Лечение Trojan.Winlock

Опубликовал – 09.12.2010

Давно обещал своему другу Александру Сергеевичу написать сюда чего-нибудь, но все руки не доходили.
По работе часто сталкиваюсь с проблемой, когда пользователь хватает на свой компьютер вирус под именем Trojan.winlock. Если вкратце, то троян блокирует Windows не давая запустить никакой исполняемый файл, и требует отправить SMS для его удаления иначе хрен куда нажмешь и хрен чего запустишь.
Есть две новости: одна хорошая, другая плохая.
Хорошая новость в том, что на сайтах производителей есть базы кодовых слов для разблокировки таких троянов (Dr.Web, Kaspersky). А плохая, что для этого нужен компьютер с выходом в интернет, чтоб туда залезть и узнать этот треклятый код. Ну и собственно прогресс не стоит на месте. По закону бутерброда, вам таки попадется такая модификация этого трояна на который еще не успели наотправлять смски всякого рода бухгалтерши и предупредить о полученных кодах блокировки других =)

Собственно, приступим к лечению.

Данный троян подгружается системой под любой учетной записью и даже в safe mode винды, что мешает его ликвидации. Для его удаления необходимо изменить реестр. Но как это сделать, если он не дает ничего запустить? Вот тут можно поизголяться.

Способ №1.

Откручиваем винчестер и подрубаем его к другому компьютеру (тока проверьте, чтобы загрузка системы пошла со здорового винта). Запускаем на здоровом компьютере через пуск->выполнить->regedit

Выделяем ветку HKEY_LOCAL_MACHINE и жмакаем на Файл->Загрузить куст.

Указываем путь до файл [диск на котором лежит зараженная винда]:/windows/system32/config/software

Затем, редактор реестра предложит вам назвать вашу ветку как вам хочется, главное чтобы название не совпало с существующей веткой. Я назвал мою ветку «Software_Bad_Tree»

Данная махинация позволит нам прикрутит нужную нам ветку реестра с зараженной винды и даст возможность подправить ее.

Спускаемся сюда  [HKEY_LOCAL_MACHINE\ Software_Bad_Tree\Microsoft\Windows NT\CurrentVersion\Winlogon] и ищем запись «Userinit«. На здоровом компьютере она выглядит так

«Userinit»=»C:\WINDOWS\system32\userinit.exe,» (не вздумайте удалить запятую в конце ^_^).

У больных компьютеров к этой записи после запятой будет добавлен путь до какого-то другого файла. Для лечения компьютера посмотрите куда ведет второй путь и удалите по этому адресу все что там есть. Затем, удалите саму запись об этом файле в реестре оставив только путь до userinit.exe и запятую в конце. Теперь надо выгрузить куст. Заходим в файл->выгрузить куст.

Вот и все. Можно откручивать винчестер и нести к своему родному системнику.

Способ №2.

Данный способ отличается только тем, что нам не нужен второй компьютер, а мы воспользуемся так называемым LiveCD «операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск». Скачать данную ОС можно с Интернета откуда угодно и поставить хоть на флешку, хоть на CD диск.

Мы просто грузимся на своем компьютере с этого LiveCD и подгружаем ветку реестра в нем.

Способ №3.

Вы – системный администратор и счастливый обладатель прав «администратора домена». А зараженный компьютер находится в домене Active Directory. Вам повезло!! Вы, не сходя со своего рабочего места, запускаете редактор реестра на своем рабочем компьютере и с помощью команды «файл->подключить сетевой реестр» ищите больной компьютер в вашем домене.

Дальше все тоже самое что было написано по лечению в способе №1.

Вот как бэ и все. Всегда ваш, Филипп Анатольевич.

Рассказать друзьям:
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • Facebook
  • Twitter
  • Яндекс.Закладки
  • В Живую Ленту Google
  • Сто закладок
Комментарии (12) - Лечение Trojan.Winlock

Ответ

  1. ну вот :) а ты боялся, не сложно же ) главное простенько и со вкусом! красиво пишешь, ждем еще статей ;)

  2. Филипп Анатольевич:

    Обещал ведь)
    P.S. Прикольная проверка с «выставьте эти иконки вертикально» =)

    Thumb up Thumb down +3

  3. xsi:

    ну хоть один интересный пост.
    а иконки, как показала практика, совершенно не нужны, есть плагины получше для защиты от ботов. ну и да, грузят цпу на хостинге они неплохо.

    Thumb up Thumb down +1

  4. Дмитрий:

    можно запустить безопасный режим с поддержкой командной строки и попытаться восстановить систему
    c:\windows\system32\restore\rstrui.exe

    Thumb up Thumb down +1

  5. Дарья:

    Здраствуйте. У меня проблема ,скачала какой то файл он сломал мой антивирус ESET он отказался сканировать, Не заходит вконтакте пишет нужно отправить смс , у меня на компьютере 3 вируса но папка в котором они я не нашла помогите!

    Thumb up Thumb down +1

    • TimKruz:

      Скачай Avast (или другой антивирус) и запусти режим «сканирование при загрузке системы», потом перезагрузи компьютер.

      Thumb up Thumb down 0

  6. kenwood:

    Если при входе в вконтакт появляется какой-то посторонний сайт с просьбой отправить смс, то вероятно в файле c:\windows\system32\drivers\etc\hosts
    находится запись вида:

    127.0.0.1 localhost
    192.168.0.1 vkontakte.ru
    192.168.0.1 vk.ru

    где 127.0.0.1 localhost можно оставить так, а все остальное потереть.
    192.168.0.1 я написал от балды, тут может быть любой другой IP.

    Суть в том, что при обращении к доменному имени vkontakte.ru или vk.ru в строке вашего браузера, происходит сопоставление этого имени с его IP адресом. В первую очередь компьютер лезет в этот самый host где он неверен и ведет на сайт с смс, а уж потом на DNS сервер вашего провайдера где этот адрес верный.

    Thumb up Thumb down 0

Ответить

Comments

Перед отправкой формы: