• Категории
  • Подписка
  • Разместить статью
29/07/11 23 5071 Лайфхак
-

Trojan.winlock: два дня танцев с бубном

Ирония в том, что в нескольким своих статьях я уже писал о том, что в сети гуляет данная разновидность троянца и ни сколько не мог предположить что сам подцеплю данную заразу.

Как говорится ничего не предвещало беды, сидел на работе, обновлял контент сайта, открывал вкладки браузера и смотрел картинки и вдруг неожиданно система (Win XP) начала жестоко тормозить (где-то около 1 мин.), после чего я просто не поверил своим глазам! :)

«Microsoft Security обнаружил нарушения использования сети интернет. Причина: Просмотр нелицензионного ГЕЙ и ДЕТСКОГО порно.» Хотелось дико засмеяться, но обстановка была рабочая, да и не до смеха было поскольку много исходного материала было на компьютере, как-то не очень хотелось переустанавливать ОС. Дело было около 3 часов ночи!

Первое что пришло в голову это как и всегда – перезагрузиться в безопасном режиме и найти в автозапуске незнакомый процесс, но не тут то было, вирус плотненько засел в системе и блокировал систему даже в Safe Mode. На тот момент мы даже не предполагали где и что он из себя представляет. Было сделано несколько попыток загрузки безопасного режима, с загрузкой основных служб и драйверов, с поддержкой сети, и все-таки нам удалось запустить систему в безопасном режиме с поддержкой командной строки. Это был первый луч света, который дал понять, что не все потеряно! :)

Потом были попытки отключения всех служб в msconfig, переустановки Service Pack, и даже сканирования антивирусом Dr.Web Cureit – ничего не помогло.

Потом только, на следующий день в Интернете на одном из форумов компании Dr.Web был найден топик, в котором подымалась данная проблема.

Все решили за 5 минут, нашли exe файл вируса и удалили ссылку на него в реестре. Таким образом, если у Вас возникла подобная проблема, следует сделать следующее:

  1. запустить windows (в нашем случае XP) в безопасном режиме с поддержкой командной строки под учетной записую Администратор (для других версий ищите, как это сделать в Google);
  2. нажать Ctrl+Alt+Del или Win+R, если первый вариант, то нажимаем Файл – Новая задача (Выполнить…) — regedit, если второй – сразу пишем в командной строке – regedit (редактор реестра ОС Windows);
  3. находим следующий раздел в дереве реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\  в правом окне высветиться список параметров, нам необходимо отредактировать пар. Shell (пр. кнопка мыши Изменить) и заменяем все что там есть, приблизительно вот это C:\Program Files\Mozilla Firefox\ 0.17227263084379119.exe на explorer.exe, ОК.

В принципе это все, за исключением пояснения — 0.17227263084379119.exe и есть исполняемый файл вируса, который расположен в папке  Mozilla Firefox (данная папка может быть другой, смотря через какой браузер Вы подгрузите вредонос). Потом тупо заходим по указанному выше адресу и удаляем сам exe-шник (или копируем на флешку :) ради шутки, он безвредный пока его не запустить).

Профилактика

  1. Не доверяйте на 100% антивирусам, скачайте и установите брандмауэр, или же включите стандартный в ОС Windows;
  2. Читайте мою статью Defence Signals Directorate: 4 элементарных правила защиты компьютера и внимайте! :);
  3. Желательно создать вторую учетную запись и под Администратором из панели администрирования ограничить доступ к реестру (regedit) и настройкам системы (msconfig) и никогда не пользоваться админ правами за исключением экстренных ситуаций;
  4. можно конечно пойти дальше и создать образ чистой системы и соответственно, в безвыходных случаях просто его перезаливать;

Это конечно не все, но как раз то, что бы сделал я! Удачи и никогда не паникуйте и не идите на поводу злоумышленников, внимательно читайте что от вас хочет вредоносная программа, ничего не предпринимайте если не знаете как выходить из той или иной ситуации, лучше обратиться к знакомому специалисту. И самое главное никогда не отправляйте деньги на подозрительные кошельки или номера, ни одна софтверная компания (Microsoft, или же Apple) не требуют денег от своих клиентов, по крайней мере в национальной валюте! :)

PS: Не бывает нелицензионного гей и детского порно, это абсурд! :)

ТехноБлог (см. tehnoblog.org.ua) — это обзоры, тесты, статьи и комментарии.


23 комментария на «“Trojan.winlock: два дня танцев с бубном”»

  1. Ага у меня этот трой тоже был ((

  2. Аноним:

    прям чудеса какие-то..) Интересно еще что именно прошло?!)

  3. интересненько)) люблю читать ваш блог))) спасибо большое за очередную тему)))

  4. У меня тоже такого типа троянчики проскакивали, только просили оплатить счет для какого-то музыкального сайта

  5. Аноним:

    элегантно ничего не скажешь!..=)

  6. Бывали случаи, когда заменой записи в реестре ничего не решалось. http://cost.grvn.ru/frilans/winlock-2/ здесь я немного расписал такие случаи

  7. kent:

    в данном случае гуляешь по порно сайтам 😀

  8. Heck:

    не могу войти в безопасный режим, кнопка F8 не работает, есть другие варианты?

    • carerakjan:

      есть, масса, для начала нужно сходить на сайт др. веб, там служба поддержки очень развита, постоянно отслеживают и изучают локеры и размещают лекарства. если нет самый верный вариант я вроде писал, загрузится с лив сиди и прогнать «диск Ц» вебером ( Dr.Web® CureIt) или каспером (Kaspersky Virus Removal Tool), ссылки на скачку здесь — http://securos.org.ua/online-antivirusy/ ну что еще посоветовать, погуглите мож че еще придумали..

Добавить комментарий

Яндекс.Метрика