Дата: Понедельник, 27.06.2011, 21:29 | Сообщение # 1
Админ
Группа: Администраторы
Сообщений: 73
Статус: Offline
Quote
Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления.
Не верьте этому и смело выключайте компьютр и удаляйте вирус. Инструкция по удалению Winlock с помощью LiveCD.
1. Настроить компьютер в BIOS выставить загрузку с CD или с флеш.
--------------------------------------------------------------------------------------------------------------- Зайти в Bios (нажав delete или F2 или может быть другая клавиша смотреть в инструкции к материнской плате). Найти секцию Boot (разные вариации с этим словом). Поставить ваше CD или USB(в разделее HDD как правило отображается именем фирмой изготовителя ) устройство первым по списку. ---------------------------------------------------------------------------------------------------------------
2. Загрузиться с LiveCD или LiveUSB. Можете использовать любой LiveCD с возможностью подключить реест восстанавливаемого ПК. Например Alkid Live CD&USB (рекомендую) , VasAlex BartPE или Alkid SE в составе ZverDVD. 3. Подключаем реест восстанавливаемого ПК. Пуск->Программы->ERD Commander 2005->Выбор директории Windows
Указываем каталог Windows восстанавливаемого ПК (как правило это C:\Windows)
Первый способ В запущенном regedit нажимаем Ctrl+F (Edit->Find) и в поле найти набираем urerinit
Проверяем параметры Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Ключ Userinit = по умолчанию C:\WINDOWS\system32\userinit.exe, Ключ Shell = по умолчанию Explorer.exe Ключ UIHost = по умолчанию logonui.exe Если значения отличаются от тех что по умолчанию, например ключ Shell имеет значение C:\temp\22CC6C32.exe - это и есть вирус.Запомните путь к вирусу чтобы его удалить, а ключ исправьте на значение по умолчанию. Если Shell и Userinit нормальные, но есть маленькая хитрость вирусописатели стали вписывать в английский текст русские буквы, поэтому лучше переименовать самому.
---------- ---------- ----------
Запускаем TotalCommander переходим в каталог где находится вирус и удаляем.
---------- ----------
Заменем userinit.exe в папках system32 и dllcache с LiveCD или диска с Windows из папки i386. Заменем taskmgr.exe в папке system32 с LiveCD или диска с Windows из папки i386. Заменем explorer.exe в папке Windows с LiveCD или диска с Windows из папки i386.
Второй способ Проверяем ключи автозагрузки нет ли там чего подозрительного HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\(имя пользователя)\Software\Microsoft\Windows\CurrentVersion\Run
Записи в этой ветке могут быть любые, зависит от программ которые у вас установлены. Перед удалением предварительно сохраните ветку в файл.
Так же проверяем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Ключ AppInit_DLLs = по умолчанию пустой HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Ключ Shell = по умолчанию ключ отсутствует.
Третий способ Локер использует планировщик заданий Windows. Пунк 2. Запускаем TotalCommander переходим в С:\WINDOWS\Tasks. Открываем папку и смотрим задания на подозрительность. Имена заданий могут быть осмысленными или набором случайных символов. Открывем блокнотом подозрительные задания и смотрим какую программу они запускают. Если есть подозрения на вирус переходим по адресу откуда запускается программа и переименовываем её. А подозрительные задания в Tasks удаляем.
********************** Про Winlock ********************************
Инструкция по удалению Winlock средствами Windows.
Такой метод применим только в том случае, если userunit.exe не заменён локером. Если при запуске в безопасном режиме запустится баннер, то данный способ для решения непригоден.
Система заблокирована баннером, казалось бы всё, в сервис, но нет, справимся своими силами.
Перезагружаем ПК, нажимаем F8 выбираем "Безопасный режим с поддержкой командной строки":
Выбираем операционную систему и нажимаем Enter:
После загрузки появится Диалоговое окно командной строки.
Если не запускается regedit и taskmgr набрать команду
Небольшая автоматизация при удаление winlock при загрузки с LiveCD
rec_file_reg_livecd.bat - Удаление Winlock. Скрипт для автоматической замены файлов восстанавливаемого ПК с диска с WindowsXP,LiveCD или из каталога sys_file и изменение параметров реестра.
