Что делать, когда вирус блокирует Windows

Что делать, когда вирус блокирует Windows

В стране и миреСеть и ПК
Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных.

Нашел VNC,  узрел красоты. Есть 2 разновидности этого вируса. Один с  красным окошком, другой с синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось сложнее. Ибо о нём в интернете информации было мало.

 

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач.
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто.

DameWare NT Utilities  показывает мне в процессах  don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше искать в реестре на имя этого файла. Нашел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.

Удалил все ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше.  А ведь секретарша, думала уже СМС отправить за 300 рублей


 

 

Вступайте в группу Новости города Новокузнецк в социальной сети Вконтакте, чтобы быть в курсе самых важных новостей.

всего: 1308 / сегодня: 2

Комментарии /3

18:4816-01-2010
 
 
Читатель
интересно)
не дай бог и нам такую проблемку.

03:5817-01-2010
 
 
Читатель
Так было уже... Спасибо, реально полезная новость.

10:5017-01-2010
 
 
Читатель
На сайте Dr Web есть страничка с ключами, для удаления подобных вирусов . Картинок вирусов там много news.drweb.com/show/?i=304&c=5,

Смайлы

После 22:00 комментарии принимаются только от зарегистрированных пользователей ИРП "Хутор".

Авторизация через Хутор:



В стране и мире