За последние время участились вирусы разновидности Winlock. Разновидностей данного вируса очень много, ну суть у них одна, заблокировать юзеру компьютер и заставить отправить СМС. Вирус использует различные способы себя запускать. Например одним из способов запуска - это прописать себя с запуском explorer.exe. Но такой вирус легко вычислить и разобратс с ним. Второй вариант: загружаться вместе с userinit.exe. При таком раскладе справится с ним средствами окон не получится, поэтому понадобится например ERD Comander, в котором данная запись успешно правится, и дальше побороть вирус не составит труда. Ну сегодня хотелось бы подробно остановится на новейшей версии данного вируса, который получил вирус "Trojan.InternetSecurity". Он имитирует себя под антивирус, за пару сек находит кучу вирусов, и просит заплатить вам за их лечение. При этом он вешается почти на весь экран, и запускается сам при нажатии почти на все exe файлы, а остальные запускаемые файлы просто блокирует. Начнем с того, что разработчик данного вируса предусматрел не все, он наверно и не знал что есть такое разрешение как .com или надеялся что оно не кому не поможет. но это далеко не так. Я пошел в в windows/system32 и поменял разрешение таким файлам как: cmd.exe на cmd.com, taskkill.exe -> taskkill.com, tasklist.exe -> tasklist.com. После данной процедуры у меня заработала командная строка. И с помощью команды tasklist я смог просмотреть список всех процессов, подозрительным показался rundll32 который запускался второй раз, когда появлясь окошко отправить смс, убивая данный процесс командой: taskkill /f /im rundll32.exe. Окошко исчезало. Но всеравно запускалось потом, но зато сейчас она уже не мешало мне думать дальше. В процесса всплыла в памяти такая хорошая виндовая утилитка как DEP, мало кто про нее знает, но данная утилита очень сильно помогает. Так идем в свойства Компьютера там во вкладку "Дополнительно" далее в "Быстродействие" -> "Предотвращение выполнение данных" Там ставим 2 галочку и добавляем что надо заблокировать rundll32.exe который находится в windows/system32/. После чего перезагружаемся, качаем с интернета последнию версию ComboFix, и запускаем. Все что проделали выше даст нам возможность его запустить. Если просто не запускается, то нужно заупстить его от имени Администратора, или еще какого либо Администратора компьютера. В процессе он 2 раза перезагрузит ваш компьютер и вуаля вируса нет. Данный способ получили: Каплун Михаил и Ересько Евгений