Вступайте в группу Вконтакте, чтобы быть в курсе предстоящих путешествий: https://vk.com/club96800544

Вирус Trojan.Winlock

В последнее время снова начали приносить много компьютеров с вирусом Trojan.Winlock, который блокирует Windows. Видимо очередная эпидемия. Раньше троян просил отправить смску и ввести ответ, который бы разблокировал Windows. Особо интересные случаи, когда блокировка Windows отображает информацию о том, что владелец смотрел гей порно. Хозяева компьютеров очень смущались, просили никому не рассказывать и говорили что не когда не лазили по подобным сайтам.  Многие не обращались к специалистам, а просто отправляли смску в принципе на это и рассчитано. Часть текста обычно пугает, а другая часть смущает людей. Например:

Вы установили поддельное программное обеспечение“,

Вы просматривали порно/гей порно видео. Время бесплатного просмотра истекло” и т.п.

А чтобы люди шустрее отправляли смс: “Если в течении 12 часов вы не не введете код, все ваши данные будут удалены“. С вирусом который просит отправит смс, все просто надо было зайти на сайт DrWeb, Kaspersky, Eset вбить номер телефона и текст смс и получить код для разблокировки.

Сейчас вирусмейкеры стали делать по другому, они просят пополнить счет конкретного номера телефона и ввести номер из чека для разблокировки. В данном случаи генераторы кодов разблокировки антивирусных компаний редко помогают. В основном приходится грузится с флешки или если старый комп с диска и править реестр, все это не сложно просто больше времени занимает.

В последний раз принесли старый компьютер, который не загружался с флешки, поэтому я загрузил его с hirens cd и запустил редактор реестра Registry Viewer 4.2, подключил нужный куст реестра и поправил:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметр Userinit, он должен быть C:\Windows\system32\userinit.exe, также часто троян прописывает себя в параметр Shell, он должен быть explorer.exe

Единственная проблема была, то что Registry Viewer правит в ASCII, так что пришлось вспоминать таблицу.

Но это все на старых компьютерах, на новых все проще загружаешься с например Windows PE и исправляешь.

После исправления реестра прогоняю систему свежим антивирусом, например Avira.

 

  1. Буду знать теперь )) У многих знакомых эта хрень случалась.

  2. Александр

    У меня сегодня вылез банер trojan winlock 2741, пишет вы посещали гей порно сайт…Если мол не введёте в течении 12 часов код, то удалится windows и bios! Скажите пожалуйста, а спомощью ERD Commander, можно его удалить?

    1. ERD Commander не пользовался, но по описанию, им можно править реестр. Значит он поможет.
      Вы точно знаете название трояна, может подойдет http://www.drweb.com/unlocker/index/?lng=ru

Добавить комментарий

Войти с помощью: 

Ваш e-mail не будет опубликован.

*