Итак, дорогие друзья, сегодня имеем вирус winlock.3333 ("видео с педофилией и насилием над детьми").
Внешний вид:
Чего хочет: Как обычно хочет денег в размере 500 рублей. На телефон МТС (910) 719219.
Обезвреживается вирус очень просто...
Обезвреживается вирус очень просто...
При всей его внешней страшности и заблокированных опциях windows, не блокируется комбинация клавиш win+D (системная команда "свернуть все окна").
При нажатии данной комбинации клавиш вирус сворачивается вместе со всеми. Становится доступным рабочий стол и диспетчер задач. Остается только снять задачу с вирусом. У меня это был файл "readme.exe".
В реестре данный вирус прописывается в автозагрузке процессов текущего пользователя.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Файл вируса после запуска становится скрытым, что решается тоже просто. Достаточно изменить нужный параметр для эксплорера.
При нажатии данной комбинации клавиш вирус сворачивается вместе со всеми. Становится доступным рабочий стол и диспетчер задач. Остается только снять задачу с вирусом. У меня это был файл "readme.exe".
В реестре данный вирус прописывается в автозагрузке процессов текущего пользователя.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Файл вируса после запуска становится скрытым, что решается тоже просто. Достаточно изменить нужный параметр для эксплорера.
В моем случае файл имеет иконку дельфи (желтая цифра семь). Надо будет попробовать его декомпилировать чтоли...
Касперский не имел на момент нахождения вируса записи у себя в базах:
DrWeb присвоил данному вирусу модный, "блатной" номер - winlock.3333.
P.S. Еще нюанс, при перезагрузке компьютера можно успеть до блокирования рабочего стола вызвать диспетчер задач и заврешить процесс вируса. Повторял такое неоднократно.
P.P.S. По недавно полученной информации от Евгения Чинцова есть еще способ борьбы с винлоками.
Цитирую:
"В борьбе с локером помогает заход под другой учеткой и запуск оттуда
того-же КуреИта (например).
У меня именно так и было - одна блокирнулась, другая - нет.
И не пришлось никаких F8 при загрузке ловить..."
того-же КуреИта (например).
У меня именно так и было - одна блокирнулась, другая - нет.
И не пришлось никаких F8 при загрузке ловить..."
Вполне может быть, на досуге проверю...
словил такуюже хрень номер чуток другой 9107122945 win+d не помогло.При загрузке раза с 10 успел снял деспетчиром explorer.exe.После в риестре [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]нашол такую гадость exe.exe удалил и всё супер работает)Большое спасибо за статью очень помогла P.S. кашперик не находил енту пакость утилита от веба нашла но не удалила
ОтветитьУдалитьwin+D не нажимается,alt+ctrl+delete тоже не помагает,что делать
ОтветитьУдалитьИзвините что долго молчал. Уезжал, и не было инета под рукой. Если не срабатывает win+d или другие комбинации клавиш, то рекомендую прочитать страницу http://imho-karma.blogspot.com/p/winlock.html. Здесь описаны базовые шаги по лечению ЛЮБЫХ баннеров. Или пишите на почту (viru.vir@yandex.ru), постараюсь помочь.
ОтветитьУдалитьПопробуйте код разблокировки 816908
ОтветитьУдалитьа у меня вообще ни чего не пашет только с безопасного режима с командной строкой грузится и то нет пуска
ОтветитьУдалитьКомандная строка - это уже масса возможностей. Запустите AVZ (если его нет, то скачайте, удобная штука) из командной строки и попробуйте сделать "восстановление системы".
ОтветитьУдалитьВ окне мастера восстановления системы обязательно выберите следующие пункты (другие по желанию):
* восстановление параметров запуска .exe .com
* восстановление настроек рабочего стола
* удаление всех Policies (ограничений) текущего пользователя
* востановление настроек проводника
* восстановление настроек загрузки safemode
* разблокировка диспетчера задач
* восстановление ключа запуска explorer
* разблокировка редактора реестра
При следующей перезагрузке в безопасном режиме должно заработать всё что было отключено и можно провести глобальную чистку.
Парни подскажите- как запустить диспетчер устройств? ctrl+alt+del не работает. Пуск не нажать - winlock не даёт.
ОтветитьУдалитьps : спасибо автору за win+D
есть еще ctrl+shift+esc (это вызов диспетчера задач)... такое впечатление что это идет опрос для создания очередного вируса :))
ОтветитьУдалить89879354867 помогите с кодом
ОтветитьУдалитьК сожалению не могу Вам помочь с кодами разблокировки. Я просто убираю баннеры, без кодов. Способ описан вот здесь: http://imho-karma.blogspot.com/p/winlock.html
ОтветитьУдалитьТолько что вылечил (пришлось помучится), нашёл всё таки бреш, хотя это не бреш, просто так мне было удобнее всего. Короче: когда начинает запускаться виндовс и когда только начинается загружаться explorer.exe - ВСЁ ВЫСКАКИВАЕТ баннер, так вот вам придётся быстро как только начинается всё грузиться, нажать CTRL+ALT+DEL он работает ещё несколько секунд (2-4) быстро найти процесс explorer.exe и улаоить его, ХОП! и теперь баннер не выскочит, т.к. он как то прописан в этом explorere (я не спец но интуитивно понятно, что он не выскочил когда я его загасил), а теперь берёте любой ваш любимый антивирус , у меня NOD32 (из диспетчера же задач можно его запустить -> ВЫПОЛНИТЬ и выбрать ваш антивирус -> обновить его немедленно!!! -> поставить на SCAN папки как 1. windows, 2. documents and settings, там сразу найдётся вирусня, несколько дней назад буквально базы уже не находили его, видать новьё! найдутся файлы с именами _______991 вроде в windows/temp, парочка в windows/system32/gm.dlc вроде и ещё парочка documents and settings/"ваша учётная записать" обычно admin/local settings/temp. Затем лучше запустить AVZ и просканировать им тоже самое попутно восстановив всякую фигню что вирус натворил и всё должно запахать.
ОтветитьУдалитьИнтересный метод, но требует определенной ловкости рук.
ОтветитьУдалитьзакрываю процесс explorer.exe баннер не появляется но мне доступны только процессы а пуска и остального нет рабочий стол так сказать тупо голый
ОтветитьУдалитьExplorer кроме других своих функций отвечает и за отображение панели с кнопкой "пуск". Если Вы этот процес закрываете, то естественно кнопки не будет. При помощи комбинации клавиш win+R можно вызвать окно запуска программ. Введите в единственное поле этого окна текст "explorer", нажмите "Ok" и он запустится.
УдалитьДальше проверьте компьютер антивирусом, или ищите в реестре запись с вирусом.