Статьи

Що робити, коли вірус блокує Windows

Надійшов тривожний дзвінок від користувача, комп'ютер вимагає відправити СМС повідомлення і загрожує втратою всіх даних.

Зайшов VNC, побачив краси. Є 2 різновиди цієї гидоти. Одна червоним віконцем, інша синім. Синє видаляється простіше - досить видалити файли blocker.exe і blocker.bin. Видаливши їх тим же провідником, я перезавантажився і нормально зайшов в вінду. А ось з червоним віконцем довелося поебстісь. Бо про нього в інтернеті інформації було мало. Сфоткати червоне не вдалося, так що ось вам синє: D

Відразу згадав, що колись читав про це на Хабре . Вірус виводить на екран віконце з пропозицією відправити смс на якийсь номер, щоб розблокувати Windows. Ctrl + Alt + Del, Alt + Tab і інші поєднання, які повинні згорнути / закрити / переключити на іншу програму природно блокуються. Перезавантаження навіть в безпечному режимі закінчується цим же віконцем.

Автор поста на Хабре люб'язно написав мануал як за допомогою 8 секундного утримання клавіші Shift він викликав вікно залипання клавіш. І через нього добрався до експлорера і системних дисків. Я дістався але на жаль не зміг викликати ні диспетчер задач, ні редактор реєстру, так як вони опинилися заблоковані адміністратором :) Я начебто нічо не блокував.

При спробі запустити Диспетчер завдань Windows (будь-яким способом - або за допомогою Ctrl + Alt + Del, або за допомогою Пуск -> Виконати ... -> taskmgr -> OK) з'являється діалогове вікно «Диспетчер завдань» з повідомленням «Диспетчер завдань відключений адміністратором», то це, як правило, говорить про зараження системи вірусами.

[HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ System] створюється параметр REG_DWORD DisableTaskMgr зі значенням 1.

Як зробити доступним запуск Диспетчера завдань, або Займемося «груповуха»
Навіть після видалення вірусу, що заборонив запуск Диспетчера завдань, запуск його неможливий. Щоб знову зробити можливим запуск Диспетчера завдань натисніть Пуск -> Виконати ... -> в полі Відкрити: введіть gpedit.msc -> OK -> відкриється діалогове вікно Групова політика -> Групова політика -> Політика «Локальний комп'ютер» -> Конфігурація користувача -> адміністративні шаблони -> Система -> Можливості Ctrl + Alt + Del -> справа у вікні Можливості Ctrl + Alt + Del подвійним клацанням лівої кнопки миші по рядку Видалити диспетчер задач (Стан за замовчуванням - Чи не задана) викличте вікно Властивості: Видалити Диспетчер завдань - > встановлений перемикач Включений > Поставте Відключений (або Не настроєно) -> Застосувати -> OK.

Я подібним гумором не займався, підключився до реєстру користувача через мережу і змінив непотрібні ключі. Але вірус на цьому не здався, він відкривався поверх всіх вікон, і ховав, все що відкрито. Гаразд хрін з ним. Підемо через дупу.

DameWare NT Utilities рулить, і показує мені в процесах чувака з ім'ям don9CF6.tm p. Знайшов, загасив, видалив його з папки Temp. Поліз далі рити реєстр на ім'я цього файлу. знайшов

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ CurrentVersion \\ Winlogon]

Значення параметра Userinit має бути \ "C: \\ WINDOWS \\ system32 \\ userinit.exe \" (або буква вашого системного диска)

А там було C: /windows/system32/userinit.exe; c: / документс & сеттінгс / обліковий запис / local settings / Temp / don9CF6.tmp.
Видалив другу частину параметра і все загрузилось чарівним чином. Таким чином файл лежав на алл юзерс, а на тому акаунті, де було спіймано, при цьому в папці Temp і розширення .tmp. Видать там тіло вірусу і було.

Видалив все говіння ключі і файли і після перезавантаження комп'ютер став працювати як раніше, навіть ще краще;) А адже секретарка, думала вже СМС відправити за 300 рублів :)))

До речі ДокторВеб написав генератор таких ось кодів.

Новости