Перейти до змісту

Trojan Winlock.3020


t0rik

Рекомендовані повідомлення

  • Адміністратори
Опубліковано

Для тех кто словил сей сабж. DrWeb его ловит как-то через раз. Опишу простой способ его устранения.

Для XP:

Перегружаем комп в безопасном режиме с поддержкой командной строки

запускаем regedit

идем в ключик: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

смотрим параметр Shell, по дефолту должно стоять Explorer.exe, если что-то-другое.exe значит мы и видим нашего кросавца.

Опубліковано

є свіжак можу по проханню вислати в RAR архіві :)

Drweb v 6.0.0.03100 пропустив з останніми поновленнями

сховався тут

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\QVYZ7EI1\contacts[1].exe"

Опубліковано

Недавно был у знакомой. Она с испугу пополнила "вымагателям" WM. Вот смеху было. А помогло решить проблему AVZ

Опубліковано

сегодня братца лечил. вымогали 500 гривен за то, что никому не расскажут какой он жуткий педофил и порнограф :smile3:

троян заблокировал загрузку в SafeMode, пришлось грузиться с флешки (WinPE). на ней же был ERD Commander и FAR

процедура лечения :

выбрать в качестве пути к Windows диск C: (или тот, на котором винда) в опциях ERD Commander ;

запустить ERD Commander Registry Editor ;

выбрать ветку HKCU того юзера, которого надо лечить ;

зайти в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ;

там будут записи типа 11.exe или DRM или NewDRM указывающие на экзешники из C:\Documents and Settings\Юзер\Application Data\ - эти строки надо все удалить. можно и экзешники заодно почикать, но имейте в виду - они все с атрибутами Hidden/System ;

вот и все. после этого винда нормально загрузится в обычном режиме. блокировку SafeMode потом можно снять утилитой Anti-WinLock (она только для WinXP)

Опубліковано

Мені допоміг справитись з одним із вінлокерів такий метод:

жмем ctrl+alt+del і тримаємо довго-довго, з часом програма локера починає підвисати і тоді диспетчер може з'явитись поверх вікна і зявиться можливість завершити процес трояна. А в мому випадку вікно локера взагалі вилетіло з помилкою. Ну а далі з диспетчера задач через "Новая задача" запускаем regedit і правим реєстр по тому ж принципу що і в попередніх повідомленнях. Заодно по вказаному в параметрі шляху знаходимо файли трояна і удаляем, перезапускаємось і якщо все вийшло то бачим звичний робочий стіл, після чого не зайве буде просканувати систему чимось накшталт cureit.

Опубліковано

сам не пробував, але теоретично має спрацювати, ібо троян не блокує все, а лише "прикриває" все

Даже если окно вирусни занимает весь экран, запустить, скажем, Ворд или Блокнот особого труда не представляет. 
Достаточно вслепую нажать Ctrl+Esc → вверх → вверх → Enter, напечатать «winword» и нажать Enter ещё раз.
В невидимом новом документе печатаем любой символ и жмём кнопку выключения компа. Винда начинает убивать процессы. Что же мы видим?
Вирусный процесс мёртв, а умный Word спрашивает: «Сохранить, не сохранять, отменить?»
Выбрав отмену, мы останавливаем процесс выключения и получаем разблокированный комп.
Ну, а далее доступ к реестру, автозапуску, CureIt, AVZ и HijackThis при наличии pryamie_ruki.sys и umnaya_golova.dll делают своё дело.

підгледів тут

Опубліковано

jeck, я ж для кого это написал по-твоему? :smile3:

троян заблокировал загрузку в SafeMode

и не имеет значения, с cmd или без. после загрузки драйверов винда просто уходит в рестарт.

а вот способ от vampirich при случае опробую. только в winxp это будет не winword, а notepad. причем, можно попробовать просто нажать Win+R -> notepad -> Enter -> aaaaa -> Enter. потом Win+L -> перезагрузить. и notepad тоже спросит, сохранять ли файл или нет.

Zevs_Isver, сегодняшний вариант пытался еще что-то в HKLM подсадить через Shell/update. но это не заработало. начитается чайнота журналов типа "ксакеп" и давай вирии строчить :dont:

Опубліковано

Да.. і коли ті, хто сидить в неті, почнуть читати те, що пишуть? А не тупо давити кнопку "да" !

Я не так давно сам став розповсюджувачем вірусні через аську. Але то власна помилка. Повірив людині. А виявилося не людина вже а БОТ (вірус) - ех...

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.


Hosting Ukraine
AliExpress WW


×
×
  • Створити...