|
Троян Winlock
| |
| 6yrara | Дата: Пятница, 14 Января 2011, 01:36:21 | Сообщение #1 |
Ветеран форума
Группа: Модераторы
Сообщений: 1681
Д.рег: 12 Декабря 2010
Статус: Offline
Откуда: Лесосибирск
| У знакомых объявилась такая напасть как Trojan Winlock. Недалековидный глава семейства после посещения определенных сайтов был глубоко поражен блокировкой винды "попсовым" трояном Winlock, вследствиии чего дабы скрыв свои следы посещения сети перечислил на указанный в банере номер телефона денежные средства в размере 400 (!) рублей. Ессно, никакого кода разблокировки в ответ не получил. Обратившись ко мне, я попытался ввести код предлагаемый по форме такими конторами Dr.Web, KAV и прочими, но в итоге либо около 50 вариантов кодов (причем ни один не разблокировал банер) либо ваще без вариантов. В конце концов реестр почистил, файл-троян изолировал, винда запустилась в норм режиме. Отправил файл трояна в Dr.Web на анализ, на что они ответили "Ваш запрос был обработан Автоматической Системой. Данная угроза известна нашим специалистам. Соответствующая запись в вирусной базе Dr.Web уже существует." Угроза эта как они ниже пишут - Trojan.Winlock.2846 . Данного зверя (на момент написания поста) по ссылке http://www.drweb.com/unlocker/index/?lng=ru не сыскать. Так как же его лечит тогда простым смертным?
|
| |
| |
| Koluan | Дата: Пятница, 14 Января 2011, 08:24:11 | Сообщение #2 |
Ветеран форума
Группа: Проверенные
Сообщений: 1504
Д.рег: 05 Июля 2007
Статус: Offline
Откуда: Лесосибирск
| зайди на сайт касперского, введи текст сообщения, получишь код разблокировки.
vkontakte.ru/koluan
|
| |
| |
| BooSHRooT | Дата: Пятница, 14 Января 2011, 09:13:18 | Сообщение #3 |
Ветеран форума
Группа: Проверенные
Сообщений: 1620
Д.рег: 02 Сентября 2007
Статус: Offline
Откуда: Лесосибирск-Стрелка
| Обычно либо с лайф-СД от каспера или др.вэба, обязательно с последними базами, так как винлок быстро "мутирует", либо подключением зараженного винта к здоровому компу, с нормальным антивирем и опять же последними базами. Это более вероятно найдет заразу. Часто зараза находится в кэше браузера (каспер ее там находит), обычно файлик типа porno_rolik.avi.exe, думаю если опять же с любого лайфCD можно попытаться очистить папки кэша (если знать где находятся конечно).
|
| |
| |
| ASM | Дата: Пятница, 14 Января 2011, 15:43:26 | Сообщение #4 |
Админ
Группа: Администраторы
Сообщений: 3567
Д.рег: 10 Февраля 2006
Статус: Offline
Откуда: Лесосибирск
| Данная проблема успешно решалась не один раз.
Полезным будет скачать и записать себе диск Lex Live CD & USB Ramboot Full Multimedia 2010, либо хотя бы скачать отдельно утилиту Autoruns, которая присутствует на данном диске.
Далее грузимся с диска, либо подстёгиваем винт к заведомо нормальному компу и запускаем утилиту.
В разных версиях она либо сразу просит выбрать пользователя, либо идём File->Analize Offline System. Указываем папку Windows (System Root) не ту, с которой загрузились, а ту, которую собираемся исследовать! Далее указываем местоположение исследуемого профиля. По умолчанию БУКВА ИССЛЕДУЕМОГО ДИСКА:\Documents and Settings\Default User
Смотрим закладку Logon
Внимательно смотрим на первую и вторую веточку.
В первой
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Должен быть только userinit.exe . Вражий гад часто сидит тут же с именем usrinit.exe. Если посторонний объект обнаружен, снимаем с него галку, смотрим путь до файла, идём туда, находим гада, грохаем. Саму строку (где сняли галку) можно также удалить.
Если в первой всё нормально, смотрим вторую
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Там должен быть только Explorer.exe. Если есть что-нибудь постороннее, делаем то, что описано выше. Удачи!
|
| |
| |
| ASM | Дата: Пятница, 14 Января 2011, 22:20:21 | Сообщение #5 |
|
Админ
Группа: Администраторы
Сообщений: 3567
Д.рег: 10 Февраля 2006
Статус: Offline
Откуда: Лесосибирск
| Кстати, чтобы подцепить заразу, вовсе не обязательно посещать "злачные места". Чтобы хоть частично уберечь себя от подобной напасти, возьмите за железное правило не кликать по всплывающим баннерам, даже по крестику "закрыть".
|
| |
| |
| 6yrara | Дата: Пятница, 14 Января 2011, 22:23:21 | Сообщение #6 |
|
Ветеран форума
Группа: Модераторы
Сообщений: 1681
Д.рег: 12 Декабря 2010
Статус: Offline
Откуда: Лесосибирск
| Koluan, Quote зайди на сайт касперского, введи текст сообщения, получишь код разблокировки.
