| ananas | Дата: Четверг, 23.06.2011, 21:16 | Сообщение # 7 |
|
Завсегдатай планеты N
Группа: Проверенные
Сообщений: 217
Статус: Offline
| год назад попросили удалить похожую гадость.
удалилось с помощью антивирусных серверов-
http://www.drweb.com/unlocker/index
http://support.kaspersky.ru/viruses/deblocker
подошел код.
есть еще программка-
RansomHide
Программа, являющаяся сборником кодов для разблокировки разнообразных вирусов, просящих отправить SMS....
http://softget.net/2123-po....am.html
вот нарыл пока инфу-
==Удаление вируса Trojan.Winlock
Итак, вы стали жертвой вируса Trojan.Winlock. Что делать?
1. Первый способ. Подходит, если окно трояна в системе растянуто на весь экран. Запрещены: Редактор реестра, Диспетчер задач (CTRL + ALT + DEL), «Выполнить» (WIN + R). Вы не можете переключиться ни на какое окно в системе. При загрузке в Безопасном режиме (при загрузке ПК, в момент перед показом заставки Windows, нажмите F8 и выберите Безопасный режим), точно такая же картина что и в обычном режиме работы системы. Вирус активен и там.
Требуется загрузочный диск (BootCD, LiveCD). Это единственный минус данного способа, потому что не у всех есть такие диски. Но, лично для меня, более удобный и быстрый. Можно да же отбросить всё выше сказанное о данном способе и вывести одно условие – у вас должен быть загрузочный CD/DVD.
2. Второй способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). Если вам удалось загрузить Безопасный режим и вирусная программа в нем не отображается – этот способ для вас.
3. Третий способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). В Безопасном режиме Windows вирус активен.
После того, как мы определились со способом, приступаем к удалению.
Первый способ
Берём загрузочный диск, не сильно важно его название, главное чтобы была аварийная операционная система (конечно можно воспользоваться и Norton Commander с дискеты если повезёт, но у нас все таки 21 век). Мне лично нравится Active Boot Disk или Vasalex
Итак, нам нужно включить загрузку с привода до загрузки с жесткого диска. Это делается в настройках BIOS. При включении компьютера, в самом начале вы увидите надпись «Press DEL to enter Setup» (у ноутбуков в основном написано вместо DEL -> F2). После того как вы нажали нужную клавишу загрузится настройка BIOS. При помощи стрелок на клавиатуре и клавиши Enter нужно зайти в раздел Advanced BIOS Features. Далее, всё зависит от фирмы изготовителя BIOS. В некоторых нужно найти пункт Boot Device Priority, зайти в него и там настроить приоритет загрузки устройств. В других вы сразу найдете настройки приоритета когда зайдете в раздел Advanced BIOS Features. Если вы хоть чуть-чуть обладаете английским языком – вы разберётесь без проблем. Итак, вам надо найти что-то вроде этого:
1st Boot Device
2nd Boot Device
3rd Boot Device
1st Boot Device – устройство, которое загружается первым, обычно там стоит жесткий диск (HDD). Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите CD-ROM.
2nd Boot Device – устройство, которое загружается вторым. Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите HDD.
Устройство выбрано. Теперь нужно сохранить изменения. Для этого возвратитесь в стартовое меню и выберите Save and exit Setup. В появившемся окошке введите «Y» и нажмите Enter. Вставьте диск в дисковод. В нужный момент загрузки компьютера начнется запуск загрузочного диска. Аварийные ОС на таких дисках бывают разными. Некоторые практически полностью выглядят как и обычная Windows, в них есть проводник. В некоторых вместо проводника используется файловый менеджер (например Total Commander). Суть не в этом – главное, чтобы вы могли перемещаться по каталогам и удалять файлы.
Приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:
в Windows XP
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files
в Windows Vista/Windows 7
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИС И\AppData\Local\Microsoft\Windows\Temporary Internet Files
В корне 1-го пути ищем незнакомые нам exe, tmp файлы. Далее переходим к самым обитаемым местам вируса – 2 и 3-й пути. В папке Temp выделяем все файлы и папки и удаляем. Этот так, чтоб наверняка. В папке Temporary Internet Files выделяем все файлы и удаляем. Если там будут папки, то удаляйте файлы внутри этих папок. Так же можно просмотреть пути C:\, C:\Program Files, C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Cookies, C:\WINDOWS (часто в C:\WINDOWS бывает вредоносный файл cmon.exe, удалите его), но обычно хватает чистки 2-го и 3-его пути. Если на компьютере несколько пользователей, то произведите для профилактики такие же действия и с их учетными записями. Всё, чистка завершена. Теперь перезагружаемся, вытаскиваем загрузочный диск и ждём момента «Х» Вот экран приветствия, начинает грузиться Рабочий стол и всё, окно вируса не появилось. Вы все сделали правильно. Ну а если появилось, значит плохо чистили, загрузите опять загрузочный диск, и пройдитесь опять по всем путям, может что-то пропустили. Для тех, у кого «пропал» троян: сами файлы мы удалили, но вирус мог оставить записи в реестре. Нам нужно дочистить систему. Входим в Пуск -> Выполнить (WIN + R) и набираем команду regedit а затем жмем Enter. Если выводится сообщение «Редактирование реестра запрещено администратором системы«, то смотрите раздел статьи «Запреты». Если все нормально, то перейдите к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В этом разделе хранятся записи автозагружаемых программ текущего пользователя. Эти записи отображаются справа. Конечно, все имена программ и системных файлов вы не можете знать, поэтому, я советую вам обратить внимание на пути к этим файлам, которые отображаются в поле «Значение». Вы сможете понять что это вирус по пути, он может вести к папке Temp или Temporary Internet Files, а так же к Application Data. По имени файла в пути то же можно понять что это вирус. Файл может называться так: ~DFFE93.tmp или так 16A8.exe. Сама запись может называться как угодно. Очень часто её называют Microsoft Audio Driver или что-то вроде этого. Главное не название, а путь и имя файла, запомните это. Итак, допустим, что мы здесь ничего подозрительного не нашли. Теперь переходим к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Здесь, обычно побольше записей. Проверяем раздел на наличие записей вирусов. И проверьте еще 3 пути (они все рядом):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Далее переходим к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян мог прописаться: Userinit, UIHost и Shell. Сейчас я приведу примеры, как эти записи должны выглядеть по умолчанию:
Userinit = C:\WINDOWS\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
Сверьте мои и ваши записи. Если что – исправляем. Ну вот и всё. Если всё сделали правильно, то вирус удалён с компьютера. Но, помните одно – разновидностей Trojan.Winlock очень много. Я привёл пример того, как и куда прописывается и копируется большинство этих троянов, но различия могут быть. Да, и проверьте свой интернет, если работает – значит хорошо, если нет (что делают последние версии этого трояна), значит читаем соответствующий пункт статьи «Не работает интернет», но перспективы не хорошие…
Второй способ
В данном способе у нас нет возможности воспользоваться загрузочным диском, но, вирус не активен в Безопасном режиме Windows. Здесь все просто. Загружаем Безопасный режим (как это сделать написано выше). У нас практически полноценная ОС. Теперь делаем всё то же самое, что и в Первом способе, начиная со слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:». После проделанных действий перезагружаем компьютер и радуемся жизни (если всё сделали правильно).
Третий способ
Этот способ для тех, кому не повезло. У вас нет загрузочного диска, в Безопасном режиме вирус активен. Что же делать? Мучиться! Это самый долгий способ удаления вируса. Если у вас окно вируса посередине экрана, меню «Пуск» видно и части Рабочего стола видны:
