Избавляемся от trojan.winlock.**

троянский вирус

На выходных столкнулся с модификацией уже наделавшего немало шума вируса trojan.winlock. Оказалось что NOD  32, которому я доверял охрану своего компьютера эту “заразу” не видит. Как результат – после перезагрузки компьютер убедительно просил отправить sms на номер 3649.

Естественно отправлять sms я не стал, так как наслышан о том, в какие суммы это выливается.

Немного погуглив нашел несколько решений этой проблемы :

1) Подобрать ключ на сайте Dr.Web (там даже создан специальный раздел)

2) Вычистить реестр от его адресов

3) Судя по сообщениям в блогах  – вирус маскируется в двух файлах “Blocker.exe” и “Blocker.bin” и прячется в папке *:/document and settings/all users/application data/ – так что можно его просто удалить

4) Подождать два часа и вирус сам себя удалит.

Мне повезло. Вирус достался хитрый. Видимо какая-то из модификаций – так как ни один из методов не сработал. Ключей dr.web не дал, в указанной папке даже похожих файлов не обнаружил, ну и естественно – пока я это пробовал прошло около 2-х часов и сам себя вирус не удалил.

Осталось только копать реестр, чем я и занялся. Как показала практика – не зря. Для того чтобы до него добраться была использована комбинация клавиш ctrl+shift+esc и команда ‘regedit’ в поле “файл”-”новая задача”.

Если верить блогерам то чаще всего решение можно найти в ветке :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Если Вам повезло – то найдете там ветку “Blocker.exe”, которую и нужно удалить

У меня решение спряталось в другой ветке:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

И оказалось что файлик, мешающий мне нормально включить комп зовется “Admin.exe” и загружается в ветке Shell. Тут же этот параметр был удален. Следом запущен проводник (так же через Ctrl+shift+esc) и удален файл “admin.exe” прятавшийся в папке Windows.

После перезагрузки компьютер нормально загрузился.

Надеюсь изложенное выше вам не понадобиться.

А если и понадобиться, то окажется полезным.

Кстати, традиционные полезности из сети:


Это, кстати, тоже интересно почитать


http://www.mainlink.ru/?partnerid=16147

8 Responses to “Избавляемся от trojan.winlock.**”

  1. Серж Shine  on Февраль 1st, 2010

    Спасибо за толковую информацию. Очень надеюсь, что такого не произойдет, но все же…

  2. alebur  on Февраль 1st, 2010

    А ещё есть – “Сервис деактивации вымогателей-блокеров”
    “Лаборатория Касперского” представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.
    http://support.kaspersky.ru/viruses/deblocker

  3. Михаил  on Февраль 1st, 2010

    alebur, в посте не упомянул – на касперском ключ тоже был дан не подходящий.

  4. Перспективный блоггер  on Февраль 1st, 2010

    Я тоже разок хватанул был. Ввел ключ найденный на сайте одного из известных антивирусов, и норм. Ничего даже не чистил.

    Кстати, идиотом был, потому что по сути сам себе этот вирус и установил. Хотел нажать на просмотр видео на одном из сайтов, но по нажатию на привычный flash player высветилось сообщение, мол, не установлен flash. Я уставший тогда был, мозг, видимо, не включился, скачал предлагаемую прожку и запустил. По перезагрузке винды вирус себя показал :). А потом когда я уже осознанно воспроизводил все действия, нажал правой кнопкой на “flash”-плеер и увидел, что это даже не flash-плеер, а умело сверстанный html/css с js, который так хитренько выводит сообщение о неустановленном флэше, когда пытаешься просмотреть видео. Во, кидалово! Не ведитесь на это! Всегда проверяйте, флэш ли это, нажав правой кнопкой на плеер. По контекстному меню сразу все станет ясно.

  5. Chief  on Февраль 2nd, 2010

    Замечательное решение, я тоже на всех блогах опубликовал разные пути решений. По работе сталкиваюсь с этим вредителем очень часто, доктор Веб говорит об эпидемии.

  6. BiGxam  on Март 12th, 2010

    только что прозвонил знакомый – ситуация аналогична твоей. Прогнал номерок по базам др. веба и касперского – результат нулевой. Давай разбираться что за процесс там сидит – оказалось SMS.exe. Естественно он был защищенным и просто так не убивался. Посоветовал зайти через безопасный режим, найти на диске этот самый sms.exe и удалить его. Не перезванивает – значит получилось…

  7. Михаил  on Март 12th, 2010

    BiGxam, не уверен что получилось – это вполне могла быть подсистема менеджера сеансов smss.exe – ее удалить сложно и винду после этого надо переустанавливать (или восстанавливать файл smss.exe)

  8. BiGxam  on Март 12th, 2010

    Опа, а ведь ты прав. По телефону не разобрался что это за процесс… Черт, ну значит буду ждать звонка с просьбой переустановить винду :)


Leave a Reply