С начала 2010 года началось повальное распространение вирусов серии Windlock, предлагающих отправить SMS с кодом для активации якобы заблокированной Windows. Об одной разновидности данного вируса пойдет речь ниже.
Итак, вирус проявляет себя следующим образом:
Кроме того, вирус дает о себе знать блокированием всех exe, bat файлов, редактора реестра, антивируса (у меня вирус снес Avast запретив ему запускаться) и диспетчера задач.
Методы борьбы:
1. DrWeb CureIt в безопасном режиме - мне помогло ибо не грузился безопасный режим;
2. DrWeb LiveCD - мне данный метод не помог, так как не было найдено тело вируса;
3. Способ, который помог. С помощью загрузочного диска с WinPE (я использовал Alkid) запускаем комплект утилит ERD Commander предварительно задав путь к папке с зараженной ОС Windows. Запускаем редактор реестра, имеющийся в комплекте ERD Commander и проверяем следующие ветки реестра:
Параметр UserInit ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon должен иметь такой вид:
C:\WINDOWS\system32\userinit.exe,
Ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, параметр AppInit_DLLs
Лично у меня помогло редактирование второго параметра - в AppInit_DLLs был прописан файл с вирусом, находящийся по адресу $System_root$\Fonts\Aubunt.ttf:nsuUIbd
После правки вышеуказанного параметра все стало на свои места, однако необходимо восстановить работоспособность редактора реестра и диспетчера задач, о чем рассказано в соответствующих статьях в этом разделе.