Вам нужно попасть в Мой компьютер. Далее, меню Сервис -> Свойства папки -> Вид -> Показывать скрытые файлы и папки -> OK. Если скрытые файлы не отобразились, значит вирус запретил показывать скрытые файлы… Для этого смотрите раздел статьи «Запреты». Предположим, что скрытые файлы и папки отобразились. Теперь вам нужно сделать то же самое что и в Первом способе, после слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:». Но, есть одна загвоздка, окно вируса так мешает отображению папок… Вам придётся изменять размер окон, перетаскивать их туда-сюда, смотреть содержимое по частям. В общем, очень неудобно! Но тут уж ничего не поделаешь. Вызвать Диспетчер задач? Да же если он разрешен, все равно вы его не увидите, потому что он будет под окном вируса. Очень неприятная ситуация. Если у вас есть программа Process Explorer от Sysinternals – можете попытаться запустить её. Она показывает все процессы, да же скрытые. Можно попытаться убить процесс вируса через неё. Но, опять же, некоторые разновидности вообще запрещают запуск файлов. Так что, как повезёт (если запустится, переключитесь на неё с помощью сочетания клавиш ALT + TAB. Она, в отличии от Диспетчера задач покажется поверх окна вируса). И вот так, в таких условиях нужно почистить систему от вируса. Затем перезагрузитесь и почистите реестр. Всё должно получиться, крепитесь Следующая ситуация, это когда окно вируса растянуто на весь экран. Еще худшая ситуация. Все вызываемые окна остаются позади вируса (если вам повезет и попадется старая разновидность, то знайте, у них были проблемы со скрытием вызываемых окон, и чуть-чуть помучившись, можно будет вызвать желаемое окно на передний план. Используйте ALT + TAB, WIN + D и смекалку). Есть еще одна хитрость: зажмите WIN + U. Появится диспетчер служебных программ. Здесь вы сможете включить Экранную лупу или Экранную клавиатуру, без разницы. Главное то, что при запуске покажется справочное окошко, а в нем ссылка на Веб-Узел Майкрософт, тем самым вы запустите браузер. Если интернет подключен, то вы сможете поискать какую-нибудь информацию в интернете по вирусу или скачать программу Dr.Web CureIt!, точнее, выбирайте не «Сохранить», а «Запустить». Просканируйте систему этой программой, может она что-нибудь и найдёт, хотя эта фишка проходила так же со старыми версиями трояна. Если б был такой антивирус, который засекает и уничтожает Trojan.Winlock, цены б ему не было… Попробуйте восстановить систему, в некоторых случаях помогает. Для этого вам нужно запустить Безопасный режим с поддержкой командной строки. Нажмите клавишу F8 во время загрузки Windows (до появления логотипа и строки прогресса). Выберите Безопасный режим с поддержкой командной строки. В командной строке вам нужно ввести C:\WINDOWS\system32\Restore\rstrui.exe. Далее выполняйте все указания, которые появятся на экране. Так же, можете отредактировать реестр Windows, запустив команду regedit.exe. Что удалять в реестре написано выше. Но, всё это может быть запрещено вирусом. Попытайтесь сделать всё вышенаписанное, если уж совсем худо, то спасет только переустановка ОС. А лучше позвоните в какую-нибудь службу по ремонту компьютеров, потратитесь немного, но решите проблему.
Три способа удаления вируса Trojan.Winlock я описал, каждому подойдёт свой. Теперь, опишу возможные проблемы при удалении вируса или после.
Запреты
Вирусы часто запрещают через системный реестр некоторые важные функции ОС. Например, Редактор Реестра или апплеты Панели управления.
Запрещен Редактор реестра, что делать? Меню «Пуск» -> Выполнить -> gpedit.msc -> Enter. Откроется окно Групповая политика. Раскройте «Конфигурация пользователя». Раскройте «Административные шаблоны». Выберите «Система». Справа отобразится список элементов. Найдите «Сделать недоступным средства редактирования реестра». Дважды щелкните по элементу и выберите радиокнопку «Отключен» а затем OK.
Так же, здесь можно разрешить Диспетчер задач, если он запрещен. Вам нужно выбрать справа папочку «Возможности CTRL + ALT +DEL». Откройте её. Дважды щелкните по пункту «Удалить Диспетчер задач» и выберите радиокнопку «Отключен» а затем OK.
Вернитесь назад и выберите пункт «Запретить использование командной строки». Дважды щелкните мышкой и выберите «Отключен». Тем самым вы разрешите использование командной строки, если она запрещена.
Удаление запретов вещь зависимая. Бывает так, что и программа «Выполнить» запрещена, и Редактор реестра запрещен, и Диспетчер задач. Так что действовать нужно по обстоятельствам. Кстати, что бы разрешить вызов программы «Выполнить», найдите в реестре (сам файл Редактора реестра – regedit.exe – находится в C:\WINDOWS) ключ NoRun в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Установите его значение в 0.
Часто, вирусы запрещают отображать скрытые файлы и папки. Пользователь всё делает правильно, но результата все равно нет – скрытых файлов не видно. Это решается с помощью редактирования ключа: HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL. Вам нужно установить параметр CheckedValue в 1.
Я описал как убрать запреты вручную – вам это всегда пригодится. Так же, могу предложить вам мою небольшую программку, она отменяет запреты на использование большинства системных функций (работает только под Windows XP).
