Война с баннером в Windows XP
Так уж повелось, что если ты работаешь в IT, не важно кем: сисадмином, программером, в техсуппорте или еще кем, то каждый знакомый и малознакомый, при встрече пытается рассказать о своих мега проблемах с домашними компами (ох не повезло же гинекологам =)). Нам прямо необходимо знать, как у них тупит фаерфокс, не загружается Wow, залипла клавиша "Any key" и т.д. и т.п.
И вот воскресеный вечер, сижу в жаббер-конфе, никого не трогаю. Ребенок швыряет свой любимый мячик в мой любимый монитор - в общем, обычная домашняя идилия. Звонит телефон, знакомый семьи, заходит по-английски издалека, типа как дела, водки давно не пили, надо бы встретиться .... слушая тираду распинательств, жду очередную нерешимую проблему, т.к. просто так звонят только айтишнеги (поделиться радостной новостью, как они завалили сервак), ну и мама с папой волнуются, куда сын пропал. Ждать пришлось недолго, минут 5. В общем словил баннер, работать не может, а надо. Ну что ж, друг семьи, надо помочь .... -"Вези!".
Вендой не занимался уже давно. Вспомним. Загружаю, после ввода пароля баннер такого типа -
Поглумился немного, включил свой, иду на drweb.ru - "Разблокировать Windows (Trojan Winlock)", вводим номер телефона, получаем 66 вариантов кодов разблокировки (почему такое число не знаю, видать там тоже люди с юмором).
На заблокированном компе осуществить копипаст довольно-таки проблематично, а выписывать на листочек и вводить - не наш метод =). Отметаем этот вариант, скачиваем Dr.Web LiveCD, запиливаем на болвань, запускаем полное сканирование ... На винте занято 30 Гб, проверка длиться 2(два!) часа, в итоге он удаляет кучу VBScript вирусов из Excel и вдобавок userinit.exe как зараженный.
После этого естественно залогиниться я не могу, сразу идет логаут. Венды дома нет, цепляюсь на работу и тащу с первой попавшейся клиентской машины userinit.exe, загружаюсь, происходит логон, но дальше тишина. Сtrl+alt+del приводит обратно к появлению баннера. Dr. Web мы откладываем, только зря время потеряли.
Курим гугл. По советам бывалых, качаю и гружусь с WinPE, просматриваю реестр, а именно в ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключи:
Shell Explorer.exe
Userinit C:\WINDOWS\system32\userinit.exe,
(запятая обязательна, после нее не должно быть ничего)
У нас вроде как все чисто. Ну, что ж, идем к конкурентам на kaspersky.ru - "Удаление баннеров с рабочего стола, разблокировка Windows", вводим номер
Комментарии
удивлён
удивлён, что у тебя это заняло так много времени. у меня на работе было несколько таких случаев, так там всё решалось банально - на форуме dr.web отыскивался нужный код разблокировки, а потом уже в нормально загруженной системе запускался любой нормальный антивирус, а не та корпоративная фигня, что у нас установлена (TrendMicro OfficeScan). всё занимало полчаса максимум, из них половина уходила на поиск кода, а всё остальное время - на работу, скажем, того же CureIt!
Приколол чел: "...а не та
Приколол чел: "...а не та корпоративная фигня, что у нас установлена (TrendMicro OfficeScan)..." Про Dr.Web ясно же отписались - не всегда есть результат там... Вот и разъяснили на пальцах чего и где курить для решения....
Я еще больше удивлен
Этих "вымогателей" вообще можно удалить за 5 минут!!! Если это конечно не "Национальный беларусский винлокер". smss.exe и svchost.exe менять не нужно. Блокировщик подменяет userinit.exe и taskmgr.exe не только из c:\windows\system32 но и из c:\windows\system32\dllcashe, а потом создает файл типа AA32A6A24.exe, который и блокирует систему. Лечится: удалить из с:\documents and settings\All users\Application data файл AA32A6A24.exe, затем поменять userinit.exe и taskmgr.exe в вышеуказанных папках с livecd, затем подгрузить куст реестра и почистить winlogon. Все реально за 5-7 минут.
Не согласен с "pizza" на форумах толку нет - искать долго и не факт что с пользой. Нужен просто livecd и правильный подход!!!
Вы конечно правы, но я
Вы конечно правы, но я пользовательскими компами с вендой не занимался уже очень давно, вот и результат - почти 3 часа битвы =)