Файлы перед заменой или удалением копируются в каталог For_check\Qurantine 1. Заменяются файлы userinit.exe, explorer.exe, taskmgr.exe, logonui.exe. Explorer.exe и logonui.exe заменяются после подтверждения. 2. Удаляются файлы userinit.exe, explorer.exe, taskmgr.exe, logonui.exe содержащие в своем имени русские буквы. 3. Восстанавливаются значения параметров Shell, Userinit, UIHost, AppInit_DLLs, GinaDLL на значения по умолчанию. 4. Удаляется Shell из HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. 5. Восстанавливается если был изменен параметр запуска exe в HKCR\exefile\shell\open\command. 6. Снятие блокировки запуска cmd.exe, taskmgr.exe, explorer.exe, iexplorer.exe,userinit.exe и regedit.exe в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. 7. Снятие блокировки запуска .exe, .cmd и .bat в HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts. 8. Перед изменением реестра разделы сохраняются в каталог For_check на системном диске восстанавливаемого пк для проверки параметров. 9. Проверка сохраненных файлов и вывод на экран сообщения, если параметр был модифицирован.
10. Запускается программа Autoruns.exe Для проверки параметров автозагрузки и назначенных заданий, нет ли там чего подозрительного.
11. Вывод на экран назначенных заданий. 12. При работе скрипта создается файл result.log в каталоге For_check Ввод буквы системного диска восстанавливаемого ПК при старте скрипта
Подключение к удаленному реестру делается при помощи программы runscanner.exe. Runscanner для HKCU запускается с параметрами: 1. Загружать последнего удалённого пользователя. 2. Диалог выбора профиля пользователя,если в системе больше одного пользователя.
Надо создать каталог sys_file в корне с rec_file_reg_livecd.bat файлом В каталоге sys_file должны быть файлы userinit.ex_,taskmgr.ex_,explorer.ex_,logonui.ex_
Файлы userinit.exe,taskmgr.exe,explorer.exe,logonui.exe скопировать из рабочей системы в sys_file и запаковать (запустить makecab_file.bat) Или файлы userinit.ex_,taskmgr.ex_,explorer.ex_,logonui.ex_ (с диска с Windows XP из каталога I386) скопировать в sys_file
1. start_regeditPE.bat - запуск regedit с подключением гостевого реестра. 2. Очистить перенаправление запросов браузеров на зараженные сайты. Доступ для обновления антивируса. del_static_routes.bat - Восстановить статические маршруты. 3. cleaner_temp.bat - Удалить временные файлы. 4. start_autoruns.bat - Отдельный запуск Autoruns. 5. rec_hosts.bat - Восстановить файл hosts для Windows XP. 6.info_mod_reg_win.bat - Проверка параметров в реестре без изменения, запуск из под активной системы. 7. SafeBootWin.bat - Восстановление настроек загрузки в SafeMode
Если восстанавливаемая система установлена на диск, например на D:. При загрузки с LiveCD или из-под другой системы, этот системный диск определился под другой буквой отличной от D:.Тогда в значение параметра Userinit запишется буква, которая определилась под загруженной системой.
Windows 7 меньше подвержена заражению локерами т.к. запуск локера происходит от имени пользователя, в отличии от Windows XP где преобладающее большинство пользователей работают под администратором. Windows 7 подвержена заражению локерами которые прописывают себя в автозагрузку. Лечится по инструкции от Дона. Или так: 1. Перезагружаем ПК, нажимаем F8 выбираем "Безопасный режим с поддержкой командной строки". 2. После загрузки появится Диалоговое окно командной строки. Запускаем диспетчера задач, команда taskmgr и нажимаем Enter. Нажимаем кнопку "Файл", затем выбираем в "Новая задача (Выполнить)" В открывшемся окне нажимаем кнопку "Обзор". И переходим к каталогу с скриптами и выбираем start_autoruns.bat и нажимаем ОК. И смотрим ключи автозагрузки.
Данный троянец по своему функционалу существенно отличается от всех известных до этого мошеннических вредоносных программ. При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись(MBR) и близлежащие сектора жесткого диска. В главной загрузочной записи жесткого диска после заражения появляется код, который загружает информацию с соседних секторов диска. Как следствие — на экран выводятся требования злоумышленников заплатить за разблокировку системы. При этом вирусы данного типа действую весьма избирательно – если на компьютере установлено несколько операционных систем, то за вход в каждую из них злоумышленники вымогают плату отдельно. При этом зловреды сконструированы так, что попытки восстановления MBR с помощью стандартных средств может привести к полной потере данных пользователя, поскольку оказывается поврежденной таблица разделов диска.
