akasoft | Словил вирус

Прошедшим вечером случилась неприятная история. Хочу предупредить всех!

Системы защиты (а их у меня ажно три, одновременно действующие) были "пробиты" вирусами - Trojan.Winlock, который, в свою очередь, был, повидимому, загружен с помощью червя Trojan-Downloader.Win32.Small.jls.

Итог - появление при загрузке Windows следующего сообщения:

Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.

Диагноз.
Часть 1. Дня три назад мне пришло по "одноклассникам" письмо от моего доброго друга, со ссылкой - типа, глянь. Доверяя сайту и своему другу - я прошел по ссылке, которая, как выяснилось, была просто "разводиловом" на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на "одноклассниках" и шлют спам. Пока на том я и успокоился.

Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали - комп завис, пришлось его перезапускать. После перезапуска - получил то самое окно, что изображено выше...

Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.

Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее "подстелить соломки". А именно - завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.

Далее - дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin - это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll - это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp - там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки "праздника" из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска "servises.exe"
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ с содержанием "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe" и убрать лишнее, то есть должно быть так: "C:\\WINDOWS\\system32\\userinit.exe"

Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое - его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.

Чего ни в коем случае не нужно делать
1. Высылать СМС - то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей (каюсь...)
3. Открывать непонятные файлы, даже полученные от друзей

Все ссылки в данном посте проверены и безопасны! :-)

Удачи всем! Будьте осторожны! Надеюсь, тема развития не получит...