Общественно-политический журнал

 

Лечим Windows своими руками

Для помощи нуждающимся, привожу сбор материала из интернета по устранению последствий вредоносных скриптов. Это материал послужит прекрасным дополнением к моей прошлогодней публикации на эту тему. Представленный материал позволит вам самим разобраться с проблемой и стать более уверенным пользователем

Пропал рабочий стол?

Пропал рабочий стол в Windows XP? Типичная ситуация после "лечения вирусов". Дело в том, что некоторые вирусы прописываются "отладчиком" к стандартному файлу explorer.exe - именно он ответственен за отображение иконок рабочего стола, кнопки "Пуск" и прочих элементов интерфейса. В результате, после удаления "вируса-отладчика", система не может запустить сам процесс explorer.exe. По счастью, есть довольно простое решение этой проблемы.

Несмотря на то, что рабочий стол пропал полностью (за исключением разве что картинки на нём) - есть возможность вызвать диспетчер задач (это делается путём одновременного нажатия клавиш Ctrl+Shift+Esc). Из диспетчера задач можно вызвать любую программу - и она будет работать. Впрочем, вызвать вручную explorer.exe (который находится в папке C:\WINDOWS, если система была установлена по умолчанию) всё равно при этом не удастся: будет выдано сообщение "Файл не найден". Хотя физически файл будет присутствовать. Но нам его вызывать и не нужно: нужно вызвать редактор реестра и исправить всего один ключ.

Для этого на вкладке "Приложения" диспетчера задач нажимаем кнопку "Новая задача", где вводим строчку "regedit" и жмём Enter. Открывается редактор реестра (если выдаётся надпись "Редактирование реестра запрещено администратором", читаем эту статью). Затем ищем следующий ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

И удаляем там прописанный "отладчик". Перезагружаемся - вуаля, рабочий стол восстанавливается.

Если в указанном ключе нет параметра explorer.exe, проверьте ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В нём должен быть строковый параметр Shell, в котором прописана строка explorer.exe (и больше ничего!). При отсутствии в параметре Shell строки explorer.exe (вместо него может быть указан вирусный исполняемый файл, но может и вообще ничего не быть) надо просто восстановить строку. При отсутствии самого параметра Shell надо заново создать такой же параметр (обязательно строковый) и прописать в нём explorer.exe. Никаких других файлов в параметре Shell указано быть не должно.

Естественно, делать эти операции нужно на полностью вылеченной системе. 

Для комплексного решения многочисленных проблем есть "живые" системы, загружаемые с флэшки/CD/DVD. Например, ERD Commander или InfraCD. В обоих есть утилиты редактирования реестра. Если в поражённой системе запрещён и диспетчер задач, и редактор реестра, плюс ко всему она по каким-то причинам не грузится в безопасном режиме с поддержкой командной строки - остаётся только использовать вторжение "извне".

Редактирование реестра запрещено?

"Редактирование реестра запрещено администратором" - эта ошибка появляется при попытке вызвать редактор реестра regedit.exe, если система была подвержена воздействию вируса. Решить проблему можно достаточно простым способом.

Нужно запустить менеджер групповых политик gpedit.msc. Для этого нажмите комбинацию клавиш Win+R (или "Пуск" - "Выполнить), введите в окошко gpedit.msc и нажмите Enter (если у вас ко всему прочему пропал рабочий стол, то запустить менеджер политик можно путём вызова диспетчера задач - Ctrl+Shift+Esc, там нажать "Новая задача" и действовать, как указано выше).

После этого откроется менеджер групповых политик системы. В левом окне нужно найти "Конфигурация пользователя" - "Административные шаблоны" - "Система". В правом окне - дважды кликнуть на опцию "Сделать недоступными средства редактирования реестра". Поставить опцию "Отключен" и нажать "Ок". После перезагрузки редактор реестра будет работать. Можно не перезагружаться, а свернуть все окна, кликнуть в пустое место рабочего стола мышью и нажать клавишу F5.

Естественно, делать и эту операцию нужно на полностью вылеченной системе, иначе действующий вирус тут же вернёт всё на место.

Отключен диспетчер задач?

"Диспетчер задач отключен администратором" - эта ошибка появляется при попытке вызвать диспетчер задач в случае, если система была подвержена действию вируса. Решить проблему можно способом, описанным ниже.

Необходимо запустить менеджер групповых политик системы gpedit.msc. Для этого нажмите комбинацию клавиш Win+R (или "Пуск" - "Выполнить), введите в окошко gpedit.msc и нажмите Enter (если у вас пропал рабочий стол, то запустить gpedit.msc можно путём вызова диспетчера задач - Ctrl+Shift+Esc, там нажать "Новая задача" и действовать, как указано выше).

Откроется менеджер групповых политик системы. В левом окне нужно найти "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Возможности Ctrl-Alt-Del". В правом окне - дважды кликнуть на опцию "Удалить диспетчер задач". Поставить опцию "Отключен" и нажать "Ок". После перезагрузки диспетчер задач можно будет вызвать привычными способами. Если неохота перезагружаться, можно свернуть все окна, кликнуть в пустое место рабочего стола мышью и нажать клавишу F5.

Естественно, делать эту операцию тоже нужно на полностью вылеченной системе, иначе действующий вирус тут же запретит диспетчер снова.

***

А вот это сообщение лаборатории Касперского заставляет задуматься. Вместо того, чтобы предоставить ясную и действенную инструкцию пользователям по удалению зловредного скрипта или антискрипт, им предлагают непонятную и очень сомнительную возню с паролями, продолжая, тем самым почерк создателей зловредного скрипта. Пользователю этим дают понять, что овладеть чужим паролем можно, просто им в данный момент не повезло:

Цитата:

В Сети обнаружен новый троян-вымогатель, блокирующий после своей установки работу компьютера, сообщается на сайте "Лаборатории Касперского".

Вирус маскируется под бесплатную программу, способную взломать анкеты пользователей социальной сети "ВКонтакте" по номеру учетной записи. Пользователю обещают, что программа позволит смотреть скрытые фотоальбомы, читать чужие сообщения и те разделы соцсети, доступ к которым был ограничен их создателями.

Однако вместо обещанной программы при нажатии на баннер, располагающийся на мошенническом сайте, происходит загрузка и автоматическая установка трояна Trojan-Ransom.Win32.Vkont.a, который блокирует компьютер.

Троян автоматически выводится на рабочий стол, а его установка не блокируется антивирусным ПО, поскольку программа не воспринимается как угроза, а ее установка инициируется самим пользователем. После этого троян требует внести платеж с помощью СМС для возобновления нормальной работы.

Для того, чтобы избавиться от зловредного ПО специалисты "Лаборатории Касперского" не рекомендуют отправлять СМС на номер, указанный трояном. Вместо этого они предлагают воспользоваться одним из сервисов по автоматическому подбору паролей