Открытая группа
17325 участников
Администратор Надежда(CompGramotnost)


Модератор Юрий Компас

Активные участники:


←  Предыдущая тема Все темы Следующая тема →
пишет:

Как избавиться от Winlock

Был в командировке, мои чада поймали этого зловреда. Кто не знает, Winlock - это троянская программа в виде баннера или порнобаннера, извещающего, что система заблокирована и для разблокировки нужно отправить SMS на какой-то номер. Систему вы, конечно, не разблокируете, но денег лишитесь.

Начал войну: восстановление системы в безопасном режиме не дало ничего, как и изменение даты в биосе. Зашел с Убунту ( у меня 2 ОС), но не хватило терпения и опыта, чтоб отыскать в файлах зловреда.

Погуглив, нашел эту статью, которую и предлагаю всем Вам. Статья безусловно полезная.

   Данное руководство может быть использовано для удаления любого вредоносного кода, а не только трояна вымогателя winlock.
Отключите компьютер от сети физическим образом (грубо говоря, выньте вилку сетевого шнура, отсоедините usb модем и т.д.). Подключить его потребуется только на короткое время обновления одного антивируса.
Нам потребуются следующие утилиты:
          - RegCleaner
          - Касперский removal tool
          - dr.web cureit
          - RemoveIT
          - Plstfix
          - ATF cleaner
   Запускать их можно как с жесткого диска, так и со сменных носителей (cd, флешка и т.д.). Требует инсталяции только RemoveIT,остальные даже не придется устанавливать.

   1. Удаляем записи о вирусе из системы. Для этого запускаем RegCleaner. В меню выбираем Задачи - Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
   Затем выбираем вкладку "автозагрузка". Внимательно смотрим список того, что у вас загружается и изучаем каждый пункт. Ставим галочки и нажимаем удалить (правый нижний угол) всего, что вами не устанавливалось и не является desktop и ctfmon.exe. Всякие svchost.exe и прочие .exe из папки windows должны быть удалены в первую очередь.
   Выбираем задачи - очистка реестра - задействовать все варианты. Программа просканирует реестр, все что найдет - удаляем. На этом можно считать, что поверхностную чистку системы от записей вируса мы произвели.

   2. Теперь ищем сам код. Здесь потребуются следующие три программы. Касперский и Dr.Web - простые и бесплатные утилиты со свежими базами вирусов. В роли тяжелой артиллерии выступает RemoveIT - платный (для нас несущественно первые 30 дней бесплатны) очень хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но дополнять его надо обязательно т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Необходимо наличие соединения с интернетом на время обновления антивируса!.
   По очереди сканируем каждой диск с системой и удаляем все, что программы находят. А находить они будут :). Если есть желание, для своего спокойствия можно проверить все диски компьютера, а не только диск с системой. Займет много времени, но так лучше.

   3. Запускаем утилиту Plstfix. Она ремонтирует реестр после зловредных с ним манипуляций. В частности, включает снова безопасный режим и диспетчер задач.

   4. Осталось на всякий случай удалить все временные файлы. Очень часто копии вируса прячутся в этих папках, и даже после проверки антивирусами нет 100% гарантий, что мы все удалили. Так что удаляем то, что можно удалить - что не скажется на работоспособности системы. Запускаем ATF Cleaner, все отмечаем и смело удаляем.

   5. Перегружаем систему. Все будет работать, даже лучше, чем было :). Настоятельно рекомендую прочесть о защите windows от winlock, чтобы не допустить заражения системы впредь.

 

 

А это полный источник

Это интересно
0

25.05.2011 , обновлено  25.05.2011
Пожаловаться Просмотров: 10370  
←  Предыдущая тема Все темы Следующая тема →


Комментарии 24

Для того чтобы писать комментарии, необходимо

max-02, интересная статья!

Не совсем понятно, как убрать с экрана сам баннер. Об этом написано в статье "Для разблокировки отправьте SMS?"

