* Удаляем троян Winlock

Опубликовано Июнь 7th, 2010 Автор: Игорь. В категории Ubuntuлогия, Администрирование.

Попался однажды на машинке троянец Winlock. Вроде бы стандартный, да не все так просто. Во-первых: антивирус его еще не определял (ни Nod, ни CureIt). Во-вторых: он не только перекрывал большую часть рабочего стола, но и не давал исполнять многие приложения (какие точно, опишу ниже). Вот как выглядит это чудо:

Троян Winlock

Кто не хочет читать процесс поимки трояна – может сразу перейти к гайду по удалению.

Кроме того, советую прочитать статью о том, как защититься от нового шифровальщика WannaCry.

Троян просит отправить код 4579304 на номер 5121. Вся это гадость занимает большую часть экрана. Плюс в том, что незначительное свободное пространство все таки остается и это дает нам преимущество (причем чем выше разрешение, тем больше пространства – размеры окна троянца фиксированы). Первым делом я попытался запустить regedit и taskmanager. Конечно, локер сделать мне этого не дал. То есть программы запускались, но тут же завершались. Опытным путем было установлено, что в нем зашит какой то фильтр по которому он закрывает “неугодные” приложения. Например, троян не разрешил запустить ни один из браузеров, но нормально реагировал на WinRar и даже msconfig, вот ProcessExplorer тут же завершал, причем уже тогда, когда я заходил в папку с ним.

Следующей моей идеей было поискать “кряк” для разблокировки, благо под рукой оказался еще один компьютер, подключенный к интернету. Привожу ниже список сайтов, где можно найти коды к подобного рода троянам от производителей антивирусов:

Dr.Web
Nod
Kaspersky

Учитывая тот факт, что троян определялся вирусами вполне логично было, что кодов на этих сайтах не было. Тогда я вспомнил про COMODO Firewall, который все это время тихо висел в трее (то что тихо – это моя заслуга, конечно, сам отключил проактивную защиту). С помощью встроенного в него просмоторщика активных процессов и был выявлен наш шпион. Файл располагался в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – excel.exe и техтешник time.txt, внутри которого было написано таинственно число 25.

Файл трояна winlock

Теперь осталось удалить его (я делал это из под Линукса, так как хотел оставить файл для отправки производителям антивируса), но вроде как он не был защищен, поэтому ничто не мешает удалить его прямо в винде. Теперь перезагружаемся и запускаем regedit. Нас интересует следующая ветка: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. После трояна оно выглядит так:



Редактируем, оставляя только Explorer.exe. Ну и осталось проверить файл hosts, такие троянцы любят записывать туда всякую дрянь. Напомню, что файл находится в каталоге C:\Windows\System32\drivers\etc\. Открываем файл блокнотом. Внутри должна быть только одна строчка:

127.0.0.1 localhost

Обращаю внимание, что трояны в последнее время стали идти на хитрость и добавлять свои строчки через пару сотен переводов строки. Т.е открываешь файл – вроде все как надо, а вся дрянь записана в самом конце, поэтому прокрутите содержимое файла до конца.


Все эти действия подходят для трояна, который просит отправить код 4579304 на номер 5121.

Работоспособность метода для других троянов НЕ гарантируется.
Файл трояна я отправил основным производителям антивируса. Надеюсь его в ближайшее время добавят в вирусные базы.

Итак поэтапное удаление:

1) Заходим в каталог C:\Program Files\Common Files\Office\ и удаляем exel.exe. Перезагружаемся.
2) Открываем regedit (пуск-выполнить-regedit). Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение Shell на Explorer.exe,
3) Проверяем файл hosts

Удачи и будьте аккуратны!

Теги: , , , , , , , , , , ,



13 Комментариев к “Удаляем троян Winlock”

  1. Igor Says:

    кроме того, можно позвонить смс агрегатору и спросить у него коды для разблокировки. в данном случае это:
    1код 34216463
    2код 46756754

  2. Igor Says:

    UPD: пришел ответ от Лаборатории Касперского.

    “exel.exe – Trojan-Ransom.Win32.PinkBlocker.bmu

    В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
    Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:”

    Обновляйте вирусные базы!

  3. 777 Says:

    спасибо,помогло!!!

  4. Igor Says:

    пожалуйста. рад, что кому то пригодилось описание

  5. Алеск Says:

    ВАЖНО!!!: еще чтоб не искать другой комп для проделывания вышеуказаных процедур можно зайти новой учетной записью …хоть в нет выйти дает чтоб узнать как бороться с проблемой!!!!!!!!!

  6. Igor Says:

    Это не поможет. У меня на двух учетках стол был заблокирован. Вся проблема в том, что троян записывает себя в реестр, в качестве шелла

  7. Марта Says:

    СПАСИБО!

  8. Алеск Says:

    Igor Says:…

    да не серьезно получилось создал запись уч. новую вышел инет пришел на этот сайт правда ввел пароль сразу потому что не смог напрямую удалить из папки exel.exe помогите это сделать!!!???

  9. Igor Says:

    возможно была другая разновидность. параметры логина для всех пользователей одинаковы, если троян себя уже прописал – значит у всех выскочит. впрочем, это можно проверить – файл у меня остался, попробую запустить на виртуалке. кстати, Dr.Web его теперь тоже определяет.

  10. Алеск Says:

    time.txt влегкую …а exel не хо( эх ладно прыгаю на точку востановления

  11. Kate Says:

    Спасибо! Помог код разблокировки с сайта Dr.Web,ни один код с сайта Касперского не подошел ((

  12. Валерий Says:

    появилась такая же ерунда, но текст для разблокировки – 35103710.
    Уже все коды перепробовал, а на сайтах антивирусов не могут подобрать код.

  13. Альтернатиф Says:

    Помогите скачал новый альбом Kylie Minogue – Aphrodite вдруг комп ушел в перезагрузку и появился вонючий баннер с порносайта. Код доступа пришел, ввел его и вылез еще один где нужно отправить еще одну смску на то что тебе исполнилось 18 лет. Чушь собачья! Пробежался антивирусом, тот что-то там удалил, теперь у меня при каждой загрузке компа сообщение об ошибке “Windows не удалось найти файл Plugin.exe Проверьте его наличие…” Как мне от него избавиться?

Требрек URL | Комментарии RSS

Оставьте комментарий