Trojan.winlock: два дня танцев с бубном
Ирония в том, что в нескольким своих статьях я уже писал о том, что в сети гуляет данная разновидность троянца и ни сколько не мог предположить что сам подцеплю данную заразу.
Как говорится ничего не предвещало беды, сидел на работе, обновлял контент сайта, открывал вкладки браузера и смотрел картинки и вдруг неожиданно система (Win XP) начала жестоко тормозить (где-то около 1 мин.), после чего я просто не поверил своим глазам!
«Microsoft Security обнаружил нарушения использования сети интернет. Причина: Просмотр нелицензионного ГЕЙ и ДЕТСКОГО порно.» Хотелось дико засмеяться, но обстановка была рабочая, да и не до смеха было поскольку много исходного материала было на компьютере, как-то не очень хотелось переустанавливать ОС. Дело было около 3 часов ночи!
Первое что пришло в голову это как и всегда – перезагрузиться в безопасном режиме и найти в автозапуске незнакомый процесс, но не тут то было, вирус плотненько засел в системе и блокировал систему даже в Safe Mode. На тот момент мы даже не предполагали где и что он из себя представляет. Было сделано несколько попыток загрузки безопасного режима, с загрузкой основных служб и драйверов, с поддержкой сети, и все-таки нам удалось запустить систему в безопасном режиме с поддержкой командной строки. Это был первый луч света, который дал понять, что не все потеряно!
Потом были попытки отключения всех служб в msconfig, переустановки Service Pack, и даже сканирования антивирусом Dr.Web Cureit – ничего не помогло.
Потом только, на следующий день в Интернете на одном из форумов компании Dr.Web был найден топик, в котором подымалась данная проблема.
Все решили за 5 минут, нашли exe файл вируса и удалили ссылку на него в реестре. Таким образом, если у Вас возникла подобная проблема, следует сделать следующее:
- запустить windows (в нашем случае XP) в безопасном режиме с поддержкой командной строки под учетной записую Администратор (для других версий ищите, как это сделать в Google);
- нажать Ctrl+Alt+Del или Win+R, если первый вариант, то нажимаем Файл – Новая задача (Выполнить…) — regedit, если второй – сразу пишем в командной строке – regedit (редактор реестра ОС Windows);
- находим следующий раздел в дереве реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ в правом окне высветиться список параметров, нам необходимо отредактировать пар. Shell (пр. кнопка мыши Изменить) и заменяем все что там есть, приблизительно вот это C:\Program Files\Mozilla Firefox\ 0.17227263084379119.exe на explorer.exe, ОК.
В принципе это все, за исключением пояснения — 0.17227263084379119.exe и есть исполняемый файл вируса, который расположен в папке Mozilla Firefox (данная папка может быть другой, смотря через какой браузер Вы подгрузите вредонос). Потом тупо заходим по указанному выше адресу и удаляем сам exe-шник (или копируем на флешку ради шутки, он безвредный пока его не запустить).
Профилактика
- Не доверяйте на 100% антивирусам, скачайте и установите брандмауэр, или же включите стандартный в ОС Windows;
- Читайте мою статью Defence Signals Directorate: 4 элементарных правила защиты компьютера и внимайте! :);
- Желательно создать вторую учетную запись и под Администратором из панели администрирования ограничить доступ к реестру (regedit) и настройкам системы (msconfig) и никогда не пользоваться админ правами за исключением экстренных ситуаций;
- можно конечно пойти дальше и создать образ чистой системы и соответственно, в безвыходных случаях просто его перезаливать;
Это конечно не все, но как раз то, что бы сделал я! Удачи и никогда не паникуйте и не идите на поводу злоумышленников, внимательно читайте что от вас хочет вредоносная программа, ничего не предпринимайте если не знаете как выходить из той или иной ситуации, лучше обратиться к знакомому специалисту. И самое главное никогда не отправляйте деньги на подозрительные кошельки или номера, ни одна софтверная компания (Microsoft, или же Apple) не требуют денег от своих клиентов, по крайней мере в национальной валюте!
PS: Не бывает нелицензионного гей и детского порно, это абсурд!
ТвитнутьТехноБлог (см. tehnoblog.org.ua) — это обзоры, тесты, статьи и комментарии.
Ага у меня этот трой тоже был ((
прям чудеса какие-то..) Интересно еще что именно прошло?!)
интересненько)) люблю читать ваш блог))) спасибо большое за очередную тему)))
согласен
У меня тоже такого типа троянчики проскакивали, только просили оплатить счет для какого-то музыкального сайта
элегантно ничего не скажешь!..=)
Бывали случаи, когда заменой записи в реестре ничего не решалось. http://cost.grvn.ru/frilans/winlock-2/ здесь я немного расписал такие случаи
в данном случае гуляешь по порно сайтам 😀
не могу войти в безопасный режим, кнопка F8 не работает, есть другие варианты?
есть, масса, для начала нужно сходить на сайт др. веб, там служба поддержки очень развита, постоянно отслеживают и изучают локеры и размещают лекарства. если нет самый верный вариант я вроде писал, загрузится с лив сиди и прогнать «диск Ц» вебером ( Dr.Web® CureIt) или каспером (Kaspersky Virus Removal Tool), ссылки на скачку здесь — http://securos.org.ua/online-antivirusy/ ну что еще посоветовать, погуглите мож че еще придумали..