июл
27
Руководство по ручному удалению Winlocker
В последнее время резко участились случаи заражения, к сожалению даже находящихся под защитой хороших антивирусов, компьтеров вирусом-вымогателем, так называемом winlocker или по-простому - баннер-блокировщик.
Основной причиной заражения является очень быстрое "мутирование" данного вируса. Лично мое мнение - это результат легкодоступности исходного кода зловреда и в большинстве случаев банальное
любопытство или-же просто желание выделиться (я бы даже сказал "выпендриться") ну и банальный "развод" на деньги.
Так-же распространению данной "заразы" способствует массовое увлечение бесплатными продуктами, позволяющих сэкономить аж целых 6(шесть) центов в день.
Ну да ладно, хватит теории, переходим к практике.
Если вдруг Вы стали "счастливым" обладателем какого-то антиквариата из серии блокираторов (а это возможно пожалуй только при полном отсутствии антивирусной защиты), то Вам может помочь компания "Dr.Web", со своим сервисом подбора кода разблокировки.
Вариант №2.Стоит для начала попробовать Kaspersky Rescue Disk. Если у Вас вариант примитивного типа - это поможет легко и быстро. Что нам для этого понадобится:
- Можно обойтись и обычной CD-"болванкой", но лучше взять любую флешку
- Если болванка - просто "прожигаем" образ, если флешка - еще дополнительно качаем и запускаем rescue2usb
К нашему великому сожалению (у меня обычно - это три случая из четырех) "легкий" способ от "Лаборатории Касперского" не смог нам помочь и назойливый баннер опять требует денег.
Ну что-же, как говорится "закатываем" рукава и приступаем к ручному "выкорчевыванию" заразы с нашего компьютера. Для этого нам понадобится доступ к реестру на зараженной машине.
Вариантов море. Все описывать нет никакого смысла, тем более, что эта статья не о редактировании реестра windows, а о вполне конкретной проблеме - winlocker. Дам только направление -
ERD Commander, Загрузить куст или REGloader, ну google в помощь.
Лично я поступаю еще проще - гружусь в так называемый "защищенный режим в режиме поддержки командной строки" (кто не знает как - просто придержать клавишу F8 перед самым началом загрузки
системы и выбрать нужный вариант загрузки) и в командной строке ввожу explorer, далее
"пуск"->"выполнить"(можно просто короткой комбинацией клавиш Win+R)->regedit
Ну что-же, будем считать, что так или иначе доступ к реестру зараженного аппарата получен. Начинаем чистить.
HКЕY_LОCАL_MАCHINЕ\SOFTWARE\Microsfot\Windows NT\CurrentVersion\Winlogon
Здесь нас интересуют только-лишь два параметра:
- Shell - должно быть только explorer.exe и ничего лишнего
- Userinit - правильное значение C:\WINDOWS\system32\userinit.exe, (запятая в конце обязательно нужна)
- AppInit_DLLs - должно быть абсолютно пустое
Все лишнее просто удаляем или если что-то не правильно - правим. В большинстве случаев этого достаточно для успешной загрузки без вымогателя, но если Вы пробовали вариант №2 и он Вам не помог - то продолжаем более глубокую чистку реестра. HКЕY_СURRЕNT_USЕR\SOFTWARE\Microsfot\Windows NT\CurrentVersion\Windows Если в этой ветке Вы обнаружите следующие ключи реестра Userinit, Shell, UIHost - их нужно попросту удалить.
У меня был случай ну очень "вредного" зловреда, если при попытке удаления Вы получите сообщение о невозможности из-за отсутствия прав, то просто щелкните правой клавишей мышки (ПКМ) по ветке реестра в левой части окна, выберите пункт меню "Разрешения..." и просто получите полные права на эту ветку.
Ветки автозапуска: HКЕY_LОCАL_MАCHINЕ\SOFTWARE\Microsfot\Windows\CurrentVersion\Run и HКЕY_СURRЕNT_USЕR\SOFTWARE\Microsfot\Windows\CurrentVersion\Run В правой части Вы увидите все, что загружается при старте системы. Удалите все подозрительные записи. Как правило они имеют не читаемое название и(или) смотрят на временный каталог.
