Пятница
27.12.2024, 06:37
 Приветствую Вас Гость | RSS
 Радио НН  Главная Регистрация  Каспер  ESET  AVAST  Скорость  Вход  RSS
Меню сайта
  Главная
  О Сайте
  Видеоуроки
  Windows
  Программы
  Книги
  FAQ
  Форум
  Фото
  Игротека
  Живое TV
  Кинотеатр
  Гостевая
  DRIVERS

Программы

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2011 » Май » 12 » Появился новый Winlock
23:02
Появился новый Winlock

Не так давно в сети появился этот "красавец". В первый раз прочитав текст, я долго смеялся (в отличии от жертвы =) ), можно только удивляться выдумке "создателей". Люди, прочитав это, боятся даже компьютер выключить =). И неудивительно, тут даже про статью уголовного кодекса написано...

В общем то ничего особо необычного в этом трояне я не нашел. Также селится он по ветке "Winlogon", удаляя запись в реестре в параметре Shell. Кто не искушен в таких делах, может почитать об этом здесь. Самое печальное, что если вы даже загрузитесь например с LiveCD или подключите жесткий диск к другому компьютеру и просканируете его свежими базами Касперского например, то удалив зловреда, проблемму не решите, поскольку нужно еще восстанавливать в реестре запись Explorer.exe. Но удивил меня этот зверь не этим. 

Проверив автозагрузку и удалив лишние записи, вычистив "запчасти" от трояна, я перегрузился. Но снова был рад лицезреть это "чудо". Наверное я не сразу бы нашел или подумал где найти источник реанимации, но создатель допустил ошибку.  Он хитро придумал подменить системный файл, который грузит профиль и называется "Userinit", своим, запакованным хитрым упаковщиком. В случае если вы додумаетесь удалить трояна, то после перезагрузки этот новый "Userinit" снова полностью восстановит работоспособность вируса. А оплошность вырусописателя была в том что он зачем то заменил иконку обычного exe-файла своей. И зайдя в папку System32 я его сразу же обнаружил.

В общем это конечно не панацея, создатели постоянно изобретают новые фокусы,  поэтому нужно быть очень внимательным. Ну и немного повторюсь (в статье я уже приводил методы удаления), еще раз покажу где жил этот зверь.

На рисунке все подробно показано. Зачеркнут адрес поселения трояна, куда желательно потом зайти и удалить все подозрительные файлы, и прописать туда вместо адреса "Explorer.exe". 

В общем по сути ничего сложного для среднего пользователя. Так что дерзайте!  

Просмотров: 3162 | Добавил: compserv | Рейтинг: 5.0/1
Всего комментариев: 8
1 дениска клубнячков  
0
у меня щас компьютер заблокирован именно этой таблицей... что делать с ней я не знаю и проли на эту фигню ещо не придумали(((((( я весь нет перерыл не один не подходит....... что делать я не знаю.....может кто поможет чем может???

2 compserv  
0
Помочь конечно смогу. Скажи какие у тебя познания в компьютере, точнее уровень. Реестр править умеешь? С диска сумеешь загрузиться? Какая ОС установлена? В общем если не решил проблемму, напиши ниже в комментах.

3 дениска клубнячков  
0
познания на уровне таком что установил винду на винду потом схватил винлокер и теперь не работает безопасный режим и не один мастер починить не может говорят надо снимать винты и фрматировать их на другом компьютере.....я отправлю инфу в касперского они там подгонят пароль под эту рамку блятскую

4 compserv  
0
Quote
не один мастер починить не может говорят надо снимать винты и фрматировать их


Блин, что же это за мастера. Работы, от силы на минут 10 всего. Только не знаю как все это можно объяснить. Пакетник написать?

В общем для начала качни вот отсюда LiveCD >>>скачать<<<. Сейчас правда есть более новая версия, но и эта сойдет. Как скачаешь, напиши, я пока попробую пакетный файл сотворить, который потом ты запустишь.

