Страницы: (4) [1] 2 3 ... Последняя » ( Перейти к первому непрочитанному сообщению ) Reply to this topicStart new topicStart Poll

> Вы поймали Winlock..., как это лечить
MoT
Отправлено: Jun 28 2011, 15:12


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


Многие из нас сталкивались с такой распространенной в интернете бедой, как Winlock.Trojan. Внезапно экран блокируется, и вы получаете сообщение типа "Вы смотрели гей-порно/детское порно/просто порно, и вообще у вас Windows нелицензионный, поэтому пока денег не положите на телефон/отправите СМС, компьютер будет заблокирован. А если вы попробуете его выключить, или переустановить систему, то к вам придут четыре всадника Апокалипсиса кранты вашему компу, мы сожжем ему проц, заклиним винт, а кнопки из клавиатуры будут выпрыгивать вам в лоб". НЕ ВЕРЬТЕ! Ничего страшного не произошло, на самом-то деле. Ни в коем случае не отправляйте никаких СМС и не пополняйте никаких телефонных счетов - это всё развод, заветного кода вы так и не получите. Успокойтесь. Сначала зайдите сюда, или сюда. Однако не всегда есть под рукой еще один компьютер, подключенный к интернету. В таком случае вам поможе Live-CD - это, если говорить самыми простыми словами, установленный на CD-диск Windows с набором утилит. Возьмем для примера использование широко распространенного ZverCD, но есть и гораздо менее объемные сборки (под рукой просто не оказалось smile.gif ). Озадачиться его наличием нужно обязательно, а где его взять - это я не скажу, интернет большой, сами догадаетесь smile.gif

Перезагружаем компьютер (да-да, понимаю, кнопка "пуск" недоступна, но вы просто выключите компьютер, а затем включите его). В BIOS надо установить загрузку с CD/DVD привода, либо воспользоваться Boot Menu - практически все BIOS сейчас поддерживают эту функцию. Итак... Выбираем загрузку с LiveCD:

user posted image

Ждем некоторое время (от 3 до 5 минут примерно), пока машина загрузится с диска. Затем нажимаем "Пуск"->"Программы" и далее по скриншоту:

user posted image

Выбираете диск C: (как правило, директория Windows находится там. Если нет - ищете на локальных дисках. Зависит от "извращенности" установки системы, у меня например папка Windows находится только на диске I smile.gif

user posted image

Жмете "ОК", и снова туда же - "Пуск"-"Программы"-ERD Commander - "Утилиты". Тут выбираем "Редактор реестра"

user posted image

В реесте ищете ветку "HKEY_LOCAL_MACHINE", далее - "SOFTWARE" - "Microsoft" - "WindowsNT"-"CurrentVersion"-"Winlogon".


user posted image

Обратите внимание на выделенное красным. Именно это должно быть написано в этом месте, и ничто иное. Если там какие-либо другие файлы, то это и есть ваш вирусняк. Можете, если есть желание, свернуть ERD-Commander, найти эти неправильные файлики и убить их. А потом поправить строчки в реестре (после userinit.exe запятую можно не ставить, на Win7 и так срабатывает, но википедия утверждает обратное, короче, на ваше усмотрение). Потом просто перезагружаемся и радуемся жизни. Но можно после перезагрузки еще и просканировать комп на вирусы, почистить временные файлы (да, там тоже частенько бывает).

Проверено на WindowsXP и Windows7, алгоритм одинаковый. Будете искать LiveCD - обратите внимание на наличие в сборке средств для редактирования реестра на жестком диске (например, тот же ERD-Commander, с другими, думаю, сложнее разобраться не будет). Так же хочу напомнить, что если вы решите со своим компутером обратиться в какую-нибудь фирму, что бы они вам разблокировали систему, то это может серьезно стукнуть по карману - в одной довольно старой и уважающей себя фирме я видел стоимость на такую услугу в 1500 (одна тысяча пятьсот) рублей. Если бы я брал за удаление винлока такие деньги, то имел бы ооооочень неслабую прибавку к зарплате smile.gif

Это сообщение отредактировал MoT - Jun 28 2011, 15:32
Top
Bruno
Отправлено: Jun 28 2011, 15:23


Майор Очевидность
**

Группа: Лепрозорий
Сообщений: 2993
Пользователь №: 619
Регистрация: 7-June 11

Репутация: 102


Здрасте!
есть куча других точек входа. И не всегда (не для всех локеров) это подойдёт.
Top
MoT
Отправлено: Jun 28 2011, 15:25


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


QUOTE (Bruno @ Jun 28 2011, 16:23)
Здрасте!
есть куча других точек входа. И не всегда (не для всех локеров) это подойдёт.

Какие мне попадались - срабатывало на всех. А насчет других точек входа... Ну этот способ мне кажется наиболее простым и быстрым. Поделись своим методом wink.gif
Top
Line
Отправлено: Jun 28 2011, 15:32


Туча
*

Группа: Соконфетники
Сообщений: 1961
Пользователь №: 60
Регистрация: 2-October 10

Репутация: 52


Лично я тупо загрузился другого источника и тупо скопировал "здоровые" userinit и taskmng.
Top
MoT
Отправлено: Jun 28 2011, 15:33


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


QUOTE (Line @ Jun 28 2011, 16:32)
Лично я тупо загрузился другого источника и тупо скопировал "здоровые" userinit и taskmng.