Ветки отвечающие за одноразовый запуск:
HКЕY_LОCАL_MАCHINЕ\SOFTWARE\Microsfot\Windows\CurrentVersion\RunOnce
и
HКЕY_СURRЕNT_USЕR\SOFTWARE\Microsfot\Windows\CurrentVersion\RunOnce
Здесь можно вообще не церимониться - все что там есть смело удаляйте.
Наша следующая цель (может отсутствовать вовсе):
HКЕY_LОCАL_MАCHINЕ\SOFTWARE\Microsfot\Windows\CurrentVersion\Policies\Explorer\Run
и
HКЕY_СURRЕNT_USЕR\SOFTWARE\Microsfot\Windows\CurrentVersion\Policies\Explorer\Run
Все что есть удаляем.
Если обнаружите следующие папки в реестре
HКЕY_LОCАL_MАCHINЕ\SOFTWARE\Microsfot\Windows NT\CurrentVersion\ImageFileExecutionOptions\userinit.exe
и
HКЕY_LОCАL_MАCHINЕ\SOFTWARE\Microsfot\Windows NT\CurrentVersion\ImageFileExecutionOptions\explorer.exe
удалите их.
Далее:
HКЕY_LОCАL_MАCHINЕ\SYSTEM\CurrentControl\Control\SessionManager
Проверьте, правильное значение должно быть autocheck autochk *
Если у Вас Windows 7 x64, то может присутствовать ключик автозапуска программ:
HКЕY_LОCАL_MАCHINЕ\Software\Wow6432node\Microsoft\Windows\CurrentVersion\Run
С реестром вроде все. Можно теперь закрыть используемый редактор реестра и приступить к окончательной чистке компьтера. Будем удалять лишние мусорные файлы и папки. Для этого понадобится любой файловый менеджер, лично мне хватает стандартного проводника, ну или если есть, использую TotalCommander.
В указанном пути к файлу или папке комбинацию {C|D|E} следует заменить на соответствующую букву разделов Вашего диска, а под комбинацией %user name% следует понимать имя пользователя, зарегистрированного в системе, например: Гриша, Петя или просто Оператор.
Вот перечень папок для чистки:
{C|D|E}:\RECYCLER
{C|D|E}:\WINDOWS\TEMP
{C|D|E}:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp
{C|D|E}:\WINDOWS\system32\config\systemprofile\LocalSettings\TemporaryInternetFiles
{C|D|E}:\DocumentAndSettings\%user name%\LocalSettings\Temp | {C|D|E}:\Users\%user name%\AppData\Local\Temp
{C|D|E}:\DocumentAndSettings\%user name%\LocalSettings\TemporaryInternetFiles
{C|D|E}:\DocumentAndSettings\AllUsers | {C|D|E}:\ProgramData (ntuser.pol следует оставить)
{C|D|E}:\DocumentAndSettings\%user name% | {C|D|E}:\Users\%user name% (оставим только ntuser.{dat|pol|ini|dat.LOG|dat.LOG1})
Из следующих папок чистим только подозрительные и(или) не понравившиеся Вам файлы:
{C|D|E}:\DocumentAndSettings\%user name%\ApplicationData | {C|D|E}:\Users\%user name%\AppData\Roaming
{C|D|E}:\DocumentAndSettings\AllUsers\ApplicationData
Проверяем папку автозагрузки, не забывая, что ее можно легко перопределить через реестр
HКЕY_СURRЕNT_USЕR\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders
{C|D|E}:\DocumentAndSettings\%user name%\ГлавноеМеню\Программы\Автозагрузка | {C|D|E}:\Users\%user name%\AppData\Roaming\Microsoft\Start
Переместите куда-либо все подозрительные задания из папки
{C|D|E}:\WINDOWS\Tasks
Если убрали лишнее, потом сможете вернуть обратно.
Для опытных пользователей можно посмотреть на предмет подозрительных файлов еще и в этих папках, только аккуратно.
{C|D|E}:\Windows, Windows\System32, Windows\apppatch
Готово, перегружайтесь и обязательно проведите полную проверку любым хорошим антивирусом.
Это один из вариантов полуавтоматического удаления вредителя. Работа будет выполнена как и по Варианту №3, но с той лишь разницей, что бо?льшую часть ручной работы выполнит утилита AVZ. Читаем здесь...
Вариант №5.Лучшая защита - нападение. Переходим к превентивным мерам, ставим универсальную защиту от всех видов блокираторов-вымогателей AntiWinLocker.