Для начала объясню тем, кто здесь впервые, а также тем, кто здесь уже бывал – что такое винлок (winlock). Просто пару слов – своеобразная прелюдия)) Винлок – это вирус, блокирующий вход в операционную систему (в нашем случае, Windows XP) с целью выманивания у добропорядочных граждан платных СМСок. Винлоков существует превеликое множество, часть из которых действительно деактивируется после ввода полученного кода, а другая часть так и остается висеть, по-прежнему требуя отправить СМС. Но, как правило, для разблокировки требуется пройти тройную авторизацию (отправить 3 SMS) по 10$ каждая, т.е. в общей сумме примерно 900 рэ. Думаю, для большинства это довольно весомая сумма и пускать ее на ветер не рационально.

Универсальную инструкцию по удалению винлоков я уже выкладывал. Ознакомиться с ней (и воспользоваться) Вы можете в статье Xyecoc.net и другие. Но виросостроители не стоят на месте и современные винлоки стали поступать более подло по отношению к пользователям. Кроме стандартной поправки в реестре, теперь винлок перезаписывает значимые системные файлы. Мною была замечена перезапись файлов explorer.exe, userinit.exe и taskmgr.exe. Т.е. подменяется визуальная оболочка windows, процедура инициализации пользователя и диспетчер процессов.

В разных версиях винлоков может быть подменен либо один из этих файлов, либо сразу все три. Т.е. мы можем внести поправку в реестр, перезагрузить компьютер и увидеть вполне работоспособную систему, и работать в ней до тех пор, пока не вызовем диспетчер задач, после чего винлок снова заблокирует систему и опять же внесет поправку в реестр.

Чтобы узнать, какие конкретно файлы заменены, я делал следующее: загружался с LiveCD, вносил соответствующие поправки в реестр, удалял файл с оболочкой винлока, путь к которому прописан в параметре Userinit реестра, после чего выполнял стандартный поиск через проводник в папке Windows. Т.е. открываем «Мой компьютер», заходим в папку C:\Windows и запускаем «Поиск». На вопрос «Что вы хотите найти?», отвечаем «Файлы и папки». Далее, в строке «Часть имени файла или имя файла целиком» пишем «*.exe» без кавычек, т.е. ищем исполняемые файлы по маске. Теперь раскрываем опцию «Когда были произведены последние изменения», выбираем пункт «Указать диапазон» и указываем диапазон дат, начиная с даты заражения до сегодняшней даты.

Таким образом, в результате поиска мы получим наиболее вероятно зараженные файлы. У зараженных винлоком файлов есть еще две отличительных способности – одинаковая иконка файла, часто в виде помех на экране телевизора при отсутствии картинки, и одинаковый размер файла (обычно 12-13 Кб). Обладая этими знаниями, мы сможем обнаружить подмененные файлы. Рекомендую для начала обратить внимание конкретно на файлы explorer.exe, userinit.exe и taskmgr.exe.

После того как подмененные файлы были успешно обнаружены и удалены, у нас есть 2 варианта по восстановлению их первоначального состояния.

Во-первых, могу порекомендовать отличный реаниматор – ERD Commander. Если Вы серьезно занимаетесь восстановлением поврежденных ОС Windows – для Вас это просто бесценный инструмент. В данном случае, нас интересует функция Restore System – это стандартный виндосовский откат (восстановление системы), но работающий на мертвой Винде. Запускаем Restore System, делаем откат до даты, предшествующей заражению и имеем вполне работоспособную систему. Дело в том, что в момент заражения винлоком, система делает резервные копии файлов перед тем как винлок их перезапишет. Причем, самостоятельно)) Но этот способ недоступен, если в системе была заранее отключена функция восстановления.

Второй способ – просто найти необходимые файлы в интернете, либо скопировать с рабочей системы и заменить подмененные вирусом файлы на оригинальные. Но здесь важно не ошибиться со сборкой и версией сервис пака системы. Идеальный вариант – когда у Вас есть рабочая система установленная с того же дистрибутива, что и поврежденная. В любом случае, я выкладываю файлы explorer.exe, userinit.exe и taskmgr.exe со своей системы (Windows XP SP2, сборка 2600) в этом архиве. Может кому и сгодится))

Что-то мысля моя подрастянулась. В заголовке написал «Немного о винлоках», а оно вот вылилось в больше 4000 знаков. Но, думаю, это не повод менять заголовок)) Кстати, поиск по Яндекс.Картинкам по запросу «винлок» выдает фото Джозефа Винлока, астронома и математика)) И еще здесь, на сайте Доктор Вэба есть сказка про Винлока-Колобка.

Сисадминский анекдот:

Один неосторожный клик, и ты в порнухе.

5 комментария(-ев) к статье “Немного о винлоках”