Можно. Но не всегда есть другой источник. К тому же значение shell в реестре тоже частенько подменяется.
Top
Line
Отправлено: Jun 28 2011, 15:42


Туча
*

Группа: Соконфетники
Сообщений: 1961
Пользователь №: 60
Регистрация: 2-October 10

Репутация: 52


QUOTE (MoT @ Jun 28 2011, 15:33)
Можно. Но не всегда есть другой источник. К тому же значение shell в реестре тоже частенько подменяется.

Дальше перезагрузится обязательно проверится антивирусом. Можно найти пару троянчиков либо в папке recycled, либо в моих документах, троянчики что и подгружали этот winlоck.
Я, кстати, последний раз его вообще подхватил в качестве модифицированного kido.h на win xp sp2 без заплатки от kido.

Это сообщение отредактировал Line - Jun 28 2011, 15:42
Top
VJean
Отправлено: Jun 28 2011, 15:42


🐧 ǝноɯʚıqж
Звязда

Группа: Лепрозорий
Сообщений: 10242
Пользователь №: 11
Регистрация: 1-October 10

Репутация: 247


"System Volume Information", тот же...
Top
MoT
Отправлено: Jun 28 2011, 15:43


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


В общем, советы, кто как боролся с напастью, в теме приветствуются. Я не утверждаю, что мой вариант - единственный, но пользуюсь им, и всегда успешно.
Top
Bruno
Отправлено: Jun 28 2011, 15:47


Майор Очевидность
**

Группа: Лепрозорий
Сообщений: 2993
Пользователь №: 619
Регистрация: 7-June 11

Репутация: 102


QUOTE (MoT @ Jun 28 2011, 15:25)
Какие мне попадались - срабатывало на всех. А насчет других точек входа... Ну этот способ мне кажется наиболее простым и быстрым. Поделись своим методом wink.gif

Мне попался один раз такой, что так не личился wink.gif
Но он был странный какой-то. Позволил в безопасном режиме с командной строкой загрузиться и создать пользователя. У этого пользователя локера уже не было wink.gif

И ещё. А если у тебя где-нибудь в автозагрузке стоит что-то, что обратно поправит реестр?
Тело виря нужно искать всё-одно.
Top
MoT
Отправлено: Jun 28 2011, 15:55


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


QUOTE (Bruno @ Jun 28 2011, 16:47)
И ещё. А если у тебя где-нибудь в автозагрузке стоит что-то, что обратно поправит реестр?
Тело виря нужно искать всё-одно.

Такой вариант возможен. Именно поэтому после перезагрузки надо бы сделать полный скан системы. Можно вообще предзагрузочное сканирование, некоторые антивирусы это позволяют.

Это сообщение отредактировал MoT - Jun 28 2011, 15:55
Top
JIHAD
Отправлено: Jun 28 2011, 16:16


Пейсатель
**

Группа: Лепрозорий
Сообщений: 3366
Пользователь №: 532
Регистрация: 3-May 11

Репутация: 110


Я делаю так в таких случаях.
В безопасный режим, затем CureIt! он обычно находит сразу, если не нашел сразу, то по диску Цэ поискать. Перезагрузка и ещё раз CureIt!
Ну и лучи поноса тем удакам, которые это делают wink.gif
Top
MoT
Отправлено: Jun 28 2011, 17:19


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


QUOTE (JIHAD @ Jun 28 2011, 17:16)
В безопасный режим, затем CureIt!

Не все винлоки пускают в безопасный режим.
Top
JIHAD
Отправлено: Jun 29 2011, 07:52


Пейсатель
**

Группа: Лепрозорий
Сообщений: 3366
Пользователь №: 532
Регистрация: 3-May 11

Репутация: 110


QUOTE (MoT @ Jun 28 2011, 17:19)
Не все винлоки пускают в безопасный режим.

Тогда твой способ LiveCD, но такие мне редко попадались.
Top
MoT
Отправлено: Jun 29 2011, 08:01


Мофь. Фила. Ярофть.
ЗвяздаЗвязда

Группа: Лепрозорий
Сообщений: 21686
Пользователь №: 51
Регистрация: 2-October 10

Репутация: 655


QUOTE (JIHAD @ Jun 29 2011, 08:52)
но такие мне редко попадались.

А мне вот наоборот...
Top
фынфа
Отправлено: Jun 29 2011, 08:03


В тихом омуте черти водятся
Звязда

Группа: Лепрозорий
Сообщений: 12362
Пользователь №: 39
Регистрация: 1-October 10

Репутация: 682


поймали в прошлом году в бухгалтерии такую фигню.
Пока ждали сисадмина нашли следующие номера (не помню уже где):
88001007337
88005550102
Они обязаны сказать пароль.
Нам сказали и у нас все получилось rolleyes.gif
Top
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Topic Options Страницы: (4) [1] 2 3 ... Последняя » Reply to this topicStart new topicStart Poll

 

Яндекс цитирования


[ Script Execution time: 0.1204 ]   [ 13 queries used ]   [ GZIP включён ]