5 дениска клубнячков  
0
большое спасибо что не отказал в помощи ...ко мне друг обещал зайти с диском мне кажется что он принесёт диск с точно такой же программой......посмотрю как он что будет делать.... поучусь у него поучусь у тебя на ус в кавычках намотаю... у меня вапще была идея поменять местами жесткие диски а тот с вирусом отформатировать.....но потом вспомнил что один диск делется на два на C и на Е а так как на диске Е у меня дофига рульного музона от этой идеи пришлось отказатся по тому что одну часть или половину того диска где устоновленна винда отформатировать не льзя... а форматнуть весь диск полностью....оч жаль

6 compserv  
0
Почитай >>>ТУТ<<<. Это тема на форуме по удалению winlock-ов. Начните прямо с самого начала, там первый пост как раз обо всем подробно говорит.

В раделе реестра winlogon -- находите два параметра -- userinit(там должно быть прописано C:\windows\system32\userinit.exe) и Shell(тут должно быть прописано -- Explorer.exe).

В вашем случае смотрите скриншот выше в этом разделе. Будьте внимательны, прописаны должны быть именно эти параметры, в имени могут заменить одну букву и будет незаметно.

Ну и самое главное. Если вы даже все очистите, обязательно проверьте автозагрузку.
Пройдите по этим путям --
Quote
C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка
, и
Quote
C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
. Все лишние файлы удалите оттуда, иначе все может вернуться.
И еще, тоже очень главное -- две ветки реестра автозагрузки -- это --
Quote
HKEY_CURRENT_USER\Software\Microsoft\Windows\currentVersion\Run
--
Quote
HKEY_LOCAL MACHINE\Software\Microsoft\Windows\currentVersion\Run

все лишние параметры удаляйте, и даже можно пройтись по путям указанным в них и вычистить файлы.

И еще. Тоже важно. На всякий случай возьмите с рабочего дистрибутива файл userinit.exe(или с установочного диска ХР в папке i386 -- там онимеет название userinit.ex_ -- его нужно распаковать 7Zip-ом или командой expand -r ), и с LiveCD замените файл в папке C:\WINDOWS\system32 --- скорее всего его создатели подменили своим и в таком случае все опять может восстановиться.

В общем как мог объяснил, может немного непонятно, но по-другому никак. Действуйте. smile

7 compserv  
0
В принципе, могу уже написать универсальное средство от Winlock-ов. Обычный мини-LiveCD со скриптом. Вставляешь, идешь пить чай :), приходишь -- и система чиста.

Но... ))), так можно совсем без работы остаться biggrin

8 L!nK  
0
Удаляю эту шнягу таким образом: гружусь со сборки зверя, правлю параметр шелл, беру из папки A386 с диска файл userinit.exe и кидаю его в windows\system32, а так же его в папку dllcache. Стандартный userinit в XP весит 23 кб, а этот блокировщик около 63. Удаляем exe из папки documents and settings\all users\application data

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск

Календарь
«  Май 2011  »
ПнВтСрЧтПтСбВс
      1
2345678
9101112131415
16171819202122
23242526272829
3031
 

Новинки







Архив записей
[01.03.2013]
Восстановление доступа в социальные сети (0)
[14.01.2013]
И снова о троянах... (0)
[26.10.2012]
"Лечим" жесткий диск (0)
[04.08.2012]
Оптимизация Windows XP - Мифы, легенды и реальные советы (0)
[12.05.2012]
Описание различных форматов VIDEO-RIP (0)


Друзья сайта
  • Официальный блог
  • Портал "OSZONE"
  • Портал "RU-BOARD"
  • Windows-FAQ
  • Свежий интернет
  • Инструкции для uCoz

    • GISMETEO: Погода по г.Лукоянов

    "Компьютер-сервис" © 2024
    Конструктор сайтов - uCoz