25.05.2011

Я решил эту проблему с помощью Live CD др. Вебера - закачал на чистый комп эту прогу с сайта - создал загрузочный - загрузился с него и запустил проверку.... убил кучу вирусов и заодно этот... потом повторил тоже самое с помощью касперыча... тот тоже нашел еще с 10 вирусов и все - клинером почистился в автоматическом режиме... и все

 

25.05.2011

Проблема над которой бъюсь сейчас: Winlocker. Коды доступа не подошли. Диспетчер задач отключен, безопасный режим тоже, точки восстановления удалены. Образа нет.

LifeCD Dr.Web и Касперского нашли четыре десятка зараженных файлов и удалили их. Win7PE не помог (только почистил все временные файлы).

Система до сих пор блокирована. Какие мысли?

25.05.2011

если ничего не поможет - остается только один выход : переустановка WINDOWS .

25.05.2011

Помучаюсь еще. Если найду решение-напишу.

25.05.2011

Прошу прощения, забыл. ОС Win7 начальная.

25.05.2011

Работали под какой записью?

Cool

25.05.2011

Скорее всего под админской

У меня была такая фишка 2 раза. и все 2 раза этот баннер пропадал ровно через час после запуска ПК. после чего я чистил его Dr.web Curient.

25.05.2011

в семерке две админские записи, есть админ,а есть супер админ

26.05.2011

Супер админ в любой семерке отключен :

МойКомп- Управление - Пользователи и Группы - Плоьзователи - Админ -Снять галочку с " Учетная запись дезактивирована " .

Перейти на Админскую учетную запись . И еще раз помучиться ...

maximum***@g*****.com 26.05.2011

Win7PE не помог-это уже интересно!

26.05.2011

Случай был действительно интересный. Так как любой вход в систему был запрещен, админ и суперадмин недоступны. Командная строка тоже. И т.д. Проблема решена кардинально: переустановка системы. ПК чужой, поэтому время работы было ограничено.

обновите ссылки ! Спасибо!

просто совет: если ещё не словили ету дрянь . кроме того ,что дожен стоять антивирус и фаервол . если открыли какой либо сайт и там вылезло окошко непристойного содержания НЕВКОЕМ СЛУЧАЕ НЕ НАЖИМАЙТЕ НИ КУДА В ЕТОМ ОКОШКЕ !!! лучше сразу покиньте этот сайт ! то что вам нужно обязательно найдёте в другом месте .    а лучше установите adguard блокирует всякие банеры вот сайт 

http://adguard.ru прога платная где то 200руб в год  . есть двух недельный пробный период . уменя установлена . всем советую  .лучше "коровы"

31.05.2011

на мозилле есть бесплатный NOSCRIPT . И против рекламы- ADBLOCK+ . Tongue out

02.06.2011

Спасибо за внимание- дико извиняюсь неделю был в командировке. Есть ещё одна полезная утилитка, чтоб отключить зловредный плагин, но только отключить, затем нужно чиститься и чиститься

maximum***@g*****.com 02.06.2011

Ждём координаты и комментарии.

02.06.2011

Хм....С транно дал ссылку на toolbarcop, она не появилась

02.06.2011

max, включен антиспам в комментариях . и с возвращением !Smile

05.06.2011

Хотел бы поделиться опытом в использовании этого тулбаркопа, мне тогда повезло, что ярлык этой утилиты был в левом нижнем углу экрана, я просто смог его запустить и отключить левый плагин, но при отключении комп завис с серым экраном, потанцевав с бубном случайно нажал кнопку выключения на передней панели( не перезагрузки!)- комп не выключился, но баннер пропал и стало возможно произвести действия по удалению зловреда, хотя не сделав чистки приочередном запуске зловред , естественно появлялся вновь

02.06.2011

Спасибо, ЕвгенийSmile!Но в понедельник опятьFrown

02.06.2011

Опять в командировку ?

02.06.2011

к сожалению да, нужно покупать ноут :D