Ищем HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой!). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Открываем утилиту Norton commander из списка вверху (так проще увидеть все файлы в т.ч. скрытые). Идем в папку windows/system, там ищем user32.exe. Его может и не быть, но если находим - удаляем. Затем смотрим корневые разделы дисков (открываем диск С, диск D если есть и т.д. - все диски что у вас есть) и удаляем оттуда файлы autorun.inf и любые файлы с расширением .exe, их там быть не должно. После этого загружаем Касперский removal tool и dr.web cureit и проверяем зараженную систему обоими. Затем перегружаемся, не забыв вынуть диск и восстановить настройки bios. Система должна загрузится, троян winlock почти побежден. Идем в раздел лечение.
Если windows не загрузился, пытаемся перегрузиться в безопасном режиме (см.пункт 4). Если и это не получается, то идем на форум dr.web, читаем и просим помощи там.
Данное руководство может быть использовано для удаления любого вредоносного кода, а не только трояна вымогателя winlock.
Отключите компьютер от сети физическим образом (грубо говоря, выньте вилку сетевого шнура, отсоедините usb модем и т.д.). Подключить его потребуется только на короткое время обновления одного антивируса.
Нам потребуются следующие утилиты:
- RegCleaner
- Касперский removal tool
- dr.web cureit
- RemoveIT
- Plstfix
- ATF cleaner
Запускать их можно как с жесткого диска, так и со сменных носителей (cd, флешка и т.д.). Требует инсталяции только RemoveIT,остальные даже не придется устанавливать.
1. Удаляем записи о вирусе из системы. Для этого запускаем RegCleaner. В меню выбираем Задачи - Запуск редактора реестра. Откроется редактор реестра. Ищем:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там - раздел shell, где должно быть указано explorer.exe и раздел userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если папка с системой на диске C и называется windows, в ином случае поправьте. Строка должна заканчиваться запятой). Все другие варианты исправляем на то, что должно быть. Закрываем редактор реестра.
Затем выбираем вкладку "автозагрузка". Внимательно смотрим список того, что у вас загружается и изучаем каждый пункт. Ставим галочки и нажимаем удалить (правый нижний угол) всего, что вами не устанавливалось и не является desktop и ctfmon.exe. Всякие svchost.exe и прочие .exe из папки windows должны быть удалены в первую очередь.
Выбираем задачи - очистка реестра - задействовать все варианты. Программа просканирует реестр, все что найдет - удаляем. На этом можно считать, что поверхностную чистку системы от записей вируса мы произвели.
2. Теперь ищем сам код. Здесь потребуются следующие три программы. Касперский и Dr.Web - простые и бесплатные утилиты со свежими базами вирусов. В роли тяжелой артиллерии выступает RemoveIT - платный (для нас несущественно первые 30 дней бесплатны) очень хороший антивирус, у него нестандартный алгоритм поиска вирусов и троянов и ловит он то, что обычные антивирусы не видят. Но дополнять его надо обязательно т.к. и у него есть слабые стороны. Внимание! RemoveIT попросит обновить вирусные базы. Необходимо наличие соединения с интернетом на время обновления антивируса!.
По очереди сканируем каждой диск с системой и удаляем все, что программы находят. А находить они будут :). Если есть желание, для своего спокойствия можно проверить все диски компьютера, а не только диск с системой. Займет много времени, но так лучше.
3. Запускаем утилиту Plstfix. Она ремонтирует реестр после зловредных с ним манипуляций. В частности, включает снова безопасный режим и диспетчер задач.
4. Осталось на всякий случай удалить все временные файлы. Очень часто копии вируса прячутся в этих папках, и даже после проверки антивирусами нет 100% гарантий, что мы все удалили. Так что удаляем то, что можно удалить - что не скажется на работоспособности системы. Запускаем ATF Cleaner, все отмечаем и смело удаляем.
5. Перегружаем систему. Все будет работать, даже лучше, чем было :). Настоятельно рекомендую прочесть о защите windows от winlock, чтобы не допустить заражения системы впредь.
%SystemRoot%\System32\Config и папке пользовательских профилей (Ntuser.dat)
C:\WINDOWS\system32\config :
software-HKEY_CURRENT_CONFIG
system - HKEY_LOCAL_MACHINE, HKEY_CLASSES_ROOT
default - HKEY_USERS
C:\Documents and Settings\%user%
NTUSER.DAT - HKEY_CURRENT_USER
файлы реестра.
===
http://www.winlock-trojan.ru/udalenie.html
http://www.foger.net/удаление-вируса-trojan-winlock.html
GGW
Сообщение отредактировал ananas - Пятница, 24.06.2011, 05:44 |
| |
| |
Истрепала нервы и потеряла деньги... 
