воскресенье, 22 января 2012 г.

Компьютер требует денег

  Компьютер клиента.
  Ярлыки, кнопка Пуск и панель задач полностью отсутствуют. Единственное украшение экрана - большое солидное окно с гербом Украины и заголовком ¨Министерство внутренних дел Украины¨. Смысл сообщения в окне - ¨Вы просматривали порно и гей-порно. А мы, бдительные милиционеры, это обнаружили. Если вы не хотите нести за это суровую кару, то перечислите столько-то ваших драгоценных гривен на счет в webmoney.¨
  На Ctrl-Alt-Del комп не реагирует. Он не реагирует вообще ни на что.
  Пришлось действовать очень грубо. Кнопка Reset. Перед стартом Windows нажать F8. Выбрать ¨Безопасный режим с поддержкой командной строки¨. И я наслаждаюсь таким необычным для Windows видом командной строки. С полным отсутствием таскбара, кнопки пуск и привычных часов. ЧИСТАЯ КОМАНДНАЯ СТРОКА. Вдохновленный примером Марка Руссиновича, архитектора ядра Microsoft и создателя прекрасных утилит Sysinternals, запускаю regedit.
  Просмотр известных мне мест автозагрузки выявил одно подозрительное место. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell стоит C:\Documents and Settings\user\Local Settings\Temp\wpbt0.dll (перед точкой ноль). А должен стоять стандартный Explorer.exe. Вручную исправляю ключ реестра. Поиск по всему реестру больше не показал каких-либо ссылок на wpbt0.dll. Поэтому выхожу из regedit.
  Теперь что-то надо делать с самим файлом wpbt0.dll. Так как он мог запускаться еще из какого-либо неизвестного мне места, его надо было уничтожить. Да так, чтобы если в компе еще остались ошметки этой заразы, они не могли бы заново создать этот файл.

  Поэтому в командной строке перехожу в папку с вирусом:
c:
cd %temp%

  Снимаю все файловые аттрибуты:
attrib -s -h -r wpbt0.dll

  Удаляю его:
del wpbt0.dll

  На месте вируса создаю папку с таким же именем и присваиваю ей атрибуты ¨скрытый¨ и ¨только для чтения¨:
mkdir wpbt0.dll
attrib +h +r wpbt0.dll

  Последнее нужно чтобы затруднить создание файла с вирусом. Тут нужно создавать именно папку, т.к. файловые операции для файлов и папок абсолютно разные и вирус не может удалить папку командой для удаления файла.
  Перезагрузка. Все работает.
  Просмотр антивируса показал, что он исправен и содержит свежие базы. Этот зловред оказался настолько новым, что не содержался в базе нашего корпоративного антивируса.
  Теперь появилась возможность запустить на компе утилиту Autoruns из набора Sysinternals. Просмотр запускаемых программ не выявил ничего подозрительного (я смотрел по цифровым подписям приложений). Добро снова победило.