Война с баннером в Windows XP

 Так уж повелось, что если ты работаешь в IT, не важно кем: сисадмином, программером, в техсуппорте или еще кем, то каждый знакомый и малознакомый, при встрече пытается рассказать о своих мега проблемах с домашними компами (ох не повезло же гинекологам =)). Нам прямо необходимо знать, как у них тупит фаерфокс, не загружается Wow, залипла клавиша "Any key" и т.д. и т.п.

 И вот воскресеный вечер, сижу в жаббер-конфе, никого не трогаю. Ребенок швыряет свой любимый мячик в мой любимый монитор - в общем, обычная домашняя идилия. Звонит телефон, знакомый семьи, заходит по-английски издалека, типа как дела, водки давно не пили, надо бы встретиться .... слушая тираду распинательств, жду очередную нерешимую проблему, т.к. просто так звонят только айтишнеги (поделиться радостной новостью, как они завалили сервак), ну и мама с папой волнуются, куда сын пропал. Ждать пришлось недолго, минут 5. В общем словил баннер, работать не может, а надо. Ну что ж, друг семьи, надо помочь .... -"Вези!".

 Вендой не занимался уже давно. Вспомним. Загружаю, после ввода пароля баннер такого типа -

 Поглумился немного, включил свой, иду на drweb.ru - "Разблокировать Windows (Trojan Winlock)", вводим номер телефона, получаем 66 вариантов кодов разблокировки (почему такое число не знаю, видать там тоже люди с юмором).

 На заблокированном компе осуществить копипаст довольно-таки проблематично, а выписывать на листочек и вводить - не наш метод =). Отметаем этот вариант, скачиваем Dr.Web LiveCD, запиливаем на болвань, запускаем полное сканирование ... На винте занято 30 Гб, проверка длиться 2(два!) часа, в итоге он удаляет кучу VBScript вирусов из Excel и вдобавок userinit.exe как зараженный.

 После этого естественно залогиниться я не могу, сразу идет логаут. Венды дома нет, цепляюсь на работу и тащу с первой попавшейся клиентской машины userinit.exe, загружаюсь, происходит логон, но дальше тишина. Сtrl+alt+del приводит обратно к появлению баннера. Dr. Web мы откладываем, только зря время потеряли.

 Курим гугл. По советам бывалых, качаю и гружусь с WinPE, просматриваю реестр, а именно в ветке:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 Ключи:

Shell Explorer.exe
Userinit C:\WINDOWS\system32\userinit.exe, 

(запятая обязательна, после нее не должно быть ничего)

 

 У нас вроде как все чисто. Ну, что ж, идем к конкурентам на kaspersky.ru - "Удаление баннеров с рабочего стола, разблокировка Windows", вводим номер

 Как видно из рисунка результатов никаких. В ценных советах указывается на их чудо Rescue диск, качаем, загружаемся. Запускаем Kaspersky WindowsUnlocker, реестр чист. Убивает userinit.exe и taskmgr.exe из c:\windows\system32, на всякий случай прогнал полную проверку, нашлись еще файлы вида AA32A6A24.exe в Documents and Settings и System Volume Information и  userinit.exe, taskmgr.exe в dllcache. Кстати здесь порадовало время проверки, около получаса.
 
 Копируем файлы userinit.exe и taskmgr.exe с рабочей системы, загружаемся, логон, заставка и пусто ....
 
 Проверяем реестр еще раз, чисто, курим гугл, меняем еще два файла - smss.exe и svchost, вуаля, перед нами загаженный пользовательский рабочий стол!
 
 Итак опытным путем было выведено - вирус подменяет userinit.exe, smss.exe и svchost.exe в c:\windows\system32, ну и как обычно, блокирует диспетчер задач, залипание клавиш (5 раз подряд нажать shift) и пр.
 
 Отсюда мораль: а ведь можно было сначала просто хорошо погуглить, но это ведь не для нас, не правда ли?! ;)

Системное администрирование

0
Голосов пока нет

Комментарии

удивлён, что у тебя это заняло так много времени. у меня на работе было несколько таких случаев, так там всё решалось банально - на форуме dr.web отыскивался нужный код разблокировки, а потом уже в нормально загруженной системе запускался любой нормальный антивирус, а не та корпоративная фигня, что у нас установлена (TrendMicro OfficeScan). всё занимало полчаса максимум, из них половина уходила на поиск кода, а всё остальное время - на работу, скажем, того же CureIt!

Приколол чел: "...а не та корпоративная фигня, что у нас установлена (TrendMicro OfficeScan)..." Про Dr.Web ясно же отписались - не всегда есть результат там... Вот и разъяснили на пальцах чего и где курить для решения....

Этих "вымогателей" вообще можно удалить за 5 минут!!! Если это конечно не "Национальный беларусский винлокер". smss.exe и svchost.exe менять не нужно. Блокировщик подменяет userinit.exe и taskmgr.exe не только из c:\windows\system32 но и из c:\windows\system32\dllcashe, а потом создает файл типа AA32A6A24.exe, который и блокирует систему. Лечится: удалить из с:\documents and settings\All users\Application data файл AA32A6A24.exe, затем поменять userinit.exe и taskmgr.exe в вышеуказанных папках с livecd, затем подгрузить куст реестра и почистить winlogon. Все реально за 5-7 минут.
Не согласен с "pizza" на форумах толку нет - искать долго и не факт что с пользой. Нужен просто livecd и правильный подход!!!

Вы конечно правы, но я пользовательскими компами с вендой не занимался уже очень давно, вот и результат - почти 3 часа битвы =)