Притащили сегодня ноутбук с Trojan.Winlock (трояном выводящим четырех голых теток и просящих деньги) все естественно заблокировано.
По предыдущему опыту скажу, что в лоб загрузка с WinPE и последующее сканирование различными антивирусами (avz, Kaspersky Virus Removal Tool 2010, Dr.Web CureIt!) не помогает, они ничего не находят 🙁
Уже не актуально Kaspersky добавил во втором пункте борьбу с этими троянами в Rescue Disk 10 http://support.kaspersky.ru/viruses/solutions?qid=208641245
Подготовка.
Пойдем другим путем, напишем скрипт разблокировки как как ноутбук можно было поковырять в течении дня.
Для начала скачаем набор утилит PSTools Нам потребуются PsKill и PsList
Затем скачаем потоковый текстовый редактор AWK версия для Windows (GAWK)
Загрузимся на чистой аналогичной Windows системе в безопасном режиме (или просто на машине где не так много процессов запущено) и выполним скрипт(указав все пути):
pslist.exe | awk "{print $1}" > good.txt
Тем самым мы создадим минимальный список «правильных» процессов в файле good.txt плюс несколько ошибочных названий в начале (но их мы оставим уберем лишь пробелы):
PsList Copyright Sysinternals Process Name Idle System smss csrss winlogon services lsass svchost svchost svchost avgchsvx avgcsrvx avgcsrvx explorer cmd pslist awk
Лечение.
Загружаемся с любого LiveCD (например любого Linux или WinPE).
Распаковываем GAWK например в папку c:\tools\
Затем копируем в папку c:\tools\bin\ файлы PsKill.exe, PsList.exe и good.txt
Теперь в папке c:\tools\ создадим скрипт killer.bat:
c:
cd c:\tools\bin
pslist.exe | gawk "{if ($1 != \"\") print $1}" | gawk "{print \"gawk \\\"BEGIN{a=0}{if ($1==\\\\\\\"\"$1\"\\\\\\\") a=1}END{if (a==0) {system (\\\\\\\"pskill \"$1\"\\\\\\\"); system (\\\\\\\"pause\\\\\\\")}}\\\" good.txt\" }" > kill_bed.bat
kill_bed.bat > bed.txt
либо
c:
cd c:\tools\bin
pslist.exe | gawk "{if ($1 != \"\") print $1}" | gawk "{print \"gawk \\\"BEGIN{a=0}{if ($1==\\\\\\\"\"$1\"\\\\\\\") a=1}END{if (a==0) {system (\\\\\\\"pskill \"$1\"\\\\\\\")}}\\\" good.txt\" }" > kill_bed.bat
kill_bed.bat > bed.txt
во втором варианте нет пауз при удалении процессов, в файле c:\tools\bin\bed.txt лог работы (с помощью msconfig можно убрать неизвестные программы/службы из автозагрузки).
Теперь создадим ссылку на скрипт killer.bat в папку C:\Document and Settings\All Users\Главное меню\Программы\Автозагрузка (либо аналогичную) и перезагрузим компьютер.
Скрипт запустится и убьет все ненужные процессы, затем можно будет полечить любым антивирусником, я воспользовался от DrWeb.
Не забудьте потом удалить ярлык killer.bat из автозагрузки.