Нейтрализация вредоносных последствий вирусов семейства Trojan.Winlock
5
Особенно внимательно следует отнестись к наличию в указанных
папках объектов, отвечающих следующим критериям:
• имена напоминают системные процессы, но программы запус-
каются из других папок, например, C:\Documents and Settings\Dima\
svchost.exe;
• имена вида vip-porno-1923.avi.exe;
• приложения запускаются из временных папок;
• неизвестные приложения запускаются из системных папок,
например С:\Windows\system32\install.exe;
• имена состоят из случайных комбинаций букв и цифр, например
C:\Documents and Settings\Dima\094238387764\094238387764.exe.
Если подозрительные объекты замечены, их имена и пути необходимо
записать, а соответствующие им записи удалить из автозагрузки. Имена
параметров могут быть различными, часто «load», «explorer», «userinit».
3.
Microsoft\Windows\CurrentVersion\RunOnce
— тоже ветвь авто-
загрузки, ее следует проанализировать аналогичным образом. Завер-
шив анализ, необходимо нажать на имя загруженного раздела и вы-
полнить «
Файл» → «Выгрузить куст»
.
2.2.
Анализ файла ntuser.dat
.
В файле ntuser.dat необходимо про-
верить следующие ветви:
1.
Software\Microsoft\Windows\CurrentVersion\Run
.
2.
Software\Microsoft\Windows\CurrentVersion\RunOnce
, задающие
объекты автозагрузки.
Необходимо
проанализировать их на наличие подозрительных
объектов, как указано выше.
3.
Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.
Эту ветвь
необходимо анализировать по аналогии с файлом software. Особое
внимание следует обратить на параметр
Shell
в ветке
Software\Microsoft\
WindowsNT\CurrentVesion\Winlogon,
он должен иметь значение
Explorer.exe
. Если такой ветки нет вообще — все в порядке.
Надо помнить, что часто вирусы имеют названия, схожие или
идентичные с названиями системных файлов, поэтому необходимо
обращать особое внимание на каталог, в котором они расположены.
Примечание.
При наличии возможности и желания целесообраз-
но снять винчестер с «зараженной» ОС и подключить к другому ПК
как съемное устройство. Лечение аналогично указанному в п. 1.2.
Заключение.
Вирусы семейства Trojan.Winlock
имеют большое
количество модификаций и представляют опасность для любой ОС
на платформе Windows. Для правильной разблокировки компьютера
необходимо удалить как исполняемый файл, так и записи о нем в ре-
естре, однако в реальности достаточно удалить только исполняемый
файл, в реестре остаются записи («ссылки» на троян). Блокировки
системы уже не будет, но данный способ не является корректным.