Перейти к содержимому


Добро пожаловать к нам на сайт! Про Ваш статус и права можно прочитать в Этой теме

Для просмотра картинок и скачивания файлов с форума - пройдите регистрацию!   Проблемы с регистрацией - вам сюда




Фотография

Вирус Winlock - как избавиться от трояна вымогателя?


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1
RUS_D

RUS_D

    Главный АДМИН

  • Не в сети
  • Тех. Админ
  •  Администратор
  • Старожил сайта
<- Информация ->
  • PipPipPipPip
  • Регистрация:
    08-December 08
  • 4809 Cообщений
  • Пропуск №: 2


Репутация: 7450 Постов: 4809
  • Skype:rus_did
  • Страна проживания:Украина
  • Реальное имя:Руслан
  • Пол:Мужчина
  • Город:Полтавская обл.
Ну вот и досерфились Вы по интернету....

Ваш компьютер атаковал злобный ВИРУС Winlock
Видим на весь экран окно с текстом и требованием отослать по СМС или вебмани ваши кровные денежки...

или подобное - вариантов было масса от черного экрана до различных изображений взрослого содержания, приводить которые здесь нет ни возможности, ни смысла. (зависит от версии вируса)


Самое главное НЕ впадать в ПАНИКУ
(форматировать винт, сжигать системный блок или ноутбук совсем не нужно)

ВАМ надо успокоится, отойти от шока (пойдите попейте чаю или кофе)

Ни в коем случае не отправляйте никаких смс.
С телефона снимут по-максимуму средств, возможно придется отправлять не одну, а две-три смс.
Кроме этого, скорее всего, в систему вы так и не попадете. Окошко может и пропасть, а вот от после перезагрузки windows перед вами предстанет чистый рабочий стол точнее его фон, и более ничего. Т.е. winlock никуда не девается и продолжает свою грязную работу.

Ну что успокоились???

Итак, наиболее вероятный сценарий - у вас на компе ничего не работает.
Ни сочетания клавиш, ни безопасный режим, ничего. Вирус вымогатель winlock довольно хитрый и умный и постоянно совершенствуется.
Но против ниже предложенного радикального выхода устоять не сможет никакая его, даже сама продвинутая, версия.

[p.s.]Этот способ я придумал САМ (после того как мне за 2 дня притащили больше десятка компьютеров с этим вирусом).
Потому прошу сильно не пинать..... я знаю и другие способы, но с этим получается быстрее вернуть систему к жизни
.[/p.s.]

Ну тогда приступим к лечению нашего друга.
Что для этого нужно?
1. Загрузочная флешка или диск с Windows Live CD
2. Антивирусная

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытое содержание

от Олега Зайцева
3.

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытое содержание


4.

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытое содержание



Ну что всё приготовили???

Ну тогда приступаем...

1. Грузимся с флешки или CD (после загрузки открываем Total Commander )
2. Ищем в папке Windows или Documents and Settings изменённые или новосозданные файлы с датой или временем как можно ближе к времени заражения.
(их может быть несколько, но все с одинаковым временем создания)
3. Ищем в папке Windows файл explorer.exe и заменяете все найденные файлы им, с сохранением оригинальных имён (предварительно оригиналы переименуйте).
4. Грузимся с нашей пострадавшей винды (скорее всего у вас будет пустой стол с открытым окном проводника)
5. Запускаем AVZ и для восстановления работоспособности диспетчера задач необходимо выполнить в AVZ "Файл/Восстановление системы", там отметить пункт
9 "Удаление отладчиков системных процессов"
11 "Разблокировка диспетчера задач"
16. "Восстановление ключа запуска Explorer"
после чего следует нажать кнопку "Выполнить отмеченные операции".

Дальше следует перегрузить компьютер......

Если все прошло нормально, то имеем нормальный рабочий стол без банеров.

Казалось бы все - система заработала, а значит вирус удален и можно праздновать победу. Не торопитесь.
То, что мы загрузили систему, еще не значит, что все в порядке. Дело в том, что winlock скорее всего затаился и даже при удачном запуске системы, следующее включение компьютера или его перезагрузка может снова ознаменоваться уже знакомым экраном с любезно предоставленным окошечком для ввода кода платной смс. Теперь наша задача вылечить систему и исключить рецидив.


Данное руководство может быть использовано для удаления любого вредоносного кода, а не только трояна вымогателя winlock.

Отключите компьютер от сети физическим образом (грубо говоря, выньте вилку сетевого шнура, отсоедините usb модем и т.д.). Подключить его потребуется только на короткое время обновления одного антивируса.

1. Удаляем записи о вирусе из системы. Для этого запускаем RegCleaner. В меню выбираем Задачи - Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Затем выбираем вкладку "автозагрузка". Внимательно смотрим список того, что у вас загружается и изучаем каждый пункт. Ставим галочки и нажимаем удалить (правый нижний угол) всего, что вами не устанавливалось и не является desktop и ctfmon.exe. Всякие svchost.exe и прочие .exe из папки windows должны быть удалены в первую очередь.
Выбираем задачи - очистка реестра - задействовать все варианты. Программа просканирует реестр, все что найдет - удаляем. На этом можно считать, что поверхностную чистку системы от записей вируса мы произвели.

