Баннеры на рабочем столе или в браузере
Компьютеры & Интернет » Безопасность
Автор совета: Анатолий Шуколюков Дата публикации: 12.01.2011
В 2010 году нахлынула волна вирусов Trojan.Winlock. Миллионы компьютеров подверглись заражению. Что представляет из себя этот вирус? Концепция такова: на рабочем столе появляется баннер, который невозможно закрыть, и просящий отправить смс. Ни в коем случае не отправляйте СМС!
Итак, основные схемы блокировки:
- Блокировка Диспетчера задач Windows
- Блокировка Редактора реестра
- Отключение панели управления
- Ложные предупреждения о уничтожении либо шифровании данных
- Блокировка антивирусов и лечащих программ
Из-за существования множества модификаций вируса, сложно подобрать единый алгоритм устранения угрозы. Тем не менее, опишу основные способы.
Как я сказал модификаций Winlock очень много. Основные типы:
- Интегрирующиеся в браузер
- Блокирующие рабочий стол частично
- Блокирующие рабочий стол полностью
- Подменяющие оболочку Windows(что позволяет запустить баннер до показа рабочего стола)
- Создающие свой загрузочный сектор (наиболее опасные) Модификация конца 2010года.
Рассмотрим первый тип – Интегрирующиеся в браузер на примере браузеров Mozilla и Interne tExplorer.
1) Internet Explorer
Запускаем Internet Explorer, в верхнем меню выбираем – Свойства-Надстройки-Управление Надстройками
Чтобы отключить подозрительную надстройку, нажмите кнопку "Отключить" и перезапустите браузер.
2) Mozilla Firefox
Откройте в главном окне браузера-Инструменты-Дополнения
Здесь вы можете управлять расширениями. Начинайте по одному отключать и перезапускать браузер для выявления «зловреда»
Рассмотрим следующие типы:
Блокирующие рабочий стол частично и полностью
У вас «висит» на столе баннер с требованием отправить смс на указанный номер. В некоторых случаях даже грозиться удалить все данные. Но это, извините бред «чистой воды».
Здесь два способа разблокировки:
Первый: Записываем номер и текст, который нужно отправить. Далее идем к другу/соседу/интернет-кафе - в общем туда, где есть интернет. Ну в крайнем случае берем телефон. Открываем сайт разблокиратора:
http://www.drweb.com/unlocker
Разблокиратор Drweb имеет следующую концепцию:
- Поиск по имени трояна
- Поиск по внешнему виду
- Поиск по номеру и тексту
Итак предположим пароль подошел (если нет читаем ниже). Увидели рабочий стол, но не спешите праздновать победу. Вирус ведь никуда от вас не делся.
Действуем по алгоритму:
- Скачиваем альтернативный Диспетчер процессов (Starter, SimpleAssistantLoader)
- Находим подозрительные процессы (вида Gxzp23.exeи т.п.). Если не знаем - обращаемся к поисковику и пишем найденный процесс. Затем определяем останавливать его или нет.
- Скачиваем утилиту для редактирования автозагрузки (Starter, SimpleAssistant Loader, Autoruns)
- Находим подозрительные загрузочные записи. И обращаемся к поисковику.
- Скачиваем антивирусные утилиты ( DrwebCureIT (~20-30мб) или Kaspersky Removal Tool (~70мб)
- Шаг 6 (внимание обратитесь сюда, если пароль не подошел. Подробнее в разделе «Что делать если пароль не подошел?)
Заходим в реестр проверяем ключи вручную (либо пользуемся Simple Assistant Loader или AVZ) :
(метод действителен для троянов подменяющих оболочку Windows(что позволяет запустить баннер до показа рабочего стола)
Запускаем редактор реестра: для этого нажимаем сочетание клавиш Win+R
В открывшемся окне пишем: regedit
После запуска редактора реестра, слева в панели навигации ищем ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon - для 64-битных машини
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon– для 32-битных машин
Смотрим параметры ключей: Userinit и Shell.
Параметр для Userinit должен быть «C:\Windows\system32\userinit.exe», если у вас другой, меняйте на этот.
Параметрдля Shell «explorer.exe» соответственно, как и в первом случае, если строка другая, замените параметр.
Просканируйте компьютер антивирусной утилитой AVZна наличие скрытых рукитов и шпионов.
Теперь вам не страшен Winlock!
Что делать если пароль не подошел?
Для этого нам понадобиться LiveCDLive USB с программой ERDCommander.
1) Запускаем LiveCD и выбираем нашу систему
2) Выбираем Пуск - AdminTools - Regedit
3)Перед нами открывается обычный редактор реестра и нам осталось лишь повторить операции, сделанные в шаге 6 в разделе о троянах Блокирующих рабочий стол частично и полностью
Теперь о малоизвестных троянах создающих свой загрузочный сектор.
Троян после проникновения на компьютер, обходит защиту UAC и создает загрузочную запись (MBR). После перезагрузки компьютера вместо загрузки системы вы увидите надпись такого типа:
Где написано, что если вы не хотите потерять свои файлы то посетите сайт www.xx____.ru.
На самом деле это просто угрозы. Стандартный пароль к такому вирусу: ekol или jail.
Если пароль не подошел нужно восстановить загрузочную запись MBR и просканировать ПК антивирусом.
Чтобы восстановить учетную запись MBR, загрузитесь с установочного диска операционной системы. Будет предложено заново восстановить систему или восстановить. Выбирайте - Восстановление системы-Консоль.
В консоли введите команды:
fixboot и fixmbr
Перезагрузите компьютер.
Полезные ссылки по теме:
- http://www.freedrweb.com/cureit/?lng=ru - скачать DrwebCureIT
- http://www.z-oleg.com – AVZ
- http://www.shlp.net.ru/files/ SALoader_Portable.zip - Simple Assistant Loader удаление ключей из реестра
- http://support.kaspersky.ru/viruses/utility - Утилиты от Касперского
- http://www.drweb.com/unlocker - Разблокировщик
Что еще? Посетите блог автора совета "О программировании и информационной безопасности".
Обратите внимание:
20 июля 2012 г. опубликована новая и самая подробная на данный момент статья Баннер, блокирующий Windows, гарантирующая удаление вируса в 99,9% случаев заражения!
Последние советы раздела «Компьютеры & Интернет»:
Получаем большое количество денег в GTA 5
5 плюсов общения в видеочате
Как и зачем получать онлайн-образование
Как проверить скорость интернета на ноутбуке
Как и зачем стоит купить прокси-сервер
Программа для восстановления удаленных файлов
Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона
Комментарии совета:
Комментарий добавил(а): тархун
Дата: 28.09.2012
Непонятно объяснено.
Комментарий добавил(а): Саня
Дата: 01.11.2011
Добро пожаловать на новый бесплатный онлайн сервис разблокировки смс вымогателей (блокеров, tojan.winlock) от Stop Malware Lab. Проект находится по адресу http://stopmalware.kz/antiwinlock/index.php и работает предельно просто вводите текст смс сообщения, номер кошелька или номер телефона, (которые якобы стоит пополнить или перевести некоторую сумму денег, чтобы получить код разблокировки), и получаете коды разблокировки! Все гениально просто! База кодов разблокировки постоянно пополняется и фильтруется! Будьте здоровы!
Добавить комментарий
Имейте, пожалуйста, ввиду, что любые ссылки, html-теги или скрипты, будут выводиться в виде обычного текста - бессмысленно их использовать. Комментарии, содержащие нецензурные выражения, оскорбления, флуд и рекламу будут немедленно удалены.
Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)