Гей-порно блокировщик подменяет userinit

19.09.2011

Пару дней назад мне пришло 2 заявки на лечение столь нашумевшего трояна, блокирующего компьютер за, якобы, просмотр гей-порно, детского порно и всяческих иных извращений, подпадающих под страшные статьи. Один из них оказался простым и банальным MBR.Lock'ом, со вторым же пришлось потрудиться.

Прогресс, как говорится, не стоит на месте и вирмэйкеры жаждут лёгкой наживы за счет стыда: «пойду ка я лучше заплачу эти 120-300 гривен, а то вдруг увидит мама-папа-босс-парень-девушка». Эволюция троянов-блокировщиков налицо: первым версиям достаточно было вернуть ключик в реестре из-под безопасного режима, современные же бациллы подменяют системные файлы. Несмотря на то, что погода в тот день была прохладной, мне пришлось изрядно попотеть. Вот основные симптомы и метод лечения.

Попрошайка грузится вместо рабочего стола, то есть в реестре подменен shell. Зайдя из-под лив-сиди, я поправил шелл-ключик, а по пути, указанном в нем, я отследил бациллу(22CC6C32.exe) и удалил. На всякий случай я удалил содержимое папки Recycler на диске С(да, копия бациллы там была). Перезагрузка ... баннер на месте. Хмм, интересно! Проверка Winlogona в реестре показала, что все в порядке, юзеринит указан верно. Мануальная терапия подсказала, что подменен сам файл userinit.exe, а правильный файл лежит рядом, в той же папке system32, но называется он 03014D3F.exe(ПКМ-свойства подскажут, что это настоящий юзеринит). Удаляйте userinit.exe и переименуйте 0314... в userinit. Перезагрузка, баннер исчез. «Фуууух», — подумал я, но на всякий случай решил тремя пальцами проверить наличие интересных процессов. Баннер на месте :) taskmgr.exe также подменен. Снова загрузка с ливсиди, шелл на место, юзеринит на место, но таскмгр удалять стремно, ведь неизвестно, где настоящий диспетчер.

В итоге я решил не заморачиваться и скачал AntiWinLockerLiveCD.iso(простое гугление поможет вам найти официальный сайт с одноименным названием), прожег диск, загрузился с него. Нажал на кнопку «Автоматически», затем поставил галки напротив файлов, помеченных красным, и запустил программу. По завершению работы в ручном режиме глянул правильность путей и назначение шелла и перезагрузил компьютер. Бациллы не было, победа!