Предыстория:
Вчера у меня был интереснейший день. Вообще то я программист, но так
уж повелось,что приходится админить в конторе. Админ у нас есть, но
девушки почему то за помощью идут ко мне.
Вчера пришла главбух (человек, который начисляет зарплату!) и говорит:
порнобаннер. И вот после этого слова становится как то грустно-грустно.
Ибо там же всякие 1с и банк-клиенты, домен, сертификаты с ключами, в
общем винду так просто не снесешь.
А лечить комп надо и срочно. Комп я вылечил. Из консоли. Сейчас буду рассказывать как.
История
Надо сказать, что винлокер попался то ли из новых, то ли из крутых:
Блокировал клавиатуру и мышь. Работала только клавиша виндовс – по ней
выскакивало меню пуск. По меню даже можно было вполне перемещаться,
только баннер мешал – закрывал весь центр экрана. Баннер просил
отправить смс на 3381 и говорил что принадлежит pornhud.com. Однако эта
информация ничего полезного не дала.
Способ 1 (мне НЕ помог)
Первым делом я пошарил в нете – на сайтах антивирусов дают коды, которые
позволяют разблокировать комп, будто ты отправил смс. Мне не помогло –
то ли коды старые, то ли в моем случаи разблокировка не
предусматривалась совсем =)
Вот список сайтов:
support.kaspersky.ru/viruses/deblocker — деблокиратор от Касперского.
esetnod32.ru/support/winlock.php — Nod32
www.drweb.com/unlocker/ — то же от Др.Веба.
www.drweb.com/unlocker/mobile — и мобильная версия сервиса.
virusinfo.info/deblocker/ — деактивация от Virusinfo.
Еще полезную информацию можно почерпнуть здесь:
Кто виноват и что делать – хабрахабр.
Много где советуют использовать вот этот антивирь:
http://www.z-oleg.com/secur/avz/download.php
Мне не помог, но плюс в том что его можно запустить из консоли. делается это например так:
win+r - запуск консоли, потом start f:\avz4\avz.exe ag=y scandrive=hdd delvir=y run=y
f – это имя флешки,на которой антивирь. Мне пришлось перебирать буквы на угад, пока не получилось.
avz4\avz.exe – путь к файлу антивируса.
ag=y – включить защищенный режим
scandrive=hdd – сканировать жесткие диски
delvir=y – автоматически удалять вирусы
run=y – запустить сканирование
Больше информации по командам можно найти на оф. сайте.
P.S. Не забудьте обновить базы ;)
Способ 2 (Помог!)
Почти сразу я заметил, что если нажать win+r то окошечко «Выполнить» появляется, но тут же закрывается. Эксперимент показал, что если очень быстро нажать win+r
и затем любую букву(так же быстро) – то командная строка не
закрывается, хотя окно и закрыто и в ней можно набрать заветную команду cmd.
По команде cmd открывается консоль виндовс.
Далее я делал так:
1. Набрал tasklist.
В консоли появился список процессов.
2. Коммандой taskkill /f /im имя_процесса.ехе уничтожал все подозрительные и ненужные процессы (ненужные, чтоб можно было повторить tasklist, ибо прокрутить окошко я не мог, а часть была за его границей)
3. После taskkill /f /im bldjad.ехе порнобаннер исчез. Вернулась часть функциональности системы.
Но не вся, и после перезагрузги вирус должен был вернуться.
4. Скачал на другом компе ProcessExplorer, бросил ярлык от нее в папку автозагрузки (Пуск->автозагрузка). Программа показывает путь, откуда грузится процесс.
Переместил окно так, чтоб после перезагрузки баннер не закрывал ее(программа запоминает положение окна).
Правой кнопкой на список колонок(или View->Select Columns). Необходимо чтобы стояла галочка image path:
5. Все, теперь, по возможности корректно, перезагружаем комп.
6. Смотрим, в появившемся ProcessExplorer’е , путь, откуда грузится наш процесс. У меня это была папка C:\Documents and Settings\имя_пользователя\Local Settings\Temp\bldjad.exe
7. Повторяем пункт 2 (мочим процесс), потом идем в папочку и добиваем файл в ручную.
8. Наслаждаемся! =)
9. Устанавливаем всяческие антивирусы и закрываем дыры в
безопасности (бьем бухгалтеров по рукам). Этот пункт поиситине достоин
отдельной статьи. Может кстати и напишу ;)
Вот как то так. Пока дыра не закрыта – не пришли мы в конторе к
единому мнению по данной проблеме, написал небольшой батник, убивающий
сей процесс. Хз зачем, но так спокойней ))
P.S. Есть еще два способа – можно попытаться
перезагрузиться в безопасном режиме и просканить комп, можно загрузиться
с LiveCD, но у меня его не было, да и лениво было. Кто то еще говорил,
что с более простыми вирусами помогает смена пользователя виндовс. Но
мне такие как то не встречались.
P.P.S. У меня это первый опыт подобной борьбы, поэтому если что не так – не стесняйтесь меня учить )
Источник: http://lightaway.wordpress.com |