Раньше так и делал, а с этим "мутантом" так не прошло ни на сайте Каспера, ни Нода ни Веба.
Загрузил в ДОСе ERD Commander, почистил реестр и удалил файл трояна.
|
| |
| |
| TakaHashi | Дата: Воскресенье, 16 Января 2011, 23:04:51 | Сообщение #7 |
Einsam
Группа: Проверенные
Сообщений: 3080
Д.рег: 02 Марта 2007
Статус: Offline
Откуда: Lesosib
| Quote (ASM) Данная проблема успешно решалась не один раз. Полезным будет скачать и записать себе диск Lex Live CD & USB Ramboot Full Multimedia 2010, либо хотя бы скачать отдельно утилиту Autoruns, которая присутствует на данном диске. Далее грузимся с диска, либо подстёгиваем винт к заведомо нормальному компу и запускаем утилиту. В разных версиях она либо сразу просит выбрать пользователя, либо идём File->Analize Offline System. Указываем папку Windows (System Root) не ту, с которой загрузились, а ту, которую собираемся исследовать! Далее указываем местоположение исследуемого профиля. По умолчанию БУКВА ИССЛЕДУЕМОГО ДИСКА:\Documents and Settings\Default User Смотрим закладку Logon Внимательно смотрим на первую и вторую веточку. В первой HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Должен быть только userinit.exe . Вражий гад часто сидит тут же с именем usrinit.exe. Если посторонний объект обнаружен, снимаем с него галку, смотрим путь до файла, идём туда, находим гада, грохаем. Саму строку (где сняли галку) можно также удалить. Если в первой всё нормально, смотрим вторую HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Там должен быть только Explorer.exe. Если есть что-нибудь постороннее, делаем то, что описано выше. Удач
Quote (ASM) Данная проблема успешно решалась не один раз. Полезным будет скачать и записать себе диск Lex Live CD & USB Ramboot Full Multimedia 2010, либо хотя бы скачать отдельно утилиту Autoruns, которая присутствует на данном диске. Далее грузимся с диска, либо подстёгиваем винт к заведомо нормальному компу и запускаем утилиту. В разных версиях она либо сразу просит выбрать пользователя, либо идём File->Analize Offline System. Указываем папку Windows (System Root) не ту, с которой загрузились, а ту, которую собираемся исследовать! Далее указываем местоположение исследуемого профиля. По умолчанию БУКВА ИССЛЕДУЕМОГО ДИСКА:\Documents and Settings\Default User Смотрим закладку Logon Внимательно смотрим на первую и вторую веточку. В первой HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Должен быть только userinit.exe . Вражий гад часто сидит тут же с именем usrinit.exe. Если посторонний объект обнаружен, снимаем с него галку, смотрим путь до файла, идём туда, находим гада, грохаем. Саму строку (где сняли галку) можно также удалить. Если в первой всё нормально, смотрим вторую HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Там должен быть только Explorer.exe. Если есть что-нибудь постороннее, делаем то, что описано выше. Удач
пока ниразу не помог  приходилось lgh=ругими методами
|
| |
| |
| BooSHRooT | Дата: Понедельник, 17 Января 2011, 09:21:38 | Сообщение #8 |
|
Ветеран форума
Группа: Проверенные
Сообщений: 1620
Д.рег: 02 Сентября 2007
Статус: Offline
Откуда: Лесосибирск-Стрелка
| vovans, Щас по другой схеме разводят. Там уже не короткий номер, а федеральный номер оператора и просьба положить на него рубчиков 400. И кодов разблокировок при этом может быть немереное количество.
|
| |
| |
| ЯРинат | Дата: Понедельник, 17 Января 2011, 23:46:54 | Сообщение #9 |
Наш человек
Группа: Проверенные
Сообщений: 19
Д.рег: 16 Декабря 2010
Статус: Offline
|  сегодня одного поймал, зверский такой попался,ебл-ся целый день. Вообщем, есть еще одна програмка http://www.freedrweb.com/livecd/ она чем хороша, если у вас есть инет(а у вас он есть), она обновяется(бесплатная).весит 150мг.Я уже зделал загрузчик, испытать пока возможности не было.На всякий случай и LEXlive cd nj то же зделаю, а то часто я их ловит стал 
|
| |
| |
|
