Большая Тёрка / Мысли / Личная лента kaant /
Безопасность, security, антивирус, windows 7, винлокер, winlocker, КПД , Конкурс КПД
Итак, мне вчера жутко повезло - я словил на свой ноут винлокера, который мне угрожал статьей УК РФ о том, что у меня на компе есть материалы педофильного содержания.
К сожалению, имя винлокера я не знаю, но могу привести картинку, как он выглядит в суе:
У него есть одна особенность - к нему нет ключей разблокировки (по крайней мере, сколько я искал, так и не нашел). После каждой перезагрузки компьютера, номер телефона меняется на другой.
Итак, собственно, сам процесс удаления винлокера.
Сразу оговорюсь, что испытания проходили на Windows 7. Поэтому, повествовать буду относительно её интерфейса. Хотя, в целом, принцип один и тот же на всех системах. Да, и это реконструкция событий. :)
Винлокер появляется сразу после загрузки экрана приветствия. Но у нас есть одно преимущество - если разрешение экрана выставлено правильно, то вокруг окна винлокера еще дожно будет остаться пространство, оно будет залито какимлибо цветом (например, черным).
Для работы нам понадобится, всего-лишь, системный RegEdit. И все!
Чтобы до него добраться, нам нужно будет пролезть через дебри окошек.
1. Жмем Ctrl + Alt + Del. Открывается экран задач. На нем будет нужна кнопка "Специальные возможности" (в левом нижнем углу). В этом окошке нужно будет поставить галочку включения экранной клавиатуры. Закрываем экран задач, но клавиатуру оставляем открытой!!!
2. Далее, на клавиатуре нам будет нужна кнопка "Справка".
Принцип всего этого действия заключается в том, что нам нужно добраться до любой папки, например, до Проводника или Мой компьютер, и т.п.
В Windows 7 сделать это можно через окно любой справки (это единственное, что доступно во время блокировки винлокером).
3. На этом шаге нам нужно будет пройти по пути, как на картинке:
А в Свойствах браузера вот так:
4. После нажатия кнопки "Задать программы", откроется, по сути, окно Проводника. Из него можно получить доступ ко всем папкам и файлам компьютера!
5. Теперь, в поле поиска вводим запрос - regedit. Поисковик винды найдет этот файл. Запускаем его и идем по пути:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Здесь нам нужно изменить два ключа:
- Shell
- Userinit
Но, прежде чем менять их значения, запишите путь и файл, которые находились там ранее (это путь и файл вируса!).
- значение в shell меняем на Explorer.exe
- значение в userinit меняем на userinit.exe
Перезагружаем компьютер. Все готово.
После перезагрузки нужно проследовать по ранее записанному пути и удалить ранее записанный файл. Ну и, желательно, проверить комп, например, Malwarebytes' Anti-Malware.
kaant, вчера его же удалял вот так
1)качаем свежий выпуск от drweb cure it,кидаем на флэшку.
2)загружаем Windows в обычном режиме
3)видим баннер
4)нажимаем Shift несколько раз (обычно около 5-ти), пока не выскочит окно про залипание клавиш.
5)жмем на «перейдите в центр специальных возможностей,чтобы..»
6)пишем в поле справа вверху (где написано "Поиск в панели управления") например «выполнить»
7)в самом низу ищем строчку «искать „выполнить“ в центре справки и поддержки», жмем на нее.
8)откроется Справка и поддержка.Жмем на значок принтера ("печать")
9)во вкладке «Общие» жмем на «найти принтер»,ищем в окошке любую папку,щелкаем по ней правой кнопкой и жмем на «открыть в новом окне».
10)ищем флешку в «моем компьютере»,запускаем cure it.Поставьте на полную проверку!
в моем случае cureit нашел файл 22cc6c32.exe и PPPPPP55555.exe, обозначив их как Trojan.Fakealert.21474
также на рабочем столе может обнаружиться файл test.exe
затем
1)открываем диспетчер задач, нажимаем «Новая задача» и вводим «regedit»
2)Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
3)Переходим на правую панель редактора реестра и проверяем два параметра «Shell» и «Userinit». Значением параметра Shell должно быть «Explorer.exe». Параметр Userinit — «C:\WINDOWS\system32\userinit.exe,» (обязательно в конце запятая)!
4)Если параметры «Shell» и «Userinit» в порядке, находим раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и разворачиваем его. Если в нем присутствует подраздел explorer.exe, удаляем.
MagnusDominus, у моего знакомого нечто подобное было две недели назад, он с порносайта скачал видео, вернее он думал что это видео, запустил файл, а там WInlocker на весь экран с гифками трахающихся, и надписька с требованием деньги по смс, победили через безопасный режим, я его до сих пор извращенцем называю, а он, су..а безстыдная, заявляет что типа подрочить захотелось, что мол в этом такого страшного?
kaant, это печально. Лучше уж предотвращать такие случаи как тут, чем потом долбаться в попытках избавиться от вируса. Уверен, что у тебя на компе сейчас кучу вирусов, просто непроявляющих себя явно. Например, всякие ботнет‑вирусы, которые делают твой компом одной из составляющих сети, заражающих другие компьютеры, шпионские вирусы (всяки трояны и прочее) и прочий подобный шлак, использующий твой инет в своих целях и подзагружающий ресурсы компьютера. Для прикола скачай эту прогу. Закинб на флеху и с флехи проверь компьютер на вирусы. Уверен, даже она немало найдет, а касперский еще больше.
У меня об этих секс‑грехах такой вопрос: если после неудачнаго удаления этой заразы загружается пустой рабочий стол и попытка вызвать диспетчер задач выдает надпись что «диспетчер задач отклонен администратором», то как тогда систему реанимировать? (в т.ч. если есть какой либо линукс‑дистрибутив с livecd либо установлен в качестве второй ОС на "винте"). Да и вообще- рекомендую лучше две ОС ставить. Я под линуксом ни разу никакой заразы не ловил).
Если кто все же перевел деньги на счета мошенников, то есть ли шанс их вернуть? (особенно если они их вывести еще не успели. А каковы их доходы? (говорят- приличные)).
Если мобильному оператору пожаловаться о том, что абонентский номер такой‑то используется для мошенничества, то будут ли они принимать меры? (если платеж туда был уже после того, как меры были приняты, то тогда насколько легче будет аннулировать такой платеж и вернуть деньги? Либо как пытаться вернуть деньги, если виновных задержали? (а их вообще ищут? Боюсь,- обычно не ищут)) Или будет все та же проблема, что описана например тут- telecomblog.ru/?p=11338 (т.е. то, что мобильные операторы те меры, которые они принимают, это все намного хуже или намного позже, чем могло‑бы быть. Причина не техническая а нравственная- они с этого соучастия слишком большой % имеют).
Кроме того запросите на yandex что «Ленин болел сифилисом».