Piszę tego posta w dobrej intencji i sądze, że przyda się komuś.
Najpierw nakreślę sytuację. Podobnie jak duża ilość osób, padłem ofiarą ransomware'u, który blokował mój komputer. O ile większość z Was, miała do czynienia z wersją, która 'tylko', uniemożliwiała dostęp do trybu normalnego, ja nie miałem możliwości uruchomienia trybu awaryjnego (wszystkich typów), napędu CD-ROM [uSB nie próbowałem, ponieważ nie miałem pod ręką]. Jedyne co mogłem zrobić, to skan w sekwencji dwóch dysków [Master-Slave], lecz i to zakończyło się fiaskiem, gdyż system na drugim dysku padł. Złośliwość rzeczy martwych. Zostałem z systemem zblokowanym przez ten wirus i główkowałem przez pewien czas, jak go dopaść.
Nie przedłużając.
Możliwe, że usunięcie jednego ogniwa, powoduje zaprzestanie całego procesu blokowania komputera, przynajmniej tak wywnioskowałem. Uznałem, że jeśli trojan wyłącza explorer.exe zaraz po przełączeniu ekranu powitalnego na pulpit, muszę go uprzedzić w fazie ładowania procesów, by przerwać całą akcję.
Sekwencja wyglądała mniej więcej tak.
1. Rozruch
2. Pojawienie się błękitnego ekranu powitalnego
3. Natychmiastowe włączenie menadżera urządzeń [ctrl+alt+del].
4. Znalezienie explorer.exe i wyłączenie go [delete -> enter (akceptacja)]
Jeżeli to nie poskutkuje (u mnie wystarczyło), należy wyłączać wszystkie uruchamiające się procesy, do momentu, aż będziemy mieli pewność, że plansza wirusa się nie załączy.
Wtedy wystarczy wejść w Aplikacje (obok procesów), kliknąć "nowe zadanie", i wyszukać explorer.exe (o ile się nie mylę ścieżka domyślna to: C:\Windows\explorer.exe).
Teraz system powinien być 'oblokowany' przy obecnym rozruchu. Należy usunąć trojana wszelakimi dostępnymi środkami. Mojej osobie wystarczył Kaspersky Anty-Virus 2012 i skanowanie obszarów krytycznych (aktywnych głównie przy rozruchu).
Mam nadzieję, że to coś pomoże i nie wyląduje w śmietniku, zresztą, uważam, że zrobiłem co do mnie należało, czyli podzieliłem się jednym z wielu możliwych sposobów uporania się z tym dziadostwem.
Uwagi:
- explorer.exe - to proces odpowiadający za interfejs [menu] i pulpit. Wirus wyłącza go, a następnie blokuje menadżera zadań, byśmy nie mogli uruchomić interfejsu ponownie.
- Możliwe, że będzie trzeba zrobić kilka podejść.
- Nie wiem jak sytuacja się ma na XP/Vista/Win7.x32, lecz uważam, że należy zastosować analogiczne kroki.
Pisane przez laika komputerowego.
Pozdrawiam,
Damian.