Перейти до змісту

Trojan Winlock.3020


t0rik

Рекомендовані повідомлення

  • Адміністратори

Для тех кто словил сей сабж. DrWeb его ловит как-то через раз. Опишу простой способ его устранения.

Для XP:

Перегружаем комп в безопасном режиме с поддержкой командной строки

запускаем regedit

идем в ключик: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

смотрим параметр Shell, по дефолту должно стоять Explorer.exe, если что-то-другое.exe значит мы и видим нашего кросавца.

Посилання на коментар
Поділитись на інші сайти

Порновимогателі вже краще ховаються. Для двох останніх довелось boot-сектор перезаписувати, http://www.antiwinlocker.ru/ поки-що непогано справляється ;)

Посилання на коментар
Поділитись на інші сайти

є свіжак можу по проханню вислати в RAR архіві :)

Drweb v 6.0.0.03100 пропустив з останніми поновленнями

сховався тут

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QVYZ7EI1\contacts[1].exe"

Посилання на коментар
Поділитись на інші сайти

Недавно был у знакомой. Она с испугу пополнила "вымагателям" WM. Вот смеху было. А помогло решить проблему AVZ

Посилання на коментар
Поділитись на інші сайти

сегодня братца лечил. вымогали 500 гривен за то, что никому не расскажут какой он жуткий педофил и порнограф :smile3:

троян заблокировал загрузку в SafeMode, пришлось грузиться с флешки (WinPE). на ней же был ERD Commander и FAR

процедура лечения :

выбрать в качестве пути к Windows диск C: (или тот, на котором винда) в опциях ERD Commander ;

запустить ERD Commander Registry Editor ;

выбрать ветку HKCU того юзера, которого надо лечить ;

зайти в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ;

там будут записи типа 11.exe или DRM или NewDRM указывающие на экзешники из C:\Documents and Settings\Юзер\Application Data\ - эти строки надо все удалить. можно и экзешники заодно почикать, но имейте в виду - они все с атрибутами Hidden/System ;

вот и все. после этого винда нормально загрузится в обычном режиме. блокировку SafeMode потом можно снять утилитой Anti-WinLock (она только для WinXP)

Посилання на коментар
Поділитись на інші сайти

Мені допоміг справитись з одним із вінлокерів такий метод:

жмем ctrl+alt+del і тримаємо довго-довго, з часом програма локера починає підвисати і тоді диспетчер може з'явитись поверх вікна і зявиться можливість завершити процес трояна. А в мому випадку вікно локера взагалі вилетіло з помилкою. Ну а далі з диспетчера задач через "Новая задача" запускаем regedit і правим реєстр по тому ж принципу що і в попередніх повідомленнях. Заодно по вказаному в параметрі шляху знаходимо файли трояна і удаляем, перезапускаємось і якщо все вийшло то бачим звичний робочий стіл, після чого не зайве буде просканувати систему чимось накшталт cureit.

Посилання на коментар
Поділитись на інші сайти

сам не пробував, але теоретично має спрацювати, ібо троян не блокує все, а лише "прикриває" все

Даже если окно вирусни занимает весь экран, запустить, скажем, Ворд или Блокнот особого труда не представляет. 
Достаточно вслепую нажать Ctrl+Esc → вверх → вверх → Enter, напечатать «winword» и нажать Enter ещё раз.
В невидимом новом документе печатаем любой символ и жмём кнопку выключения компа. Винда начинает убивать процессы. Что же мы видим?
Вирусный процесс мёртв, а умный Word спрашивает: «Сохранить, не сохранять, отменить?»
Выбрав отмену, мы останавливаем процесс выключения и получаем разблокированный комп.
Ну, а далее доступ к реестру, автозапуску, CureIt, AVZ и HijackThis при наличии pryamie_ruki.sys и umnaya_golova.dll делают своё дело.

підгледів тут

Посилання на коментар
Поділитись на інші сайти

надо отучать народ работать под "администратором"

Посилання на коментар
Поділитись на інші сайти

як відучиш, якщо добра половину юзерів сидить на звєрській вінді поставленій знайомим, ще й під адміном?

Посилання на коментар
Поділитись на інші сайти

Напевно не дарма при установці 7ки даються не так багато прав для керування скажем диском С:

Посилання на коментар
Поділитись на інші сайти

Skoder нада було в Save mode + cmd, а там regedit
Посилання на коментар
Поділитись на інші сайти

и еще,

вирус же садится только под одного юзера,

если есть другие акаунты пожно под ними зайти и удалять что нужно

Посилання на коментар
Поділитись на інші сайти

jeck, я ж для кого это написал по-твоему? :smile3:

троян заблокировал загрузку в SafeMode

и не имеет значения, с cmd или без. после загрузки драйверов винда просто уходит в рестарт.

а вот способ от vampirich при случае опробую. только в winxp это будет не winword, а notepad. причем, можно попробовать просто нажать Win+R -> notepad -> Enter -> aaaaa -> Enter. потом Win+L -> перезагрузить. и notepad тоже спросит, сохранять ли файл или нет.

Zevs_Isver, сегодняшний вариант пытался еще что-то в HKLM подсадить через Shell/update. но это не заработало. начитается чайнота журналов типа "ксакеп" и давай вирии строчить :dont:

Посилання на коментар
Поділитись на інші сайти

Да.. і коли ті, хто сидить в неті, почнуть читати те, що пишуть? А не тупо давити кнопку "да" !

Я не так давно сам став розповсюджувачем вірусні через аську. Але то власна помилка. Повірив людині. А виявилося не людина вже а БОТ (вірус) - ех...

Посилання на коментар
Поділитись на інші сайти

ну коли ссилка типу pdfgdf.com/pefdhsgqwdes то очевидно що її чіпати неварто :)

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.


Hosting Ukraine
AliExpress WW


×
×
  • Створити...