Винлок – это вирус, блокирующий вход в операционную систему (в нашем случае, Windows XP) с целью выманивания у добропорядочных граждан платных СМСок. Винлоков существует превеликое множество, часть из которых действительно деактивируется после ввода полученного кода, а другая часть так и остается висеть, по-прежнему требуя отправить СМС. Но, как правило, для разблокировки требуется пройти тройную авторизацию (отправить 3 SMS) по 10$ каждая, т.е. в общей сумме примерно 900 рэ. Думаю, для большинства это довольно весомая сумма и пускать ее на ветер не рационально.

Но виросостроители не стоят на месте и современные винлоки стали поступать более подло по отношению к пользователям. Кроме стандартной поправки в реестре, теперь винлок перезаписывает значимые системные файлы. Мною была замечена перезапись файлов explorer.exe, userinit.exe и taskmgr.exe. Т.е. подменяется визуальная оболочка windows, процедура инициализации пользователя и диспетчер процессов.

В разных версиях винлоков может быть подменен либо один из этих файлов, либо сразу все три. Т.е. мы можем внести поправку в реестр, перезагрузить компьютер и увидеть вполне работоспособную систему, и работать в ней до тех пор, пока не вызовем диспетчер задач, после чего винлок снова заблокирует систему и опять же внесет поправку в реестр.

Чтобы узнать, какие конкретно файлы заменены, я делал следующее: загружался с LiveCD, вносил соответствующие поправки в реестр, удалял файл с оболочкой винлока, путь к которому прописан в параметре Userinit реестра, после чего выполнял стандартный поиск через проводник в папке Windows. Т.е. открываем «Мой компьютер», заходим в папку C:\Windows и запускаем «Поиск». На вопрос «Что вы хотите найти?», отвечаем «Файлы и папки». Далее, в строке «Часть имени файла или имя файла целиком» пишем «*.exe» без кавычек, т.е. ищем исполняемые файлы по маске. Теперь раскрываем опцию «Когда были произведены последние изменения», выбираем пункт «Указать диапазон» и указываем диапазон дат, начиная с даты заражения до сегодняшней даты.

Таким образом, в результате поиска мы получим наиболее вероятно зараженные файлы. У зараженных винлоком файлов есть еще две отличительных способности – одинаковая иконка файла, часто в виде помех на экране телевизора при отсутствии картинки, и одинаковый размер файла (обычно 12-13 Кб). Обладая этими знаниями, мы сможем обнаружить подмененные файлы. Рекомендую для начала обратить внимание конкретно на файлы explorer.exe, userinit.exe и taskmgr.exe.

После того как подмененные файлы были успешно обнаружены и удалены, у нас есть 2 варианта по восстановлению их первоначального состояния.

Во-первых, могу порекомендовать отличный реаниматор – ERD Commander. Если Вы серьезно занимаетесь восстановлением поврежденных ОС Windows – для Вас это просто бесценный инструмент. В данном случае, нас интересует функция Restore System – это стандартный виндосовский откат (восстановление системы), но работающий на мертвой Винде. Запускаем Restore System, делаем откат до даты, предшествующей заражению и имеем вполне работоспособную систему. Дело в том, что в момент заражения винлоком, система делает резервные копии файлов перед тем как винлок их перезапишет. Причем, самостоятельно)) Но этот способ недоступен, если в системе была заранее отключена функция восстановления.

Второй способ – просто найти необходимые файлы в интернете, либо скопировать с рабочей системы и заменить подмененные вирусом файлы на оригинальные. Но здесь важно не ошибиться со сборкой и версией сервис пака системы. Идеальный вариант – когда у Вас есть рабочая система установленная с того же дистрибутива, что и поврежденная. В любом случае, я выкладываю файлы explorer.exe, userinit.exe и taskmgr.exe со своей системы (Windows XP SP2, сборка 2600) в этом архиве. Может кому и сгодится))