Итог заражения вирусом Trojan.Winlock – появление при загрузке Windows следующего сообщения:
Система не загружается ни в каком режиме, в том числе и безопасном, переключиться на диспетчер задач невозможно. Компьютер становится неработоспособен.
Диагноз.
Часть 1. Дня три назад мне пришло по “одноклассникам” письмо от моего доброго друга, со ссылкой – типа, глянь. Доверяя сайту и своему другу – я прошел по ссылке, которая, как выяснилось, была просто “разводиловом” на деньги. Судя по всему, вирус Trojan-Downloader.Win32.Small.jls я там и подхватил (сказался низкий уровень защиты Internet Explorer, выставленный мной для работоспособности Siebel CRM). Вот похожий опыт, по данным антивирусного форума. На мое удивленное письмо друг ответил, что это хакеры взломали его пароль на “одноклассниках” и шлют спам. Пока на том я и успокоился.
Часть 2. Загруженный, по-видимому, червь (не опознаваемый еще антивирусом) закачал Trojan.Winlock и запустил его. Все защиты одновременно сработали, но ничего полезного не сделали – комп завис, пришлось его перезапускать. После перезапуска – получил то самое окно, что изображено выше…
Выводы. Ситуация серьезная. Подхватить заразу можно, зайдя практически на любой сайт. Ни антивирус (Symantec Antivirus с сигнатурами от 10.04.2009), ни файрволл (Zone Alarm 5.5) помочь не смогли. Снять вирус без специальных ухищрений (описаны ниже) невозможно.
Удаление вируса.
Для того, чтобы что-то сделать, необходимо заранее “подстелить соломки”. А именно – завести себе загрузочный CD, (Live CD) или второй загрузочный жесткий диск (как было в моем случае). Это позволит получить доступ к зараженному жесткому диску.
Далее – дело техники:
1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin – это вирус Trojan.Winlock
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll – это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp – там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки “праздника” из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска “servises.exe”
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ “C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe” и убрать лишнее, то есть должно быть так: “C:\\WINDOWS\\system32\\userinit.exe”
Что можно и нужно делать.
1. Создать уже указанные средства альтернативной загрузки.
2. Как можно чаще делать системные бэкапы (очень рекомендую для этой цели продукты Acronis). Сделать для этой же цели специальный загрузочный CD.
3. Тщательно настраивать систему безопасности броузера. В частности данные вирусы, как предполагается, проникают через исполнение JavaScript. Хотя тут дело тонкое – его отключение приведет к некорректной работе ряда совершенно нормальных сайтов.
4. Как можно чаще обновлять вирусные базы. Хотя помогает, как видим, не всегда.
Чего ни в коем случае не нужно делать
1. Высылать СМС – то есть платить деньги злоумышленникам
2. Переходить по сомнительным ссылкам, даже полученным от друзей
3. Открывать непонятные файлы, даже полученные от друзей
Оригинальный текст по ссылке – http://akasoft.livejournal.com/35863.html
Скажите плиз вот я попал под троянец вин лок и по привычке переусатновил виндовс, после этого он всеравно вылез, заблокировал диспетчер задач хорошо что есть доктов веб, НО диск D(рабочий) в него заходит токлько с ярлыка или командной строки и при новой переустановке системы снова вылезает это хня.
Как переустанавливали Windows, поверх или с полным форматированием? При переустановке, установка поверх не поможет, необходимо полностью форматировать. Гадость может остаться в старых профилях, вы их подключаете и получаете обратно вирус… В любом случае ищите blocker.exe, blocker.bin, ervises.exe и servises.dll на системном диске…
ПОЙМАЛ ОКНО В ИНЕТИ.ПОМОГИТЕ ИЗБАВИТЬСЯ. ВИЗУАЛЬНО И ДОСЛОВНО ВЫГЛЯДИТ ТАК
R KEY IS INVALID OR EXPIRE
Если вы установили данный модуль, но вы хотите отказаться от подписки, то все что вам нужно сделать – это отправить смс на номер, указанный ниже, для полученния кода, который позволит вам удалить модуль.
Модуль пропадет автоматически через 30 дней.
