Знову про віруси-вимагачі Internet Security

Отже, минуло зовсім небагато часу з моменту публікації статті. Припущення про епідемії виявилися не тільки припущеннями, а так воно і сталося.

Про масштаби поразки можна судити по такому факту – сьогодні по зомбоящик на каналі НТВ пройшло інтерв’ю з представниками компанії DrWeb. Телевізійники помилилися і розповідь про новий вірус був доповнений зображенням прародителя Internet Security – Trojan.Winlock, який з’явився ще в квітні 2009 року.

Trojan.Winlock поширюється у вигляді підроблених кодеків. При завантаженні Windows на екран також виводиться повідомлення з вимогою відправити SMS для розблокування доступу до системи. На відміну від Internet Security він вже доданий в вірусну базу Dr.Web і легко отлавливается.

Також визнали, що новий вірус на даний момент не ловиться навіть оновленим антивірусним пакетом, тому що модифікації його виходять практично щодня. Для розблокування комп’ютера у DrWeb також є сервіс, де можна вводити код. Безкоштовна розблокування Windows від DrWeb Ось тільки для чого потрібні були подібні прикрашення абсолютно не зрозуміло – хлопці явно в іграшки не награлися.

Чесно кажучи спробував скористатися цими сервісами в якості експерименту і плюнув в кінці кінців. Можливо хтось буде більш вдалим, але мені так і не вдалося підібрати діючий код. У підсумку все довелося робити руками на черговому хворому компі.

Можливо вони просто не встигають за появою нових модифікацій … хто знає … у мене досвід виявився невдалим. Тим більше для цих цілей треба мати або другий комп, або завантажувати мобільну версію в телефон або комунікатор.

Спосіб розблокування комп’ютера від вірусу Trojan.Winlock з використанням ERD Commander

  • отлючаем комп’ютер від мережі
  • завантажується з диска з ERD Commander і запускаємо Winternals ERD Commander;
  • у вікні Welcome to ERD Commander вибираємо свою ОС -> OK;
  • у вікні ERD Commander Explorer вибираємо диск, на якому встановлена ​​ОС (зазвичай, C: \);
  • видаляємо файл вірусу, розташований в тимчасовому каталозі поточного користувача
  • C: \ Documents and Settings \ учетная_запісь_пользователя \ Local Settings \ Temp \

  • виправляємо ключі реєстру Start -> Administrative Tools -> RegEdit;
  • [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]

    Userinit на C: \ WINDOWS \ system32 \ userinit.exe, (вірус встановлює значення цього параметра% Temp% \.tmp)

    Shell на Explorer.exe;

  • закриваємо ERD Commander Registry Edit і перезавантажуємося

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию