Вход на сайт



службы мониторинга серверов Яндекс.Метрика
Russian English Ukrainian
Подпишитесь на ленту и все новости сайта Вы узнаете первыми!
Самые последние статьи сайта

qr_droid_59943

Главная Интересное Антивирусная защита Как я удалял Winlocker Trojan.Winlock.5430
Как я удалял Winlocker Trojan.Winlock.5430
(17 голоса, среднее 5.00 из 5)

Что такое винлокер (Winlocker), я думаю, объяснять не надо. Скорее всего каждый пользователь интернет, сталкивался с этими вирусами-вымогателями! Вот и вчера, мой знакомый принес мне машину с такой заразой, но это вовсе не значит, что он просматривал порно сайты и так далее. Такую дрянь, можно подхватить от куда угодно - с варезных сайтов, с сайтов раздачи видео или даже с одноклассников, или с сайта в контакте, смотря где эту гадость разместит вирусописатель... Вот теперь хочу подробнее поделиться - как эту срань убрать с Вашего компа, не переустанавливая Windows.

Симптомами заражения компьютера являются:

1. Порно-баннер при загрузкe системы.

2. Отсутствие возможности входа в систему.

3. Такой скриншот, как вы видете в начале статьи.

Возможные пути заражения:

1. Через интернет.

Теперь подробнее... Для начала, вам необходимо иметь в своем арсенале загрузочный диск ERD Commander, как скачать и где найти,  тем более - как записать на болванку.... Останавливаться на этом вопросе не буду (ибо если вы решили сами убить данный вирус и читаете эту статью, а не полагаетесь на установленные антивирусы, то сами знаете, что делать...)

troyan

 

Данный троян предлагает несколько электронных кошельков для оплаты, с каждой перезагрузкой выдает новый U-кошелек, однако - вариантов не много!

 

 

 

 

 

Давайте разберемся с этой гадостью. Загружаемся с диска ERD Commander, пропускаем подключение к сети и попадаем на рабочий стол нашей виртуальной системы..  Заходим в меню пуск>администратирование>редактор реестра и в строке поиска набираем - userinit

откроется окно ERD Registry Editor

 

 

Последовательно открывайте нижеперечисленные разделы реестра (дважды кликайте мышкой на нижеперечисленных желтых папках, которые расположены в левой части окна ERD Registry Editor):

HKEY_LOCAL_MACHINE (откроются вложенные разделы/папки, и в этих открытых ищите следующие разделы/папки)

SOFTWARE>>Microsoft >>WindowsNT>>CurrentVersion>>Winlogon

(на самом деле пишется все это в одну строчку \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon и для понимания того, в каком месте реестра мы находимся, в левом нижнем углу окна ERD Registry Editor пишется этот путь.)

После этого окно ERD Registry Editor будет выглядеть примерно как на картинке.

Вот мы и на месте

Теперь переходим к правой части.

В правой части окна кликните мышкой на ключе с именем Shell. В параметре Value data не должно быть ничего кроме Explorer.exe. Если там что-то другое, наберите Explorer.exe и нажмите ОК. В моем случае, был прописан путь к файлу зловреда в папку: C:\windows\temp\ и имя файла примерно такого содержания 0.2числовой код.exe  Запомните этот путь и имя файла, оно нам пригодится!

В правой части окна кликните мышкой на ключе с именем Userinit. В параметре Value data должен быть прописан путь, оканчивающийся на \system32\userinit.exe. Обычно это C:\WINDOWS\system32\userinit.exe, или что-то оканчивающееся на \system32\userinit.exe и ничего более. Если там что-то другое, наберите C:\WINDOWS\system32\userinit.exe, и нажмите ОК.

Далее, после чистки в реестре, переходим в директорию с нашим зловредом. Находим его и переименовываем в .txt. Например: был 0.284735775537.exe , а мы его сделаем в 0.284735775537.exe.txt

Вот и все! Перезагружаем комп, вынимаем загрузочный диск и заходим в виндовс! Находим нашего переименованного зловреда, архивируем его и отсылаем в лабораторию для добавления в антивирусные базы! Не давайте шанс вирусописателям вас развести!

Сегодня, 21.01.2012 я отправил эту заразу в лабораторию DRWEB и спустя 2 часа, ребята оперативно сработали - добавили коды разблокировки в зависимости от адреса кошелька

  • kkkkkk
    • U134116812055
    • U162230155893
    • U207622064801
    • U232408233067
    • U241939228576
    • U279445227788
    • U394793444245
  • ssssss
    • 79264325307
    • 89299442267
  • wwwwww - Кошельки/телефоны для данного кода: нет
  • mavrodi
    • U108158423395
    • U114366473785
    • U158784313500
    • U195005713672
    • U236778511325
    • U253530968981
    • U371058565660
    • U742491590415

И добавили эту версию трояна в антивирусные базы!

Важно: Чтобы указать буквы необходимо кликнуть мышью в поле ввода кода и нажать комбинацию клавиш Ctrl+Shift+Esc. Если это не помогло, то попробуйте нажать Win+R, ввести код в появившемся окне и скопировать в буфер.

P.S. Таким образом, можно справиться со многими троянами блокировщиками. Дерзайте!

Удачи всем!  Пишите!

 

Комментарии  

 
+5 #19 Grey-UA 26.10.2012 10:22
Действительно! Очень полезный и нужный сервис! Всем рекомендую ознакомиться с содержанием данного сервиса - http://stop-winlock.ru/
mrbelyash спасибо за подсказку.. Удачи!
Цитировать
 
 
+4 #18 mrbelyash 26.10.2012 10:15
Открылся новый сервис разблокировки
http://stop-winlock.ru/
Цитировать
 
 
+3 #17 Frida 07.07.2012 17:50
Вариант интересный, надо попробовать.. Однако недавно столкнулась с одним дерьмецом, который стирает MBR системы и уже без перезаписи - не запустить винду..
Цитировать
 
 
-2 #16 Юзер 07.07.2012 14:37
Пардом, статью пока ещё не читал, просто делюсь своим простым способом борьбы с банером (работает в XP).

1. Жмём F8 при загрузке винды. Выбираем режим загрузки "Безопасный режим с поддержкой командной строки" (возможен и пошаговый режим, но пока обходился, банер не грузился).

2. После загрузки Ctrl+Alt+Delete (вызов Диспетчера задач) кнопка "Новая задача" и запускать с флэшки AVZ.

3 Чистить автозапуск утилитой "Менеджер автозагрузки" (найдёте в меню AVZ). Ссылок на exe-шник много, из разных веток реестра, м/б несколько exe-шников. Они в моих случаях располагались в "Менеджере автозагрузки" рядом. Затем удалить сам exe-шник (можно после нормальной загрузки).
Цитировать
 
 
+1 #15 Grey-UA 02.06.2012 13:56
Да, действительно - можно и с помощью Universal Virus Sniffer. Подробнее написано тут - http://antivir.h18.ru/metodika/0028.html
Только не всегда этот метод срабатывает... Вирусописатели - хитрее стали!
Цитировать
 
 
-3 #14 dragon-55 02.06.2012 13:48
Есть еще один способ:загрузит ься с любого live cd,запустить программу uvs, которую можно скачать сдесь http://depositfiles.com/files/yajbe3vjy.Запуск uvs осуществляем файлом start.exe, указываем папку windows,потом нажимаем кнопку "запустить под LocalSystem".После запуска находим и выбираем в выпадающем списке выбираем "весь автозапуск".В окне ниже выбираем и удаляем подозрительные файлы которые поселились в папке "Documents and Settings" и во всех вложенных папках.Удалять через правую кнопку мыши выбрав пунк "Удалить все ссылки вместе с файлом"
Цитировать
 
 
+5 #13 Николай 15.02.2012 21:35
Мой знакомый то-же столкнулся с такой херней! Попробовал с данной инструкцией и получилось! Но там был целый букет такого говна... И с тем справился.. В принципе-не панацея, но важный совет! Спасибо! Развивайте сайт..Удачи!
Цитировать
 
 
+2 #12 Grey-UA 09.02.2012 21:53
Цитирую Shatir:
Спасибо за статью!
Следуя инструкции избавил ноут жены от заразы.

Спасибо и Вам, за отзыв. Очень рад, что мои старания не прошли даром, а помогли Вам! Удачи и добра!
Цитировать
 
 
+7 #11 Shatir 09.02.2012 19:17
Спасибо за статью!
Следуя инструкции избавил ноут жены от заразы.
Цитировать
 
 
+3 #10 Grey-UA 30.01.2012 22:43
Цитирую Оля:
Спасибочки большое, вы мне очень помогли! Троян попал через приложение Виндовс - java. Теперь всё ОК! ;-)

Очень рад за Вас! Вот и Вы смогли справиться с этой гадостью... Удачи и Добра! Спасибо за отзыв!
Цитировать
 

Добавить комментарий


Защитный код
Обновить

Новости от DrWeb

О вирусах от DrWeb

Copyright © 2011 "KSW-создание сайтов". При полном или частичном использовании материалов кликабельная ссылка на https://ksw.net.ua обязательна.