Баннеры на рабочем столе или в браузере

Компьютеры & Интернет »   Безопасность

Автор совета: Анатолий Шуколюков Дата публикации: 12.01.2011

В 2010 году нахлынула волна вирусов Trojan.Winlock. Миллионы  компьютеров подверглись заражению. Что представляет из себя этот вирус? Концепция такова: на рабочем столе появляется баннер, который невозможно закрыть, и просящий отправить смс. Ни в коем случае не отправляйте СМС!

Итак, основные схемы блокировки:

  • Блокировка Диспетчера задач Windows
  • Блокировка Редактора реестра
  • Отключение панели управления
  • Ложные предупреждения о уничтожении либо шифровании данных
  • Блокировка антивирусов и лечащих программ

Из-за существования множества модификаций вируса, сложно подобрать единый алгоритм устранения угрозы. Тем не менее, опишу основные способы.

Как я сказал модификаций Winlock очень много. Основные типы:

  • Интегрирующиеся в браузер
  • Блокирующие рабочий стол частично
  • Блокирующие рабочий стол полностью
  • Подменяющие оболочку Windows(что позволяет запустить баннер до показа рабочего стола)
  • Создающие свой загрузочный сектор (наиболее опасные) Модификация конца 2010года.

Рассмотрим первый тип – Интегрирующиеся в браузер на примере браузеров Mozilla и Interne tExplorer.

1) Internet Explorer
Запускаем Internet Explorer, в верхнем меню выбираем – Свойства-Надстройки-Управление Надстройками

Чтобы отключить подозрительную надстройку, нажмите кнопку "Отключить" и перезапустите браузер.

2) Mozilla Firefox
Откройте в главном окне браузера-Инструменты-Дополнения


Здесь вы можете управлять расширениями. Начинайте по одному отключать и перезапускать браузер для выявления «зловреда»

Рассмотрим следующие типы:

Блокирующие рабочий стол частично и полностью
У вас «висит» на столе баннер с требованием отправить смс на указанный номер. В некоторых случаях даже грозиться удалить все данные. Но это, извините бред «чистой воды».


Здесь два способа разблокировки:

Первый: Записываем номер и текст, который нужно отправить. Далее идем к другу/соседу/интернет-кафе - в общем туда, где есть интернет. Ну в крайнем случае берем телефон. Открываем сайт разблокиратора:
http://www.drweb.com/unlocker
Разблокиратор Drweb имеет следующую концепцию:

  • Поиск по имени трояна
  • Поиск по внешнему виду
  • Поиск по номеру и тексту

Итак предположим пароль подошел (если нет читаем ниже). Увидели рабочий стол, но не спешите праздновать победу. Вирус ведь никуда от вас не делся.

Действуем по алгоритму:

  • Скачиваем альтернативный Диспетчер процессов (Starter, SimpleAssistantLoader)
  • Находим подозрительные процессы (вида Gxzp23.exeи т.п.). Если не знаем - обращаемся к поисковику и пишем найденный процесс. Затем определяем останавливать его или нет.
  • Скачиваем утилиту для редактирования  автозагрузки (Starter, SimpleAssistant Loader, Autoruns)
  • Находим подозрительные загрузочные записи. И обращаемся к поисковику.
  • Скачиваем антивирусные утилиты ( DrwebCureIT (~20-30мб) или Kaspersky Removal Tool (~70мб)
  • Шаг 6 (внимание обратитесь сюда, если пароль не подошел. Подробнее в разделе «Что делать если пароль не подошел?)

Заходим в реестр проверяем ключи вручную (либо пользуемся Simple Assistant Loader или AVZ) :

(метод действителен для троянов подменяющих оболочку Windows(что позволяет запустить баннер до показа рабочего стола)

Запускаем редактор реестра: для этого нажимаем сочетание клавиш Win+R
В открывшемся окне пишем:  regedit
После запуска редактора реестра, слева в панели навигации ищем ветку:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon  - для 64-битных машини
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon– для 32-битных машин

Смотрим параметры ключей: Userinit и Shell.
Параметр для Userinit должен быть «C:\Windows\system32\userinit.exe», если у вас другой, меняйте на этот.
Параметрдля Shell «explorer.exe» соответственно, как и в первом случае, если строка другая, замените параметр.