MBR вымогатели заражают главную загрузочную запись. Поэтому, баннер появляется до загрузки Windows, т.е. не получится даже загрузить (F8 или F5) меню выборов вариантов загрузки Windows. Баннер появляется буквально сразу после информационного окна Биоса. Баннер, как правило, очень примитивен, и часто визуально демонстрирует себя как текст на черном фоне.
Первый способ Лечение через установочный диск
Если у вас имеется диск, с которого был установлен Windows на ваш компьютер, то вставьте этот диск в компьютер и загрузитесь с него. Обращаю внимание, что при загрузке с установочного диска Windows появится строчка "Press any key to boot from CD....." и у вас будет 5 секунд, чтобы успеть нажать любую клавишу для загрузки с установочного диска, иначе пойдет загрузка с винчестера.
После загрузки установочного диска, вам будет предложен выбор действий. Нажмите кнопку R для выбора режима восстановления. Система предложит выбрать какую ОС из найденных восстанавливать. Нажать нужную цифру (обычно 1) и Enter. Если на учетную запись Администратора был установлен пароль, то потребуется его ввести, иначе просто нажать Enter. Появится Консоль восстановления, где ввести команду FIXBOOT и нажать Enter, попросят подтвердить - нажать Y. Теперь ввести команду FIXMBR, нажать Enter и опять для подтверждения нажать Y. На этом лечение MBR баннера закончено, введите команду EXIT и перезагружайтесь. Загружайтесь обычном способом.
Второй способ Лечение через специальные утилиты и Live CD
Если у вас нет установочного диска Windows, то используйте специальные утилиты для восстановления загрузочного сектора винчестера. Для этого необходим любой live cd, который позволяет работать через Проводник или имеет программы вроде Тотал Командер. На данных live CD, как правило, имеются программы для восстановления загрузочного сектора винчестера. Если нет желания разбираться в их работе, то скачайте утилиту BOOTICE (ссылка разссылка два) на флэшку. Загрузитесь с данного live CD и затем вставьте флэшку с данной утилитой, затем запустите данную утилиту с флэшки.
Появится меню. выбираем свой жесткий диск с диском C:\ и нажать Process MBR
Далее откроется меню , где автоматически выберется версия вашего Windows. Обязательно сохраните ваши настройки с помощью кнопки Backup MBR - сохраните их на винчестере с любым именем файла.
Далее нажмите кнопку "Install / Config". На все запросы нажимайте "ОК".
После этого загружайтесь обычным способом - баннер должен пропасть.
Совет
Если на заблокированном компьютере хранятся очень важные данные, то перед удалением баннера загрузитесь с live cd и посмотрите важные файлы (через Проводник или Тотал Командер)на вероятность их зашифровки блокировщиком - если файлы оказались зашифрованы, то лучше обратиться к специалистам до удаления баннера, т.к. если удалите баннер, а файлы окажутся после этого зашифрованы, то будет сложней их восстанавливать. После удаления баннера
Есть разновидность Winlock которые меняют(устанавливают) пароль на админскую учетную запись. Для сброса или смены пароля есть множетво программ, но попробуем это сделать вручную. Описание подобного способа в интернете не нашел. ( Спасибо грум за просьбу разобраться в этом вопросе) Данный способ проверялся на Windows XP, но думаю на остальных версиях тоже должен работать. 1. Загружаемся с LiveCD 2. Запускаем regedit (Win+R окно Выполнить введите regedit и OK) 3. Выбираем раздел HKEY_LOCAL_MACHINE. Нажимаем в меню на Файл и выбираем "Загрузить куст". Появится окно "Загрузить куст...", переходите в каталог Windows\system32\config (системы в которой необходимо сбросить пароль). Выбираем файл SAM и нажимаем "Открыть".
4. Появится окно "Загрузка куста реестра",задаем произвольное имя загружаемого раздела, например SAM_PASSWORD и нажимаем OK.
5. Переходим в HKEY_LOCAL_MACHINE\SAM_PASSWORD\SAM\Domains\Account\Users\Names и переходим в раздел соответствующий имени пользователя у которого надо сбросить пароль. Смотрим значение параметра "По умолчанию" и переходим в раздел с этим значением в HKEY_LOCAL_MACHINE\SAM_PASSWORD\SAM\Domains\Account\Users
6. Выбираем параметр "V" и переходим к строке 00A0 и обнуляем первое значение, переходим к строке 00A8 и обнуляем пятое значение. И нажимаем ОК.
7. Для сохранения значений надо незабыть выгрузить куст. Переходим на HKEY_LOCAL_MACHINE\SAM_PASSWORD затем в меню на Файл и "Выгрузить куст...".
