма восстанавливает настройки рабочего стола. Восстановление подразумевает удаление всех активных элементов ActiveDesctop, обоев, снятие блокировок на меню, отвечающее за настройки рабочего стола.

Показания к применению: Исчезли закладки настройки рабочего стола в окне «Свойства:экран», на рабочем столе отображаются посторонние надписи или рисунки

 

6.Удаление всех Policies (ограничений) текущего пользователя

Windows предусматривает механизм ограничений действий пользователя, называемый Policies. Этой технологией пользуются многие вредоносные программы, поскольку настройки хранятся в реестре и их несложно создавать или модифицировать.

Показания к применению: Заблокированы функции проводника или иные функции системы.

 

7.Удаление сообщения, выводимого в ходе WinLogon

Windows NT и последующие системы в линейке NT (2000, XP) позволяют установить сообщение, отображаемое в ходе автозагрузки. Этим пользуется ряд вредоносных программ, причем уничтожение вредоносной программы не приводит к уничтожению этого сообщения.

Показания к применению: В ходе загрузки системы вводится постороннее сообщение.

 

8.Восстановление настроек проводника

Данная микропрограмма сбрасывает ряд настроек проводника на стандартные (сбрасываются в первую очередь настройки, изменяемые вредоносными программами).

Показания к применению: Изменены настройки проводника

 

9.Удаление отладчиков системных процессов

Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ

Показания к применению: AVZ обнаруживает неопознанные отладчики системных процессов, возникают проблемы с запуском системных компонент, в частности после перезагрузки исчезает рабочий стол.

 

10.Восстановление настроек загрузки в SafeMode

Некоторые вредоносные программы, в частности червь Bagle, повреждают настройки загрузки системы в защищенном режиме. Данная микропрограмма восстанавливает настройки загрузки в защищенном режиме.

Показания к применению: Компьютер не загружается в защищенном режиме (SafeMode). Применять данную микропрограмму следует только в случае проблем с загрузкой в защищенном режиме.

 

11.Разблокировка диспетчера задач

Блокировка диспетчера задач применяется вредоносными программами для защиты процессов от обнаружения и удаления. Соответственно выполнение данной микропрограммы снимает блокировку.

Показания к применению: Блокировка диспетчера задач, при попытке вызова диспетчера задач выводится сообщение «Диспетчер задач заблокирован администратором».

 

12.Очистка списка игнорирования утилиты HijackThis

Утилита HijackThis хранит в реестре ряд своих настроек, в частности — список исключений. Поэтому для маскировки от HijackThis вредоносной программе достаточно зарегистрировать свои исполняемые файлы в списке исключений. В настоящий момент известен ряд вредоносных программ, использующих данную уязвимость. Микропрограмма AVZ выполняет очистку списка исключений утилиты HijackThis

Показания к применению: Подозрения на то, что утилита HijackThis отображает не всю информацию о системе.

 

13. Очистка файла Hosts

Очистка файла Hosts сводится к поиску файла Hosts, удалению из него всех значащих строк и добавлению стандартной строки «127.0.0.1 localhost».

Показания к применению: Подозрения на то, файл Hosts изменен вредоносной программой. Типичные симптомы — блокировка обновления антивирусных программ. Проконтролировать содержимое файла Hosts можно при помощи менеджера Hosts файла, встроенного в AVZ.

 

14. Автоматическое исправление настроек SPl/LSP

Выполняет анализ настроек SPI и в случае обнаружения ошибок производит автоматическое исправление найденных ошибок. Данную микропрограмму можно запускать повторно неограниченное количество раз. После выполнения данной микропрограммы рекомендуется перезагрузить компьютер.  Обратите внимание ! Данную микропрограмму нельзя запускать из терминальной сессии

Показания к применению: После удаления вредоносной программы пропал доступ в Интернет.

 

15. Сброс настроек SPI/LSP и TCP/IP (XP+)

Данная микропрограмма работает только в XP, Windows 2003 и Vista. Ее принцип работы основан на сбросе и пересоздании настроек SPI/LSP и TCP/IP при помощи штатной утилиты netsh, входящей в состав Windows. Подробно про сброс настроек можно прочитать в базе знаний Microsoft — http://support.microsoft.com/kb/299357 Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !

Показания к применению: После удаления вредоносной программы пропал доступ в Интернет и выполнение микропрограммы «14. Автоматическое исправление настроек SPl/LSP» не дает результата.

 

 

16. Восстановление ключа запуска Explorer

Восстанавливает системные ключи реестра, отвечающие за запуск проводника.

Показания к применению: В ходе загрузки системы не запускается проводник, но запуск explorer.exe вручную возможен.

 

17. Разблокировка редактора реестра

Разблокирует редактор реестра путем удаления политики, запрещающей его запуск.

Показания к применению: Невозможно запустить редактор реестра, при попытке выводится сообщение о том, что его запуск  заблокирован администратором.

 

18. Полное пересоздание настроек SPI

Выполняет резервное копирование настроек SPI/LSP, после чего уничтожает их и создает по эталону, который хранится в базе.

Показания к применению: Тяжелые повреждения настроек SPI, неустранимые скриптами 14 и 15. Применять только в случае  необходимости !

 

19. Очистить базу MountPoints

Выполняет очистку базы MountPoints и MountPoints2 в реестре. Данная операция нередко помогает в случае, когда после заражения Flash-вирусом в проводнике не открываются диски

 

Для выполнения восстановления необходимо отметить один или несколько пунктов и нажать кнопку «Выполнить отмеченные операции». Нажатие кнопки «ОК» закрывает окно.

 

На заметку:

Восстановление бесполезно, если в системе работает троянская программа, выполняющая подобные перенастройки — необходимо сначала удалить вредоносную программу, а затем восстанавливать настройки системы

 

На заметку:

Для устранения следов большинства Hijacker необходимо выполнить три микропрограммы — «Сброс настроек поиска Internet Explorer на стандартные», «Восстановление стартовой страницы Internet Explorer», «Сброс настроек префиксов протоколов Internet Explorer на стандартные»

 

На заметку:

Любую из микропрограмм можно выполнять несколько раз подряд без ущерба для системы. Исключения — «5.Восстановление настроек рабочего стола» (работа этой микропрограммы сбросит все настройки рабочего стола  и придется заново выбирать раскраску рабочего стола и обои) и «10. Восстановление настроек загрузки в SafeMode» (данная микропрограмма пересоздает ключи реестра, отвечающие за загрузку в безопасном режиме).[/spoiler]


Продолжение следует…..

Comments are closed.