Вирус при загрузке Windows

Вирус в загрузочном секторе Windows

Намедни заочно познакомился с новым вирусом (где Вы их находите, ей богу?), который просит перевести примерно 25 долларов на определённый кошелёк в Webmoney в счёт погашения штрафа за просмотр, копирование и тиражирование видео взрослого характера.

2. Выбрать вариант загрузки Windows - "Безопасный режим с поддержкой командной строки"

После завершения загрузки и регистрации пользователя вместо привычного рабочего стола Windows, будет отображаться окно командного процессора cmd.exe

3. Запустить средство "Восстановление системы", для чего в командной строке нужно набрать rstrui.exe и нажать ENTER.

Далее пользователь должен выбрать необходимую точку восстановления. Рекомендуемая Windows точка восстановления может не подойти, поэтому лучше всего получить их полный
список

- переключить режим на "Выбрать другую точку восстановления" и в следующем окне установить галочку "Показать другие точки восстановления"


Все что ниже мое имхо, и личный опыт, на основе статей других людей и форумов.


Итак начнем с того что такое блокиратор - это программа которая средствами Windows добавляет себя в загрузки ОС. Антивирусные решения в большинстве случаев бессильны, т.к. криптографию ни кто не отменял, поведенческий анализ может и работает но я не видел. Слышал только что KAV 2012 самостоятельно избавился от вредоносной программы при обычном запуске компьютера.

Во-первых, нужно убедиться запущен ли процесс, который отвечает за отображение содержимого рабочего стола. А именно графическая оболочка explorer.exe.
Этот процесс и отвечает за отображение меню пуск, рабочего стола и панели инструментов.
В случае удаления этого процесса, будет отображаться лишь черный экран ,так как графический интерфейс не запущен.

Для Windows 7

После загрузки с компакт-диска перед вами будет следующий экран

как-убрать--появляющийся-баннер-при-загрузке-Windows-8

Изолированный в карантине файл с вирусом выглядит так:

Щелкнув правой кнопкой мыши, можно производить с файлом разные действия, например, удалить, восстановить "как было" (до вмешательства avast!), сохранить в другой папке на диске и т.д.

Как всякий порядочный антивирусный пакет, avast! включает не только
сканер (который запускается периодически), но и резидентный (постоянно
находящийся в памяти) антивирусный "экран". Это помогает постоянно следить за "здоровьем" компьютера и не допускать проникновения вирусов в систему.

Если быть точным, у avast! есть несколько резидентных модулей-программ, которые разработчики назвали "экранами". В главном окне программы они перечислены в меню "Экраны в реальном времени".

Если же в данный раздел добавить строковый параметр Shell принимающий значение "cmd.exe", то при следующем входе текущего пользователя в систему вместо стандартной оболочки пользователя на основе проводника будет запущена оболочка cmd.exe и вместо привычного рабочего стола Windows, будет отображаться окно командной строки .

Естественно, подобным образом может быть запущена любая вредоносная программа и пользователь получит вместо рабочего стола порнобаннер, блокировщик и прочую гадость.
Для внесения изменений в раздел для всех пользователей (HKLM. . . ) требуется наличие административных привилегий, поэтому вирусные программы, как правило модифицируют параметры раздела реестра текущего пользователя (HKCU . . .)

Если, в продолжение эксперимента, запустить утилиту msconfig, то можно убедиться, что в списках автоматически запускаемых программ cmd.exe в качестве оболочки пользователя отсутствует. Откат системы, естественно, позволит вернуть исходное состояние реестра и избавиться от автоматического старта вируса, но если он по каким-либо причинам, невозможен - остается только прямое редактирование реестра. Для возврата к стандартному рабочему столу достаточно удалить параметр Shell, или изменить его значение с "cmd.exe" на "explorer.exe" и выполнить перерегистрацию пользователя (выйти из системы и снова войти) или перезагрузку. Редактирование
реестра можно выполнить, запустив из командной строки редактор реестра regedit.exe или воспользоваться консольной утилитой REG.EXE . Пример командной строки для удаления параметра Shell:

REG delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Приведенный пример с подменой оболочки пользователя, на сегодняшний день является одним из наиболее распространенных приемов, используемых вирусами в среде операционной системы Windows 7 . Довольно высокий уровень безопасности при стандартных настройках системы не позволяет вредоносным программам получать доступ к разделам реестра, которые использовались для заражения в Windows XP и более ранних версий . Даже если текущий пользователь является членом группы "Администраторы", доступ к подавляющему количеству параметров реестра, используемых для заражения, требует запуск программы от имени администратора. Именно по этой причине вредоносные программы модифицируют ключи реестра, доступ к которым разрешен текущему пользователю (раздел HKCU . . . ) Второй важный фактор - сложность реализации записи файлов программ в системные каталоги. Именно по этой причине большинство вирусов в среде Windows 7 используют запуск исполняемых файлов (.exe ) из каталога временных файлов (Temp) текущего пользователя. При анализе точек автоматического запуска программ в реестре, в первую очередь нужно обращать внимание на программы, находящиеся в каталоге временных файлов. Обычно это каталог C:\USERS\имя пользователя\AppData\Local\Temp. Точный путь каталога временных файлов можно посмотреть через панель управления в свойствах системы - "Переменные среды". Или в командной строке:

С:\Windows\System32\taskmgr.exe — диспетчер задач,
C:\Windows\System32\userinit.exe — файл, отвечающий за параметры загрузки Windows,
C:\Windows\System32\dllcache\taskmgr.exe — резервная копия диспетчера задач,
C:\Windows\System32\dllcache\userinit.exe — резервная копия загрузчика.

Оригинальные файлы в большинстве случаев удаляются из системы. Как правило, троянские программы этого типа не предполагают разблокировки (реакция на ввод верного кода разблокировки вообще отсутствует в коде вредоносной программы), однако есть исключения — в этом случае оригинальные файлы могут сохраняться в директории C:\Windows\System32 со случайным именем, зачастую это 22CC6C32.exe.

Затем две копии троянца размещаются в папке C:\Documents and Settings\All Users\Application Data\. Чаще всего, это два файла, один из которых называется userinit.exe, а второй 22CC6C32.exe (для Trojan.Winlock.3278 файлы userinit.exe и yyyy21.exe или lvFPZ9jtDNX.exe). Также троянец модифицирует ключ реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, задавая в параметр Shell=“C:\Documents and Settings\All Users\Application Data\22CC6C32.exe».

Лечение:

Свойства ярлыка браузера

На всякий случай проверьте свойства ярлыка браузера, который расположен на рабочем столе. Обратить внимание стоит на поле «Объект». В конце не должно быть никаких URL (ссылок). Если таковые имеются – уберите.

Ну и последний шаг – изменение стартовой (домашней) страницы. Об этом я уже неоднократно писал. Ознакомиться со статьей можно тут (пример для Google Chrome):

http://goodquestion.ru/izmenit-domashnyuyu-stranicu-google-chrome/

С уважением, Виктория – блог inetsovety.ru

Наверх