Снова про вирусы-вымогатели Internet Security

Итак, прошло совсем немного времени с момента публикации статьи о вирусе Internet Security. Предположения о эпидемии оказались не только предположениями, а так оно и случилось.

О масштабах поражения можно судить по такому факту - сегодня по зомбоящику на канале НТВ прошло интервью с представителями компании DrWeb. Телевизионщики ошиблись и рассказ о новом вирусе был дополнен изображением прародителя Internet Security - Trojan.Winlock, который появился ещё в апреле 2009 года.

Trojan.Winlock распространяется в виде поддельных кодеков. При загрузке Windows на экран также выводится сообщение с требованием отправить SMS для разблокировки доступа к системе. В отличие от Internet Security он уже добавлен в вирусную базу Dr.Web и легко отлавливается.

Также признали, что новый вирус на данный момент не ловится даже обновленным антивирусным пакетом, т.к. модификации его выходят практически ежедневно. Для разблокировки компьютера у DrWeb также имеется сервис, где можно вводить код. Бесплатная разблокировка Windows от DrWeb Вот только для чего нужны были подобные украшательства совершенно не понятно - ребята явно в игрушки не наигрались.

Честно говоря попытался воспользоваться этими сервисами в качестве эксперимента и плюнул в конце концов. Возможно кто-то будет более удачливым, но мне так и не удалось подобрать действующий код. В итоге всё пришлось делать руками на очередном больном компе.

Возможно они просто не успевают за появлением новых модификаций... кто знает... у меня опыт оказался неудачным. Тем более для этих целей надо иметь либо второй комп, либо загружать мобильную версию в телефон или коммуникатор.

Способ разблокировки компьютера от вируса Trojan.Winlock с использованием ERD Commander

• отлючаем компьютер от сети
• загружаемся с диска с ERD Commander и запускаем Winternals ERD Commander;
• в окне Welcome to ERD Commander выбираем свою ОС –> OK;
• в окне ERD Commander Explorer выбираем диск, на котором установлена ОС (обычно, C:\);
• удаляем файл вируса, расположенный во временном каталоге текущего пользователя

C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\

• исправляем ключи реестра Start –> Administrative Tools –> RegEdit;

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра %Temp%\.tmp)

Shell на Explorer.exe;

• закрываем ERD Commander Registry Edit и перезагружаемся