Компьютерные террористы

Да, да именно они!!! Компьютерные террористы захватили рабочий стол и потребовали выкупа в виде СМС. Эта трагедия произошли недавно с компьютером одного хорошего человека. Естественно как добропорядочный пользователь он обратился за помощью к борцам с компьютерным терроризмом и вирусными эпидемиями.

Такие истории происходят каждый день, но в моем случае все было немного не так. Действительно рабочий стол был заблокирован, но вот ситуация произошла на большом расстоянии и оказать помощь на месте событий я не мог. Приходилось решать проблему в телефонном режиме. Что значительно усложняло дело так это отсутствие опыта у пользователя на другом конце провода, но не смотря на все трудности компьютер был разблокирован. В ходе работы потребовались некоторые специфические данные, вот их то я и постараюсь собрать в кучу, что бы были под рукой в следующий раз.

Окно блокирующее экран на Windows 7.0 загружалось не сразу, было окно в 30-40 секунд пока вредоносная программа грузилась. В этот промежутке можно было успеть вызвать диспетчер задач и запустить из него настройку автозагрузки. Делается это не сложно, в Диспетчере задач надо выбрать меню Файл и пункт Новая задача(выполнить) в открывшемся окне ввести msconfig, что даст возможность добраться до настроек автозагрузки.

В конкретно этом случае, даже быстрые действия по отключению содержимого автозагрузки не помогли.

Следующим этапом была загрузка в Безопасном режиме с поддержкой командной строки. Это практически пол дела, из командной строки получится запустить практически все что необходимо для восстановления контроля над системой.

Запуск восстановления системы. Естественно, что может быть лучше чем откат к предыдущему состоянию, т.е. к состоянию до заражения. Для этого в командной строке надо набрать команду rstrui.exe, которая располагается по следующему пути:

%systemroot%\system32\restore\rstrui.exe

Так как изначально командная строка дает путь по умолчанию %systemroot%\system32\, то придется выполнить команду cd restore для перехода в каталог с программой rstrui.exe. Эта программа способна помочь лишь в том случае если включена служба Восстановление системы, которую очень часто любят отключать в целях экономии дискового пространства.

В этом случае именно так и произошло, служба Восстановления была отключена и состояний до заражения, естественно, не было.

Если вариант с откатом не прошел — не беда, теперь можно проверить реестр и поискать злодея там. Запустить редактор реестра можно опять же из командной строки regedit.exe. В дереве реестра поищем и проверим некоторые ключи:

Запуск explorer.exe:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Shell должен иметь значение explorer.exe без всяких параметров.

параметр Userinit должен содержать C:\Windows\system32\userinit.exe,

Автозагрузка в реестре

для всех пользователей располагается по пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

для текущего пользователя

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run