Новые нюансы борьбы с Winlock

Уж сколько раз твердили миру: без антивирусных программ компьютер работать может лишь формально, но не фактически. Не жалейте денег на антивирусы! Не хотите покупать - можете антивирусы скачать бесплатно, но без защиты компьютер работать не может. Иначе - беды не оберешься! Я уже раньше писал про особенности борьбы с Winlock. Не скрою, этот метод с успехом помог многим людям и мне лично. Но вот не далее, как вчера я столкнулся с двумя непохожими странными случаями. Скажу сразу: работа потребовалась поистине ювелирная.

Ситуация первая. Приносят мне компьютер, стандарт: заражен Winlock. По методике (см ссылку выше) загружаю компьютер с помощью загрузочного диска ERD Commander, правлю реестр, перезагружаю… Компьютер намертво висит. При следующей перезагрузке все возвращается на круги своя: опять компьютер заблокирован Winlock.

В итоге вместо 15 минут возился более двух часов. В итоге выяснилось следующее.

Некоторые современные модификации Winlock меняют следующие файлы:

\windows\explorer.exe

\windows\TASKMAN.EXE

\WINDOWS\system32\logman.exe

\WINDOWS\system32\logoff.exe

\WINDOWS\system32\logonui.exe

\WINDOWS\system32\lsass.exe

\WINDOWS\system32\userinit.exe

Отсюда рекомендация: если эксплуатируете Windows XP - имейте на флэшке (или дискете) эти файлы с гарантированно чистого компьютера.

И как только подправите реестр – замените эти файлы.

Случай второй. Приносят мне другой компьютер – та же ерунда: заражен Winlock. Сразу перезаписываю вышеуказанные файлы, опять лезу в реестр… опаньки, а там все нормально! Перегружаю компьютер – опять Winlock.

А вот тут проблема оказалась вот в чем: эта модификация Winlock реестр не правила, а добавляла в автозагрузку некий файл, который прятался в какой-то вполне приличной папке.

Способ борьбы тут поистине ювелирный: загрузившись с диска ERD Commander надо посмотреть перечень автозагрузки. И, естественно удалить оттуда все, что вызывает хоть малейшие подозрения.