В общем столкнулся с проблемой, называемой Winlocker или Винлокер, или Блокировщик Виндовс — как кому угодно….
Суть проблемы:
На компьютере жертвы, троянской программой подменяются стандартные ключи реестра
HKEY_Local_MACHINE->SOFTWARE->Microsoft ->Windows NT-> CurrentVersion -> Winlogon:
Shell, UIHost, Userinit на пути, ведущие к исполняемому файлу трояна.
ко всему прочему, деактивируется диспетчер задач выставлением в 1 значения ветви реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr=DWORD:1
Результатом этих извращений, после перезагрузки — будет нелицеприятное окошко, от имени ФБР, ФСБ, СБУ, КГБ СССР, Президента Планеты Земля обвиняющее вас во всех смертных грехах, совершённых в просторах интернета, и требующее NNN-ую сумму денег, за разблокирование операционной системы с инструкциями на какой счёт, и каким образом их перечислить и, якобы, после оплаты штрафа и ввода кода разблокирования, выданного в чеке платёжного терминала, или присланного в ответном СМС – всё восстановится чудеснейшим образом… Не тут-то было.
Воришка, «сотворивший» данное «произведение искусства» не имеет ни малейшего желания каким-либо образом контактировать с вами, а уж тем более доступа к платёжному терминалу, чтобы в чеке сообщить вам пресловутый код, даже если он существует в природе. Не торопитесь что-то кому-то оплачивать. Оплатив – вы сделаете ещё хуже:
— лишитесь кровно заработанных денег
— стимулируете «создателя» баннера на дальнейшие свершения
— останетесь с заблокированной операционной системой.
Решение проблемы:
На самом деле вариантов несколько.
1. AntiWinLocker — здесь всё просто. Нужно создать загрузочный диск или флэш на другом компьютере, загрузиться с них на зараженном и следовать инструкциям.
2. Если не помогло – попробовать скачать бесплатно с оф. сайта Касперского или drWeb CD или USB – лечащие утилиты, которые также записываются на загрузочную флэш или диск, загрузиться с них на зараженном компьютере и следовать инструкциям.
3. Загрузиться с любого загрузочного диска либо флэшки (Live CD, ERD-commander) и отредактировать реестр вручную:
- грузимся с ERD commander (должна быть привязка именно к вашей версии ОС-Win 7х32, 7х64, Vistax32, Vistax64,XP, чтобы получить доступ к редактору реестра и управлению-авторан), со вставленным флеш носителем содержащим файлы explorer.exe userinit.exe идентичные для вашей версии Windows (разрядность должна совпадать). В моём случае использовался диск от лаборатории Касперского, основанный на дистрибутиве OpenSuse, в состав кроме лечащей антивирусной программы (которая, к слову, не помогла) входит удобный редактор реестра Windows.
— проверяем в реестре раздел Winlogon на соответствие Shell, Userinit и explorer
HKEY_Local_MACHINE->SOFTWARE->Microsoft ->Windows NT-> CurrentVersion -> Winlogon:
параметр Userinit должен быть C:\Windows\system32\userinit.exe,
параметр Shell — Explorer.exe,
параметр UIHost – logonui.exe - подменяем на всякий случай эти файлы через проводник.
первый находится в папке windows второй windows\system32
(действие не обязательно, но желательно, поскольку некоторые разновидности винлокеров подменяют файлы). - переходим в управление автозагрузкой HKEY_CURRENT_USER->Software->Microsoft->Windows->CurrentVersion->Run
-
управление автозагрузкой
- обычно только в пользователе но изредка бывает и во вкладке HKEY_LOCAL_MACHINE->Software->Microsoft->Windows->CurrentVersion->Run,
удаляем оттуда ненужные и неизвестные загрузочные записи, если Win 7, то перед очисткой автозагрузки реестра — смотрим расположение неизвестных файлов — удаляем их в каталогах. - удаляем все из папок Temp и Temporary Internet Files
проверяем в documents and settings , рабочий стол, application data , мои документы и, еще несколько подкаталогов куда любят прятать винлокеры, на наличие подозрительных исполняемых файлов. Удаляем, если находим. - перегружаемся заходим в систему запускаем антивирус, для полной уверенности можно установить программу Ccleaner и ней почистиь остатки мусора и реестр после винлокера.