На протяжении всего периода вы имеете
неограниченный доступ к ПОРНО-ресурсу.
ВОЙТИ НА ПОРНО-САЙТ
Чтобы получить код удаления, отправьте смс с текстом 746255 на номер 5121.
Введите код удаления
Попробуйте почитать сайт dr.Web, там много интересного и полезного по этом поводу. Подробней во второй заметке – http://www.otrip.ru/2010/01/trojan-winlock-nebolshoe-dopolnenie/ , Unlocker от dr.Web предлагает “Попробуйте код 24660 или 1566”.
Последняя новейшая программа для разблокировки WINDOWS после действия вируса Trojan.Winlock + генератор кодов
ссылка удалена
Дмитрий, а не кажется Вам, что попытка запихать страницу от dr.Web в бездарную программную оболочку с кучей глупой рекламы идея не достойная вменяемого человека? Впрочем, как и распространение подобных ссылок в тематических записях…
Также, обратите внимание на текст данной заметки, в котором четко рекомендуется пользователю “Не открывать непонятные файлы, даже полученные от друзей”.
Поймал Trojan.Winlock.97. Пытался найти файлы blocker, ervises и servises.dll но их не оказалось, других подозрительных файлов тоже. Проверил жёский на вирусы Нодом 32, тоже ничего. Незнаю што делать!
Ключей на сайте доктора Вэба нет пока.
Пишет отправить смс на номер 5121 с текстом 7488032
Рекомендую перед форматированием диска С , с помощью ACRONIS удалить со всех виртуальных дисков посторонний файл blabla.exe (не помню точно) . Его “хорошо” видно . Правда Acronis почемуто невсегда видит диски SATA .
Поймала Trojan.Winlock.100. Удалила с помощью кода с сайта Dr. Web. Винчестер у меня разделен на 2 диска – C и D. Теперь диск D после удаления отражается как съемный и зайти на него можно только через Total Commander. что мне можно сделать с этим? :))
Надежда, удаление вируса это не выход… лучше всего переустанавливайте систему… для исправления проблем диском D – читайте умные сайты по Windows.
Спасибо…жаль, что с этим справиться можно только путем переустановки…
Надежда, скорее всего достаточно отредактировать реестр (опять же умные сайты смотрите), но лично я предпочитаю с вирусами бороться путем восстановления с бэкапа. 🙂
Еще раз спасибо. Буду искать умные сайты 🙂
Надежда, здесь есть описание решения проблемы:
http://infoprocsoft.com/index.php/Удаление_Winlock_вируса
Веб-узел не содержит никаких излишеств – только текст, так что доступен с мобильного телефона в случае если других возможностей выйти в сеть нету.
парни, я заразил ноут этой херью, номер телефона 9691…..решил проблему супер-мега сложным способом – дату поменял на год назад, окно вируса с требованиями исчезло, после этого вернул дату на место ))) вот и всё =)
А вот вам ещё и статья про подобные вирусы, и как от них защититься… http://za-obedom.ru/?p=250
bo, ничего принципиально нового в указанной Вами статье нет. Мало того, автоматическое обновление Windows никогда не помогало в борьбе с подобного рода заразой, впрочем как Касперский или dr.Web. Самая лучшая защита, это использование браузера с нормальным уровнем защиты и думать, какие ссылки открываешь. К примеру, все ссылки к данной заметке я предпочитаю открывать на виртуальных машинах. 🙂
у меня есть коды на все вирусы трояны винлоки и т.д и т.п
Интересная статья. Вот тут еще детально и подробно рассказано, как эти винлоки попадают в компьютеры http://infsecvir.ru/trojan-winlock-o-processe-zarazheniya. Будьте осторожны!
Скажите,а как обнаружить и отклеить троян от mp3?
скачал музон с контакта через вкмузик(вчера) и вксэйвер(сегодня)
после запуска музона в какойто момент выключается експлорер.ехе и появляется банер на рабочем столе(фон и банер) таскмэн – блокируется,
вирус записывается в папку documents and settingsuser и автозагрузку.
п.с.Скажите,откуда вирус:от исходника вк,или это проги для скачки постарались?
http://turbobit.net/zknyhj77sric.html находит любые банеры и т.д