2. Теперь ищем сам код. Здесь потребуются следующие три программы. Касперский и Dr.Web CureIt! (рекомендую) - простые и бесплатные утилиты со свежими базами вирусов. В роли тяжелой артиллерии выступает RemoveIT - платный (для нас несущественно первые 30 дней бесплатны) очень хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но дополнять его надо обязательно т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Необходимо наличие соединения с интернетом на время обновления антивируса!.
По очереди сканируем каждой диск с системой и удаляем все, что программы находят. А находить они будут :). Если есть желание, для своего спокойствия можно проверить все диски компьютера, а не только диск с системой. Займет много времени, но так лучше.




Тут я описывал раньше похожий способ.

В заключении - общие рекомендации по защите от winlock, других вирусов, троянов и прочей нечисти.
1. Не держите на компьютере важную информацию в легко доступном виде. Если это текстовая информация - например пароли, заведите какой-либо менеджер паролей либо, что лучше, какую-нить обычную программу для сохранения текстовых заметок, но которая шифрует файл с данными и открывает к нему доступ после ввода пароля.
2. Без надобности не оставляйте компьютер подключенным к сети. Это не значит, что каждый раз после скачки какого-нить файла или загрузки интересующей страницы надо выдергивать трясущимися руками сетевой кабель. Но держать компьютер все время подключенным к сети "просто так чтоб было" все же не стоит.
3. Запишите и положите в надежное место загрузочный диск, например этот. При падении системы он всегда позволит вам запустить компьютер, а дальше уже сможете разобраться, что же случилось и как это исправить.
4. Не посещайте ресурсов сомнительного содержания, а если побывали на подобных (и скачали, что греха таить, какое-нибудь видео) то проверяйте ДО выключения компьютера его антивирусом, подойдет тот же RemoveIT.
5. Заведите еще одну учетную запись в системе с ограниченными правами и уже под ней ищите приключений для себя и компьютера. Если вирус проникнет, далеко пройти не сможет :).


#2
RUS_D

RUS_D

    Главный АДМИН

  • Не в сети
  • Тех. Админ
  •  Администратор
  • Старожил сайта
<- Информация ->
  • PipPipPipPip
  • Регистрация:
    08-December 08
  • 4809 Cообщений
  • Пропуск №: 2


Репутация: 7450 Постов: 4809
  • Skype:rus_did
  • Страна проживания:Украина
  • Реальное имя:Руслан
  • Пол:Мужчина
  • Город:Полтавская обл.
Вот сегодня выковыривал заразу с двух ноутов (с ютуба подхватили)

Антивирусы все на комп пропускают.
Потом правда некоторые видят -

Пожалуйста Войдите или Зарегистрируйтесь чтобы увидеть скрытое содержание



Есть 2 файла с вирусом
c:\Documents and Settings\All Users\Application Data\22CC6C32.exe создаёт его и прописывает на него shell (надо заменить сначала на оригинальный explorer.exe (с именем 22CC6C32.exe)

c:\WINDOWS\system32\userinit.exe заменяет оригинальный файл на вирус
(надо заменить сначала на оригинальный explorer.exe (с именем userinit.exe), а потом на оригинальный userinit.exe)

Kопия вируса находится в папке
C:\WINDOWS\system32\dllcache\userinit.exe его мы удаляем, а копируем userinit.exe из папки C:\WINDOWS\system32\userinit.exe
дальше я с не заражённой ОС скопировал на флеш накопитель файл taskmgr.exe и заменил им файлы находящиеся в папке
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
(они тоже оказались заражены).

#3
dimasick

dimasick

    Вольный S.T.A.L.K.E.R.

  • Не в сети
  • Старожилы
  • Спонсор сайта Завсегдатай - больше 1 год на сайте
<- Информация ->
  • Регистрация:
    30-January 11
  • 1291 Cообщений
  • Пропуск №: 3731


Репутация: 34 Постов: 1291
  • Страна проживания:Россия
  • Реальное имя:dimasick
  • Пол:Мужчина
  • Город:Посёлок городского типа, Россия
AntiWinLocker


- это защита от блокировщиков Windows, от блокировки порнографическими баннерами, которые требуют перечислить деньги на счёт или послать sms. Автоматическое восстановление работы операционной системы без переустановки Windows. Диск восстановления AntiWinLockerLiveCD для лечения уже заблокированной ОС Windows. Простое и эффективное решение.


Программа сама в автоматическом режиме обработает ISO-образ и сделает загрузочную флешку, с помощью которой в дальнейшем можно будет установить ОС на компьютере без использования CD/DVD-ROM или создать LiveCD любимой ОС на флешке.

Программы бесплатные.
Подходят не под все материнки!






реклама на сайте подключена

Использование материалов сайта только с разрешения Администрации!
Или с указанием прямой ссылки на источник. 2008 - 2017 © Stalker-Worlds