Walter Simons (walter_simons) wrote,
Walter Simons
walter_simons

Вирусы! Вирусы! Кругом вирусы!

Блокирован один из моих компов троянчегом Trojan.winlock Убойная я вам скажу вещь, прошел антивирусы, как нож сквозь масло. Снял диск, чесал его и нодом и комодом и вебом, удаляют только инструментальную часть. Никакая эвристика самого его не палит.
Вирус активно шифруется в нечитаемых секторах жесткого, похоже применяет самошифрацию.
Симптомы следующие: вылазит сообщение на пол экрана с порнухой: отправьте SMS на короткий номер, бла-бла и все пройдет. А пока не отправишь - хрен чего запустишь.

Есть утилита, которая прицельно его убивает?

UPD: Заборол таки супостата. Не без помощи, разумеется. Снимаем винт, подключаем к здоровой тачке.

1. Из папки c:\documents and settings\all users\application data удалить файлы blocker.exe и blocker.bin – это вирус наш
2. Из папки %win root%\system32 удалить файлы servises.exe и servises.dll – это вирус Trojan-Downloader. Внимание! Не удалите случайно очень важный и похожий по имени файл services.exe!
3. Удалить все содержимое папки c:\documents and settings\%user%\Local Settings\Temp – там вторая часть Trojan-Downloader
4. Можно перезапустить больной комп, он позволит войти
5. Запускаем программу Regedit, и удаляем остатки “праздника” из регистра:
5.1. В разделе HLKM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run удалить ключ запуска “servises.exe”
5.2. В разделе HLKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
найти ключ “C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\ \ALLUSE~1\\APPLIC~1\\blocker.exe” и убрать лишнее, то есть должно быть так: “C:\\WINDOWS\\system32\\userinit.exe”

Есть еще способ - в БИОСе дату меняют на год назад, загружаются, выносят вирус, меняют дату обратно. Если другого компа под рукой нет :)

PS: Я вообще то добрый, но данного вирусописателя хотел бы приговорить укорочению пальцев. Поймаете, дайте знать, у меня есть специальный инструмент для сей процедуры :)
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

  • 36 comments