Trojan Winlock.3020

[t0rik]

Для тех кто словил сей сабж. DrWeb его ловит как-то через раз. Опишу простой способ его устранения.

Для XP:

Перегружаем комп в безопасном режиме с поддержкой командной строки

запускаем regedit

идем в ключик: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

смотрим параметр Shell, по дефолту должно стоять Explorer.exe, если что-то-другое.exe значит мы и видим нашего кросавца.

[drozl]

Порновимогателі вже краще ховаються. Для двох останніх довелось boot-сектор перезаписувати, http://www.antiwinlocker.ru/ поки-що непогано справляється

[Jack]

є свіжак можу по проханню вислати в RAR архіві

Drweb v 6.0.0.03100 пропустив з останніми поновленнями

сховався тут

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QVYZ7EI1\contacts[1].exe"

[AlexR]

Недавно был у знакомой. Она с испугу пополнила "вымагателям" WM. Вот смеху было. А помогло решить проблему AVZ

[Shkoder]

сегодня братца лечил. вымогали 500 гривен за то, что никому не расскажут какой он жуткий педофил и порнограф

троян заблокировал загрузку в SafeMode, пришлось грузиться с флешки (WinPE). на ней же был ERD Commander и FAR

процедура лечения :

выбрать в качестве пути к Windows диск C: (или тот, на котором винда) в опциях ERD Commander ;

запустить ERD Commander Registry Editor ;

выбрать ветку HKCU того юзера, которого надо лечить ;

зайти в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ;

там будут записи типа 11.exe или DRM или NewDRM указывающие на экзешники из C:\Documents and Settings\Юзер\Application Data\ - эти строки надо все удалить. можно и экзешники заодно почикать, но имейте в виду - они все с атрибутами Hidden/System ;

вот и все. после этого винда нормально загрузится в обычном режиме. блокировку SafeMode потом можно снять утилитой Anti-WinLock (она только для WinXP)

[Lisovic]

Мені допоміг справитись з одним із вінлокерів такий метод:

жмем ctrl+alt+del і тримаємо довго-довго, з часом програма локера починає підвисати і тоді диспетчер може з'явитись поверх вікна і зявиться можливість завершити процес трояна. А в мому випадку вікно локера взагалі вилетіло з помилкою. Ну а далі з диспетчера задач через "Новая задача" запускаем regedit і правим реєстр по тому ж принципу що і в попередніх повідомленнях. Заодно по вказаному в параметрі шляху знаходимо файли трояна і удаляем, перезапускаємось і якщо все вийшло то бачим звичний робочий стіл, після чого не зайве буде просканувати систему чимось накшталт cureit.

[vampirich]

сам не пробував, але теоретично має спрацювати, ібо троян не блокує все, а лише "прикриває" все

Даже если окно вирусни занимает весь экран, запустить, скажем, Ворд или Блокнот особого труда не представляет. 
Достаточно вслепую нажать Ctrl+Esc → вверх → вверх → Enter, напечатать «winword» и нажать Enter ещё раз. 
В невидимом новом документе печатаем любой символ и жмём кнопку выключения компа. Винда начинает убивать процессы. Что же мы видим? 
Вирусный процесс мёртв, а умный Word спрашивает: «Сохранить, не сохранять, отменить?» 
Выбрав отмену, мы останавливаем процесс выключения и получаем разблокированный комп. 
Ну, а далее доступ к реестру, автозапуску, CureIt, AVZ и HijackThis при наличии pryamie_ruki.sys и umnaya_golova.dll делают своё дело.

підгледів тут

[Zevs_Isver]

надо отучать народ работать под "администратором"

[vampirich]

як відучиш, якщо добра половину юзерів сидить на звєрській вінді поставленій знайомим, ще й під адміном?

[Andrew_Best]

Напевно не дарма при установці 7ки даються не так багато прав для керування скажем диском С:

[Jack]

Skoder нада було в Save mode + cmd, а там regedit

[Zevs_Isver]

и еще,

вирус же садится только под одного юзера,

если есть другие акаунты пожно под ними зайти и удалять что нужно

[Shkoder]

jeck, я ж для кого это написал по-твоему?

троян заблокировал загрузку в SafeMode

и не имеет значения, с cmd или без. после загрузки драйверов винда просто уходит в рестарт.

а вот способ от vampirich при случае опробую. только в winxp это будет не winword, а notepad. причем, можно попробовать просто нажать Win+R -> notepad -> Enter -> aaaaa -> Enter. потом Win+L -> перезагрузить. и notepad тоже спросит, сохранять ли файл или нет.

Zevs_Isver, сегодняшний вариант пытался еще что-то в HKLM подсадить через Shell/update. но это не заработало. начитается чайнота журналов типа "ксакеп" и давай вирии строчить

[Zheny@]

Да.. і коли ті, хто сидить в неті, почнуть читати те, що пишуть? А не тупо давити кнопку "да" !

Я не так давно сам став розповсюджувачем вірусні через аську. Але то власна помилка. Повірив людині. А виявилося не людина вже а БОТ (вірус) - ех...

[vampirich]

ну коли ссилка типу pdfgdf.com/pefdhsgqwdes то очевидно що її чіпати неварто