Опубликовано 31 января 2010 в рубрике Windows XP

C конца 2009 кода многие пользователи Windows столкнулись со следующей проблемой.  При загрузке Windows или попытке запустить exe-файл на весь экран выскакивает баннер с просьбой отправить СМС-сообщение на определенный номер. 

Программы, блокирующие доступ к ресурсам операционной системы

Этот вид вредоносной программы класса Trojan-Ransom основан на блокировке доступа пользователя к ресурсам операционной системы. В этом случае пользователь не может завершить работу вредоносной программы или запустить любую другую программу, в том числе Диспетчер задач. Запустив такую троянскую программу, пользователь увидит на экране сообщение с требованием выкупа. Клавиатура и мышка будут продолжать работать, но на экране появится окно, которое невозможно свернуть, с которого невозможно переключиться (например, с помощью сочетания клавиш «Alt-Tab»). Остается только окно, расположенное поверх остальных, в котором сформулированы условия получения пароля для восстановления работоспособности системы.

 В зависимости от модификации вируса баннеры бывают различных видов. Вот некоторые из них:

Вирус может позиционировать себя как антивирус от  Microsoft или Лаборатории Касперского. Как же убрать этот баннер, если заблокирован диспетчер задач, заблокирован доступ к реестру, заблокирован запуск программ.  Алгоритм действий для «подолоння цiєї зарази» будет следующий (вариант отправки СМС, конечно, не рассматриваем):

I. Первый и наиболее простой вариант разблокировки Windows

1.      Найти код, позволяющий разблокировать компьютер с помощью Сервиса деактивации вымогателей-блокеров от  Лаборатории Касперского, либоСервиса деактивации от компании »Доктор Вэб». Если на  указанных сервисах не получается найти код разблокировки, то  стоит поискать его с помощью Google (или другого поисковика) на просторах интернета. Зачастую, нужный вам код уже где-то написан.

2.      Если удалось найти нужный код и разблокировать компьютер, то работа по спасению вашей системы еще не окончена.  Для окончательного удаления вируса с компьютера воспользуйтесь утилитами Virus Removal Tools, либо же Dr.Web Cureit.

3.      Если найти код разблокировки не удалось, то переходит ко второму варианту.

II. Второй вариант разблокировки.

1.      В этом случае нужно исправить несколько параметров в реестре Windows. Из инструментов понадобится диск с Windows-Based Live CD.  Как пример, Windows XPE или ERD Commander (для XP использовать версию 5.0, для Vista 6.0, для 7-ки — 6.5).

2.      Загрузитесь с LIVE CD. Зайдите в меню «Start»?«Administrative Tools»?«Registry Editor» (скриншоты см. под спойлером ниже).

3.      Найдите ключ Userinit в ветке реестра «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon». 

4.      Восстановите значение на «C:\Windows\system32\userinit.exe». То есть, в ключе Userinit должно быть только это значение (запомните тот адрес, который удаляете, в данном случае«C:\WINDOWS\system32\sdra64.exe»).

5.      Найдите ключ AppInit_DLLs в ветке реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows»

6.      По умолчанию, в значении этого ключа пусто. Удалите все, что в нем прописано.

7.      Закройте реестр.

В зависимости от модификации вируса, все что прописано после Userinitможет отличаться.

8. Удалите вредоносный файл который был прописан в Userinit (в данном примере это sdra64.exe).

9. Удалите на всех разделах жесткого диска папки: RECYCLER и System Volume Information.

10. Удалите содержимое следующих каталогов:

C:\WINDOWS\Temp
C:\WINDOWS\system32\config\systemprofile\LocalSettings\Temp & Temporary Internet Files
C:\Documents and Settings\Ваше_Имя_Пользователя\LocalSettings\Temp & Temporary Internet Files

11. Выгрузите ERD Commander и загрузите вашу копию Windows.

12. Теперь пора перейти к устранению последствий действия вируса. Необходимо скачать утилиту AVZ.

13. В окне утилиты выберите пункт меню «Файл»?«Восстановление системы».

14. Отметьте все пункты, кроме пунктов «Полное пересоздание настроек SPI (опасно)» и «Очистить ключи MountPoints & MountPoints2″. (см. скриншот под спойлером)

Нажмите, чтобы скрыть спойлер «

15. Нажмите кнопку Выполнить отмеченные операции.

16.  По завершении операции восстановления, перезагрузите компьютер. Все ограничения будут сняты.

17. Просканируйте компьютер утилитами Virus Removal Tools, либо жеDr.Web Cureit.