Начало
Итак начнем. Одним прекрасным февральским утром я включил компьютер и обнаружил что firefox, opera, IE,
падают с невероятными ошибками, а другие приложения вообще не запускаются. Все это было странно и наводило на определенные мысли о проникновении вируса. Попытка запуска Avast провалилась и мне было сказано что его запуск запрещен некой политикой безопасности. Реестор и диспетчер задач также оказались намертво заблокированы.
Разбираемся
Было решено перезагрузиться в безопасном режиме и разобраться что к чему. Однако тут началось самое интересное. Весь рабочий стол был полностью закрыт сообщением псевдо-антивируса,
который естественно требовал отправить смс на короткий номер.
Найти и обезвредить
Вирус вроде бы блокировал все, однако мне с помощью кнопки windows удалось вызвать меню пуск и
открыть папку windows/system32/. Далее сортировка -> по дате. Видим кучу недавно созданных dll
и один файл ntldr.yxo. Удаляем dll'ки, а файл ntldr.yxo переименовываем (т.к. удалить его получается).
Снова перезагрузка...
Снова перезагрузившись мы видим что надоедливое окно о требовании денег уже не появляется, однако
мы по прежнему ничего не можем запустить, тем более ктото усердно пытаеться вызвать удаленные dll и ntldr.yxo. Очевивидно что есть еще какой то файл который этим занимается. Я скачал через ноутбук gmer, переименовал его (обязательно), и через флешку запустил на зараженной машине. gmer как анти-руткит нам не понадобиться, но в нем есть редактор реестра.
Реестр
Зараженные места
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows — очищаем значение AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — видим некий файл(и путь до него) sdra64.exe, удаляем данные из реестра и его самого
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths — здесь вирус прописал политики безопасности, удаляем их и антивирус снова работает
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell — еще левые файлы
Открыв ветку software видим имя ничем не примечательного файла в \windows\system32\… затем двоеточие и за ним случайный подбор цифр, букв и знаков препинания. Тоже удаляем.
Happi end
После очередной перезагрузки мы получим полностью работоспособную систему.
Итак начнем. Одним прекрасным февральским утром я включил компьютер и обнаружил что firefox, opera, IE,
падают с невероятными ошибками, а другие приложения вообще не запускаются. Все это было странно и наводило на определенные мысли о проникновении вируса. Попытка запуска Avast провалилась и мне было сказано что его запуск запрещен некой политикой безопасности. Реестор и диспетчер задач также оказались намертво заблокированы.
Разбираемся
Было решено перезагрузиться в безопасном режиме и разобраться что к чему. Однако тут началось самое интересное. Весь рабочий стол был полностью закрыт сообщением псевдо-антивируса,
который естественно требовал отправить смс на короткий номер.
Найти и обезвредить
Вирус вроде бы блокировал все, однако мне с помощью кнопки windows удалось вызвать меню пуск и
открыть папку windows/system32/. Далее сортировка -> по дате. Видим кучу недавно созданных dll
и один файл ntldr.yxo. Удаляем dll'ки, а файл ntldr.yxo переименовываем (т.к. удалить его получается).
Снова перезагрузка...
Снова перезагрузившись мы видим что надоедливое окно о требовании денег уже не появляется, однако
мы по прежнему ничего не можем запустить, тем более ктото усердно пытаеться вызвать удаленные dll и ntldr.yxo. Очевивидно что есть еще какой то файл который этим занимается. Я скачал через ноутбук gmer, переименовал его (обязательно), и через флешку запустил на зараженной машине. gmer как анти-руткит нам не понадобиться, но в нем есть редактор реестра.
Реестр
Зараженные места
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows — очищаем значение AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — видим некий файл(и путь до него) sdra64.exe, удаляем данные из реестра и его самого
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths — здесь вирус прописал политики безопасности, удаляем их и антивирус снова работает
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell — еще левые файлы
Открыв ветку software видим имя ничем не примечательного файла в \windows\system32\… затем двоеточие и за ним случайный подбор цифр, букв и знаков препинания. Тоже удаляем.
Happi end
После очередной перезагрузки мы получим полностью работоспособную систему.