Просканируйте компьютер антивирусной утилитой AVZна наличие скрытых рукитов и шпионов.

Теперь вам не страшен Winlock!

Что делать если пароль не подошел?


Для этого нам понадобиться LiveCDLive USB с программой ERDCommander.

 

1) Запускаем LiveCD и выбираем нашу систему

 

 

 

 

 

2) Выбираем Пуск - AdminTools - Regedit

 

 

 

3)Перед нами открывается обычный редактор реестра и нам осталось лишь повторить операции, сделанные в шаге 6 в разделе о троянах Блокирующих рабочий стол частично и полностью

 

 

 

Теперь о малоизвестных троянах  создающих свой загрузочный сектор.

Троян после проникновения на компьютер, обходит защиту UAC и  создает загрузочную запись (MBR). После перезагрузки компьютера вместо загрузки системы вы увидите надпись такого типа:

Где написано, что если вы не хотите потерять свои файлы то посетите сайт www.xx____.ru.
На самом деле это просто угрозы. Стандартный пароль к такому вирусу: ekol или jail.

Если пароль не подошел нужно восстановить загрузочную запись MBR и просканировать ПК антивирусом.

Чтобы восстановить учетную запись MBR, загрузитесь с установочного диска операционной системы. Будет предложено заново восстановить систему или восстановить. Выбирайте - Восстановление системы-Консоль.
В консоли введите команды:
fixboot и fixmbr

Перезагрузите компьютер.

Полезные ссылки по теме:

Что еще? Посетите блог автора совета "О программировании и информационной безопасности".


Обратите внимание:

20 июля 2012 г. опубликована новая и самая подробная на данный момент статья Баннер, блокирующий Windows, гарантирующая удаление вируса в 99,9% случаев заражения!








Последние советы раздела «Компьютеры & Интернет»:

Скачать игры на Андроид бесплатно
Преимущества дистанционного обучения
Как выбрать смартфон в 2018 году
Советы по выбору смартфона
Внешний аккумулятор для смартфона: советы по выбору
Какие бывают компьютеры
Преимущества смартфонов Xiaomi
Аренда сервера – особенности и преимущества
Хостинг и его особенности
Как продвигаются мобильные приложения?





Комментарии совета:

Комментарий добавил(а): тархун
Дата: 28.09.2012

Непонятно объяснено.

Комментарий добавил(а): Саня
Дата: 01.11.2011

Добро пожаловать на новый бесплатный онлайн сервис разблокировки смс вымогателей (блокеров, tojan.winlock) от Stop Malware Lab. Проект находится по адресу http://stopmalware.kz/antiwinlock/index.php и работает предельно просто вводите текст смс сообщения, номер кошелька или номер телефона, (которые якобы стоит пополнить или перевести некоторую сумму денег, чтобы получить код разблокировки), и получаете коды разблокировки! Все гениально просто! База кодов разблокировки постоянно пополняется и фильтруется! Будьте здоровы!

Добавить комментарий

Имейте, пожалуйста, ввиду, что любые ссылки, html-теги или скрипты, будут выводиться в виде обычного текста - бессмысленно их использовать. Комментарии, содержащие нецензурные выражения, оскорбления, флуд и рекламу будут немедленно удалены.


В целях предотвращения спама в комментариях, сделайте, пожалуйста, два действия:

1. Напишите столицу Франции (с заглавной буквы)

2. Введите сумму чисел: 77 + 2 =

Вам помог этот совет? Вы можете помочь проекту, пожертвовав на его развитие любую сумму по своему усмотрению. Например, 20 рублей. Или больше :)