* Удаляем троян Winlock
Опубликовано Июнь 7th, 2010 Автор: Игорь. В категории Ubuntuлогия, Администрирование.
Попался однажды на машинке троянец Winlock. Вроде бы стандартный, да не все так просто. Во-первых: антивирус его еще не определял (ни Nod, ни CureIt). Во-вторых: он не только перекрывал большую часть рабочего стола, но и не давал исполнять многие приложения (какие точно, опишу ниже). Вот как выглядит это чудо:
Кто не хочет читать процесс поимки трояна – может сразу перейти к гайду по удалению.
Кроме того, советую прочитать статью о том, как защититься от нового шифровальщика WannaCry.
Троян просит отправить код 4579304 на номер 5121. Вся это гадость занимает большую часть экрана. Плюс в том, что незначительное свободное пространство все таки остается и это дает нам преимущество (причем чем выше разрешение, тем больше пространства – размеры окна троянца фиксированы). Первым делом я попытался запустить regedit и taskmanager. Конечно, локер сделать мне этого не дал. То есть программы запускались, но тут же завершались. Опытным путем было установлено, что в нем зашит какой то фильтр по которому он закрывает “неугодные” приложения. Например, троян не разрешил запустить ни один из браузеров, но нормально реагировал на WinRar и даже msconfig, вот ProcessExplorer тут же завершал, причем уже тогда, когда я заходил в папку с ним.
Следующей моей идеей было поискать “кряк” для разблокировки, благо под рукой оказался еще один компьютер, подключенный к интернету. Привожу ниже список сайтов, где можно найти коды к подобного рода троянам от производителей антивирусов:
Учитывая тот факт, что троян определялся вирусами вполне логично было, что кодов на этих сайтах не было. Тогда я вспомнил про COMODO Firewall, который все это время тихо висел в трее (то что тихо – это моя заслуга, конечно, сам отключил проактивную защиту). С помощью встроенного в него просмоторщика активных процессов и был выявлен наш шпион. Файл располагался в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – excel.exe и техтешник time.txt, внутри которого было написано таинственно число 25.
Теперь осталось удалить его (я делал это из под Линукса, так как хотел оставить файл для отправки производителям антивируса), но вроде как он не был защищен, поэтому ничто не мешает удалить его прямо в винде. Теперь перезагружаемся и запускаем regedit. Нас интересует следующая ветка: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. После трояна оно выглядит так:
Редактируем, оставляя только Explorer.exe. Ну и осталось проверить файл hosts, такие троянцы любят записывать туда всякую дрянь. Напомню, что файл находится в каталоге C:\Windows\System32\drivers\etc\. Открываем файл блокнотом. Внутри должна быть только одна строчка:
127.0.0.1 localhost
Обращаю внимание, что трояны в последнее время стали идти на хитрость и добавлять свои строчки через пару сотен переводов строки. Т.е открываешь файл – вроде все как надо, а вся дрянь записана в самом конце, поэтому прокрутите содержимое файла до конца.
Все эти действия подходят для трояна, который просит отправить код 4579304 на номер 5121.
Работоспособность метода для других троянов НЕ гарантируется.
Файл трояна я отправил основным производителям антивируса. Надеюсь его в ближайшее время добавят в вирусные базы.
Итак поэтапное удаление:
1) Заходим в каталог C:\Program Files\Common Files\Office\ и удаляем exel.exe. Перезагружаемся.
2) Открываем regedit (пуск-выполнить-regedit). Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение Shell на Explorer.exe,
3) Проверяем файл hosts
Удачи и будьте аккуратны!
13 Комментариев к “Удаляем троян Winlock”
Оставьте комментарий
Категории:
Архивы:
- Июнь 2018
- Август 2017
- Май 2017
- Сентябрь 2016
- Август 2016
- Сентябрь 2015
- Август 2015
- Декабрь 2012
- Ноябрь 2012
- Февраль 2012
- Май 2011
- Апрель 2011
- Март 2011
- Январь 2011
- Ноябрь 2010
- Октябрь 2010
- Сентябрь 2010
- Август 2010
- Июнь 2010
- Май 2010
- Апрель 2010
- Март 2010
Июнь 7th, 2010 at 14:56
кроме того, можно позвонить смс агрегатору и спросить у него коды для разблокировки. в данном случае это:
1код 34216463
2код 46756754
Июнь 7th, 2010 at 15:06
UPD: пришел ответ от Лаборатории Касперского.
“exel.exe – Trojan-Ransom.Win32.PinkBlocker.bmu
В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:”
Обновляйте вирусные базы!
Июнь 7th, 2010 at 16:39
спасибо,помогло!!!
Июнь 7th, 2010 at 16:40
пожалуйста. рад, что кому то пригодилось описание
Июнь 9th, 2010 at 6:01
ВАЖНО!!!: еще чтоб не искать другой комп для проделывания вышеуказаных процедур можно зайти новой учетной записью …хоть в нет выйти дает чтоб узнать как бороться с проблемой!!!!!!!!!
Июнь 9th, 2010 at 6:46
Это не поможет. У меня на двух учетках стол был заблокирован. Вся проблема в том, что троян записывает себя в реестр, в качестве шелла
Июнь 9th, 2010 at 19:30
СПАСИБО!
Июнь 9th, 2010 at 19:32
Igor Says:…
да не серьезно получилось создал запись уч. новую вышел инет пришел на этот сайт правда ввел пароль сразу потому что не смог напрямую удалить из папки exel.exe помогите это сделать!!!???
Июнь 9th, 2010 at 19:49
возможно была другая разновидность. параметры логина для всех пользователей одинаковы, если троян себя уже прописал – значит у всех выскочит. впрочем, это можно проверить – файл у меня остался, попробую запустить на виртуалке. кстати, Dr.Web его теперь тоже определяет.
Июнь 9th, 2010 at 20:07
time.txt влегкую …а exel не хо( эх ладно прыгаю на точку востановления
Июнь 15th, 2010 at 5:23
Спасибо! Помог код разблокировки с сайта Dr.Web,ни один код с сайта Касперского не подошел ((
Июнь 24th, 2010 at 18:05
появилась такая же ерунда, но текст для разблокировки – 35103710.
Уже все коды перепробовал, а на сайтах антивирусов не могут подобрать код.
Июль 31st, 2010 at 23:20
Помогите скачал новый альбом Kylie Minogue – Aphrodite вдруг комп ушел в перезагрузку и появился вонючий баннер с порносайта. Код доступа пришел, ввел его и вылез еще один где нужно отправить еще одну смску на то что тебе исполнилось 18 лет. Чушь собачья! Пробежался антивирусом, тот что-то там удалил, теперь у меня при каждой загрузке компа сообщение об ошибке “Windows не удалось найти файл Plugin.exe Проверьте его наличие…” Как мне от него избавиться?