Обо мне

Моя фотография
Дикий Полярный Сов

вторник, 26 января 2010 г.

Про winlock

Надо сказать, что уже некоторое время функционирует раздел на нашем сайте, связанный с разблокировкой компьютера от всяческих винлоков: http://www.drweb.com/unlocker (в разработке которого я принимал непосредственное участие).

Однако вирусы успевают мутировать быстрее, чем они оказываются в наших списках (что, кстати, неизбежно). И вот в субботу я стал счастливым обладателем одного из таких винлоков, к счатью, сработанного без искры, без души.

Розовый порнобаннер выскочил на экран, когда я загрузил компьютер с утра (хорошо, наверное, тем, кто свой комп вообще не выключает - им это не грозит, по крайней мере, до перезагрузки). Первой моей реакцией было невыразимое офигение, потому что такого я явно не ожидал - подхватить эту "радость" было просто неоткуда.

Дальше - больше. В наших базах такого номера еще не было (что дало мне некоторый повод для гордости - ведь я стал кем-то вроде первопроходца, как же, как же), в чужих базах - тоже, гугление практически не помогло - в результате поисков мне стало известно только, кого искать - некий файл plugin.exe в директории Program Files.

Итак, пришлось чинить все руками.

Первым делом я загрузился в безопасном режиме. Баннера я не увидел, и это стало для меня хорошим знаком (и доказало, что винлок явно не доработали напильником, ведь некоторые умельцы присобачивают его аж к explorer.exe в качестве не то расширения, не то еще хрен знает чего, попутно блокируя безопасный режим).

Первым делом я удалил файлик plugin.exe из своих програм файлзов.

Однако, естественно было предположить, что, появившись там однажды, вирус захочет снова и снова оказываться в уютненькой директории. Поэтому было принято топорное решение, которое в итоге оказалось рабочим (или просто звезды так встали над моим компьютером, что все сработало):

* Я создал файл plugin.txt
* переименовал его в plugin.exe
* и запретил производить над ним какие-либо действия через "Свойства файла"

Далее, в редакторе реестра я нашел все ключи, содержащие в себе упоминание "plugin.exe", и удалил их (естественно, разборчиво : ) ). После чего осталось только отключить автозагрузку plugin.exe через msconfig.

До сих пор все *тьфу-тьфу-тьфу* работает.

Комментариев нет:

Отправить комментарий