Včera jsem poprvé po snad minimálně deseti letech bez antiviru (pouze s občasnými kontrolami stavu systému) měl na počítači vira (respektive – měl jsem vira v jednom z mnoha systémů, které na počítači mám). Doteď úplně nechápu, jak se mi sem dostal (ale mám podezření – instalace jedné aplikace o pár hodin dříve, která do systému s sebou bez ptaní zatáhla jakýsi PC Tuner nebo tak nějak).
Docela záludná mrcha, co se projevů týče. Po restartu počítače se mi objevila místo plochy jen bílá obrazovka a posléze to, co je vidět na fotkách níže. I mně na chvíli (než jsem si to přečetl pořádně a všiml si češtiny ala „drahoušek zákazník“, charakteristické pro internetové podvody – i když tahle mutace tohoto viru je na tom evidentně o poznání lépe než mutace předchozí – a skutečnosti, že jsem úplně na konci zcela nepokrytě vyzýván k zaplacení úplatku, což bych ani od Policie ČR přece jen neočekával) zatrnulo, co to má být a kde budu muset s kým ztrácet čas nějakým vysvětlováním, o jaký nesmysl jde. Vůbec bych se nedivil, kdyby to někdo míň internetově zdatný vzal naprosto vážně (i proto tohle píšu).
Tahle obrazovka zcela překrývá plochu, takže se s ní nedá nic dělat. Dá se jít na lockscreen, ale nejde spustit třeba ani Správce úloh – respektive jde, ale jeho okno není vidět. Stejně tak nejde ani spustit nouzový režim – ihned po nastartování se systém zase vypne.
Jedinou možností je pustit nouzový režim s příkazovou řádkou, to naštěstí funguje. (Spousta návodů na netu uvádí restart do nouzového režimu se sítí, ale to u téhle pravděpodobně nové mutace nefungovalo.) Vir se nastavuje v registrech jako systémový shell, takže se dá ze zmíněné příkazové řádky poměrně snadno odstranit.
Nejdříve je vhodné se podívat, kde se nachází soubor s virem. To lze udělat následujícím příkazem:
REG QUERY "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
Vypíše se více řádků, na pravděpodobně posledním bude něco jako:
Shell REG_SZ explorer.exe, C:\Users\(jménouživatele)\AppData\Roaming\skype.dat
Soubor s virem se tedy jmenuje „skype.dat“ a nachází se na uvedené cestě. Samozřejmě se může jmenovat i jinak a nacházet se někde jinde – tohle se týkalo toho mého.
Pak už ho lze naštěstí velice snadno vyřadit z činnosti (jeho smazání by samozřejmě fungovalo také, ale tenhle způsob mi připadá „čistší“):
REG DELETE "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /d explorer.exe /f
Poté by mělo být bezpečné restartovat. Systém by měl relativně normálně nastartovat a mělo by už jít provést další důkladnější antivirové (a antirootkitové) testy celého systému.
Při té příležitosti je nepochybně zajímavé zmínit, že jsem si soubor s virem uložil stranou a vyzkoušel na něm tři poměrně rozšířené antivirové programy (ve verzi zdarma nebo ve zkušební verzi) – AVG, ESET a Avast. Z těchto tří programů ale jediný Avast dokázal v daném souboru identifikovat nějakou hrozbu – jak AVG, tak (možná – viz dodatek níže) ESET ho spokojeně ignorovaly…
Doplněno: Zkusil jsem na žádost ještě Microsoft Security Essentials a vir identifikoval. Zkoušel jsem také stránku http://virusscan.jotti.org/cs/ a v tamních testech se ho ESETu podařilo identifikovat také. Nabízí se otázka, proč ho tedy neidentifikoval během testu přímo na disku (a několik možných odpovědí na ni, mimo jiné například to, že mezitím došlo k aktualizaci databáze, že ho při testu disku ESET z nějakého důvodu prostě vynechal, nebo samozřejmě že jsem nevědomky udělal nějakou chybu já).
Další doplnění: Nedalo mi to a zkusil jsem ESET ještě jednou. Tentokrát ten zavirovaný soubor nalezl a identifikoval. Netuším, proč to napoprvé nešlo – dal bych krk na to, že jsem test spouštěl s úplně stejnými parametry. A poslední aktualizace databáze v souvislosti s tímhle virem je uváděna v lednu 2013… Čert ví, co se stalo.
