[Ment69]

Итак спасибо всем откликнувшимся. Решить проблему удалось с помощью Antiwinlocker LiveCD и UltraIso. На другом ноутбуке из соседней палаты с помощью этого набора была создана загрузочная флешка и нетбук был разлочен в автоматическом режиме Вечером вчера уже общался с племяшкой, она молодец, умеет четко выполнять инструкции и пользоваться гуглем!!!!!!!!!!!!!!

[cher]

Ment69, дык всё таки у вас появилась возможность доп программного обеспечения.
appdata то очистили от типа 22CC6C32.exe.?(Antiwinlocker LiveCD каталог appdata не обрабатывает(насколько помню))
думаю да.иначе все может вернуться на круги своя.
(ньюансов много. тот же кэш браузера.плагин и.т.д)
когда появится возможность проведите детальный осмотр системы.

[old_nick]

Для автоматизации действий по удалению троянов-вымогателей написал небольшой скрипт.
Внимание! Скрипт работает только для XP! (В дальнейшем, возможно, сделаю аналогичный для семерки)

Общее описание работы
1. Распаковываем архив и копируем папку vircleaner на флэшку.
2. Загружаемся с внешнего носителя (например, с LiveCD).
3. Копируем папку vircleaner с флэшки в корень диска C:
4. Запускаем C:\vircleaner\vircleaner.cmd
5. Перезагружаемся и пробуем запустить систему в обычном режиме.
Скрипт восстанавливает системные файлы winlogon.exe, userinit.exe, taskmgr.exe, explorer.exe и правит ветку реестра Winlogon зараженной системы (как правило, именно в эти места вирусы вносят изменения, блокирующие работу системы). Также чистятся временные папки.
Описание действий также есть в комментариях самого скрипта.

Примечания
1. В скрипте путь к системному диску прописан как C:, путь к профилям - C:\Documents and Settings\. Если у вас системный диск при загрузке с LiveCD получит другую букву, надо соответствующим образом подправить файл vircleaner.cmd
2. Это первая версия скрипта, поэтому работоспособность системы может быть не восстановлена или восстановлена не полностью. Например, вручную придется разблокировать редактор реестра и восстановление системы и править измененные вирусом локальные политики. В дальнейшем постараюсь сделать скрипт более "интеллектуальным".
3. Даже если после применения скрипта проблема устранена, ОБЯЗАТЕЛЬНО сделайте полную проверку всех дисков бесплатными утилитами от Касперского ил DrWeb
4. Скрипт не будет работать, если на внешнем загрузочном носителе используется NIX-система (например, LiveCD от DrWeb).
Буду рад замечаниям и предложениям по улучшению.

[akok]

Насколько понимаю ключевот отличие от WindowsUnlocker это замена системных файлов. Проверка на наличие изменений перед запуском скрипта планируется?

[old_nick]

К сожалению, WindowsUnlocker еще не пользовался и услышал про нее только от Вас (иначе, наверно, не стал бы писать этот скрипт .
Судя по описанию с сайта, Касперский более глобально фиксит реестр, у меня же правится только ветка Winlogon. И, как правильно замечено, заменяются системные файлы (пока их только 4).

Цитата akok:

Проверка на наличие изменений перед запуском скрипта планируется? »

Не совсем понял. Какие изменения имеются в виду?

[iskander-k]

Цитата old_nick:

К сожалению, WindowsUnlocker еще не пользовался и услышал про нее только от Вас (иначе, наверно, не стал бы писать этот скрипт »

Это не страшно. Иногда умельцы -одиночки могут переплюнуть целые команды крупных лабораторий.

[O L E G]

Грузился с Life-CD, заместа TasManagera стандартного ставил PorcesAntiXaker -заменял в систем32\*.exe,перезагружаешь винду в обычном режиме,вызываешь диспетчер задачь, он выходит по верх Winlock и смотришь что запускается и удаляй

Через прогрумму АнтиАуторан смотришь откуда грузиться Lock файл,удаешь,правишь ветки

[O L E G]

Делай Бэкап чистого реестра на новой винде и ложи в сторонку ,вдруг пригодяться какие либо данные правильные,зная в какой ветке через поиск и блокнот можеш в своем бякапе найти эти данные

Любезный, можно скрипт написать с помощью subinacl.exe который нам даст на время работе нете,защиту!!! а какую то есть даст доступ только на чтение из этих веток,если надо установить программу с помощью скрапта можео реализовать стандартные настройки на данные ветки.Что даст нам защиту под NTFS,опять же если вирус не умеет менять безопасность в реестре! а таких мало на данный момент знач прокатит!)))

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян может прописаться: Userinit, UIHost и Shell.

[molecul]

На раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon можно ограничить полный доступ для Администраторов на запись, удаление значений (оставить только разрешение на чтение значений) для Windows XP или на запись, удаление и смену владельца для Windows 7. Но, как было сказано выше, частенько винлокеры пишутся и в HKCU и в другие разделы HKLM (в Run).

[old_nick]

O L E G, такой подход не всегда срабатывает. Некоторые вирусы подменяют путь к диспетчеру задач в реестре (параметр Taskman в ветке HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon) и прописывают там ссылку на себя. Поэтому помимо замены файла в папке system32 придется еще править и реестр.