ITnerd

Попался однажды на машинке троянец Winlock. Вроде бы стандартный, да не все так просто. Во-первых: антивирус его еще не определял (ни Nod, ни CureIt). Во-вторых: он не только перекрывал большую часть рабочего стола, но и не давал исполнять многие приложения (какие точно, опишу ниже). Вот как выглядит это чудо:

Кто не хочет читать процесс поимки трояна – может сразу перейти к гайду по удалению.

Кроме того, советую прочитать статью о том, как защититься от нового шифровальщика WannaCry.

Троян просит отправить код 4579304 на номер 5121. Вся это гадость занимает большую часть экрана. Плюс в том, что незначительное свободное пространство все таки остается и это дает нам преимущество (причем чем выше разрешение, тем больше пространства – размеры окна троянца фиксированы). Первым делом я попытался запустить regedit и taskmanager. Конечно, локер сделать мне этого не дал. То есть программы запускались, но тут же завершались. Опытным путем было установлено, что в нем зашит какой то фильтр по которому он закрывает “неугодные” приложения. Например, троян не разрешил запустить ни один из браузеров, но нормально реагировал на WinRar и даже msconfig, вот ProcessExplorer тут же завершал, причем уже тогда, когда я заходил в папку с ним.

Следующей моей идеей было поискать “кряк” для разблокировки, благо под рукой оказался еще один компьютер, подключенный к интернету. Привожу ниже список сайтов, где можно найти коды к подобного рода троянам от производителей антивирусов:

Dr.Web
Nod
Kaspersky

Учитывая тот факт, что троян определялся вирусами вполне логично было, что кодов на этих сайтах не было. Тогда я вспомнил про COMODO Firewall, который все это время тихо висел в трее (то что тихо – это моя заслуга, конечно, сам отключил проактивную защиту). С помощью встроенного в него просмоторщика активных процессов и был выявлен наш шпион. Файл располагался в следующем каталоге – C:\Program Files\Common Files\Office\. Лежало там два файла: собственно виновник торжества – excel.exe и техтешник time.txt, внутри которого было написано таинственно число 25.

Теперь осталось удалить его (я делал это из под Линукса, так как хотел оставить файл для отправки производителям антивируса), но вроде как он не был защищен, поэтому ничто не мешает удалить его прямо в винде. Теперь перезагружаемся и запускаем regedit. Нас интересует следующая ветка: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon смотрим на значение Shell. После трояна оно выглядит так:

Редактируем, оставляя только Explorer.exe. Ну и осталось проверить файл hosts, такие троянцы любят записывать туда всякую дрянь. Напомню, что файл находится в каталоге C:\Windows\System32\drivers\etc\. Открываем файл блокнотом. Внутри должна быть только одна строчка:

127.0.0.1 localhost

Обращаю внимание, что трояны в последнее время стали идти на хитрость и добавлять свои строчки через пару сотен переводов строки. Т.е открываешь файл – вроде все как надо, а вся дрянь записана в самом конце, поэтому прокрутите содержимое файла до конца.

Все эти действия подходят для трояна, который просит отправить код 4579304 на номер 5121.

Работоспособность метода для других троянов НЕ гарантируется.
Файл трояна я отправил основным производителям антивируса. Надеюсь его в ближайшее время добавят в вирусные базы.

Итак поэтапное удаление:

1) Заходим в каталог C:\Program Files\Common Files\Office\ и удаляем exel.exe. Перезагружаемся.
2) Открываем regedit (пуск-выполнить-regedit). Заходим в ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon меняем значение Shell на Explorer.exe,
3) Проверяем файл hosts

Удачи и будьте аккуратны!

Теги: 4579304, 5121, winlock, заблокировал, как, код, порно, разблокировать, смс, троян, удалить, экран