Троян Winlock произвел в сети много шума, им заразились и вероятно, будут заражены тысячи компьютеров. Цель данного вируса-вымогателя - стрясти с вас денег, путем блокировки windows и предложения отправить платную смс на короткий номер для разблокировки системы.
Я сам испытал на себе все неприятности и потратил много времени, чтобы вылечить зараженную систему и хочет помочь вам не допустить проникновения этой заразы или помочь избавиться от нее.
Первые вeрсии этого трояна появились в конце 2008 года и представляли собой довольно простую и легко откулючаемую программу. При перезагрузки или включении зараженной системы пользователь видел вместо рабочего стола вот такое окошко. Смотреть в начало.
Или подобное - вариантов было масса от черного экрана до различных изображений взрослого содержания, приводить которые здесь нет ни возможности, ни смысла. Этот winlock блокировал windows, но отключался довольно просто: в сети быстро появились коды, которые можно было ввести в окошко и обезвредить вирус, а продвинутый пользователь мог перегрузить систему в безопасном режиме и запустив антивирус, вылечить компьютер.
Сейчас winlock уже другой, вирус стал намного умнее. В частности, теперь он отключает диспетчер задач (ctrl+alt+del), не позволяет загрузить компьютер не только в безопасном режиме, но и вообще загрузить другую систему с другого жесткого диска данного компьютера. Многие коды разблокировки вируса-вымогателя уже не работают, а сам злодей меняется с такой скоростью, что даже объявившей настоящую борьбу с ним антивирус dr.web просто не находит винлок в зараженной системе.
Тем не менее, есть способ избавиться от вымогателя winlock, не переставляя систему (в лучшем случае) или не форматируя жесткий диск. Об этом, и о том, как защитить себя от этого вируса, мы поговорим ниже. Сразу хочу обнадежить: все получится. Вопрос только в том, насколько быстро.
Данное руководство может быть использовано для удаления любого вредоносного кода, а не только трояна вымогателя winlock.
Отключите компьютер от сети физическим образом (грубо говоря, выньте вилку сетевого шнура, отсоедините usb модем и т.д.). Подключить его потребуется только на короткое время обновления одного антивируса.
Нам потребуются следующие утилиты:
- RegCleaner
- Касперский removal tool
- dr.web cureit
- RemoveIT
- Plstfix
- ATF cleaner
Запускать их можно как с жесткого диска, так и со сменных носителей (cd, флешка и т.д.). Требует инсталяции только RemoveIT,остальные даже не придется устанавливать.
1. Удаляем записи о вирусе из системы. Для этого запускаем RegCleaner. В меню выбираем Задачи - Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Затем выбираем вкладку "автозагрузка". Внимательно смотрим список того, что у вас загружается и изучаем каждый пункт. Ставим галочки и нажимаем удалить (правый нижний угол) всего, что вами не устанавливалось и не является desktop и ctfmon.exe. Всякие svchost.exe и прочие .exe из папки windows должны быть удалены в первую очередь.
Выбираем задачи - очистка реестра - задействовать все варианты. Программа просканирует реестр, все что найдет - удаляем. На этом можно считать, что поверхностную чистку системы от записей вируса мы произвели.
2. Теперь ищем сам код. Здесь потребуются следующие три программы. Касперский и Dr.Web - простые и бесплатные утилиты со свежими базами вирусов. В роли тяжелой артиллерии выступает RemoveIT - платный (для нас несущественно первые 30 дней бесплатны) очень хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но дополнять его надо обязательно т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Необходимо наличие соединения с интернетом на время обновления антивируса!.
По очереди сканируем каждой диск с системой и удаляем все, что программы находят. А находить они будут :). Если есть желание, для своего спокойствия можно проверить все диски компьютера, а не только диск с системой. Займет много времени, но так лучше.
3. Запускаем утилиту Plstfix. Она ремонтирует реестр после зловредных с ним манипуляций. В частности, включает снова безопасный режим и диспетчер задач.
4. Осталось на всякий случай удалить все временные файлы. Очень часто копии вируса прячутся в этих папках, и даже после проверки антивирусами нет 100% гарантий, что мы все удалили. Так что удаляем то, что можно удалить - что не скажется на работоспособности системы. Запускаем ATF Cleaner, все отмечаем и смело удаляем.
5. Перегружаем систему. Все будет работать, даже лучше, чем было. Настоятельно рекомендую прочесть озащите windows от winlock, чтобы не допустить заражения системы впредь.
Информация по устранению вируса-вымогателя взята с http://www.winlock-trojan.ru
Комментариев нет:
Отправить комментарий