Последние файлы

Десять самых скачиваемых файлов


Последние видеоуроки
Последние инструкции

TOP-10 вирусов от
Kaspersky Lab

Календарь праздников от
Calend.Ru

Праздники России

Прогноз погоды от Яндекс.Погода

Яндекс.Погода в Назарово
Яндекс.Погода в Ейске

Курс валют от
RosInvest.Com

Информеры - курсы валют





Экспресс анализ сайта
Добавить в избранное Сделать стартовой Написать письмо Подписаться на рассылку Подписчики
Вы находитесь на странице "Удаление троянов-винлокеров II (Trojan.WinLock.3266, Trojan.Winlock.3278 и пр.)"
 
На главную

главная статьи
   
FAQ инструкции
   
скачать видеоуроки
   
о рекламе объявления
   
гостевая ссылки
   
разработки форум

 

 

Удаление троянов-винлокеров II (Trojan.WinLock.3266, Trojan.Winlock.3278 и пр.)

Автор: Василий Седых

Дата: 2011-10-15

Сокращенная версия статьи

Для расширения кругозора...

Первая программа-вымогатель появилась 22 года назад, в декабре 1989 года. Пользователи получили по почте дискеты с программой, предоставляющей информацию о СПИДе. После установки программы система приводилась в неработоспособное состояние, для восстановление которого, с пользователей вымогали денежные средства.

Первый SMS-блокер был зарегистрирован четыре года назад, 25 октября 2007 года. Вымогатель инсценировал сбой системы (BSOD [Blue Screen Of Dead - синий экран смерти]) и практически полностью блокировал управление операционной системой.

Почему и как этот троян оказалась на моем компьютере?

Однозначного ответа на этот вопрос нет, перечислю только наиболее популярные версии:

  • был отключен антивирус;
  • антивирусные базы были неактуальны, отсюда следует следующий пункт
  • антивирус еще "не знает" конкретно эту модификацию трояна в принципе, или в связи с предыдущим пунктом, и поэтому пропустил ее;
  • Вы самостоятельно могли запустить троян под видом какой-либо полезной программы, например, под видом недостающего в системе кодека для воспроизведения видео;
  • эксплоит (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в ПО и применяемые для проведения атаки на вычислительную систему) на каком-нибудь избранном сайте "втюхал" Вам его. И не факт, что это был сайт с порнухой, это мог быть, например, сайт о музыке (сайты взламывают и внедряют вредоносный код, который незаметно установит Вам этот баннер).

Особенности заражения этим видом винлокера.

Месяцем ранее, я написал статью "Удаление трояна-винлокера (Win32/LockScreen). Завершение сеанса Windows на стадии загрузки личных параметров", о том, как избавиться от троянов-винлокеров. Однако вскоре, появились комментарии о том, что многим не помогает описанный в статье способ. Все это, а также тот факт, что мне накануне принесли компьютер с подобным "неудаляемым" трояном, который действительно не захотел удаляться описанным в статье способом, все это сподвигло меня написать статью, которую Вы сейчас читаете. Да, это несколько другой, т.с. более "продвинутый" тип трояна, который не убрать с помощью действий описанных в предыдущей статье. В рамках этой статьи, мы устраним данный пробел. Но сначала, коротко рассмотрим деструктивные действия подобных типов троянов, эти знания помогут нам в его удалении.

1. Файл C:\Windows\System32\userinit.exe переименовывается в 03014D3F.exe, а может быть и вовсе удален. В последнем случае, нужно взять копии файлов с другой машины или... в прочем, об этом будет написано далее по тексту.

2. На место переименованного или удаленного файла userinit.exe троян размещает свою копию файла. А т.к. userinit.exe всегда грузиться при старте ОС Windows, такие действия обеспечивают ему 99,9% успех в заражении Вашего компьютера.

3. Кроме этого, троян может подменить следующие файлы:
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\taskmgr.exe

4. Но и этого для него недостаточно, он копирует себя в C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

В C:\Documents and Settings\All Users\Application Data\ возможна еще одна копия этого файла, но уже с другим именем, например, vvvvv6666.exe или yyyy21.exe, или lvFPZ9jtDNX.exe.

Обратите внимание на все файлы с подобными странными именами (бессмысленный набор цифр и/или букв), с расширением exe, в папке C:\Documents and Settings\All Users\Application Data\

5. На рабочем столе Вашего профиля возможно появится файл test.exe, который также следует удалить.

6. Для полного счастья, троян прописывается в реестре:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | Shell="C:\Documents and Settings\All Users\Application Data\22CC6C32.exe"

Кода разблокировки у него нет!

После активации Trojan.WinLock.3266 и подобных, работа на компьютере станет невозможной, а за оказание услуги возвращения прежней работоспособности ПК с Вас потребуют внесения денежных средств. Однако, в результате Вы не получите ничего, т.к. я подозреваю, что для кнопочки "Разблокировать" вполне возможно забыли написать какую-либо функцию вообще. Зачем "заморачиваться" и писать обработчик для кнопки Разблокировать, если цель "срубить" бабок, а не предоставить пользователю возможность самостоятельно отключить этот баннер.

Сервисы антивирусных компаний по генерации кодов разблокировки:
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
не помогут!

Тем не менее, данное вредоносное ПО легко удалить с помощью загрузочного диска, получив доступ к реестру неактивной копии Windows и системному диску.

ВНИМАНИЕ! Не ищите легких путей, "не видитесь на развод", не платите деньги за вымогательство и шантаж, не спонсируйте жуликов. После оплаты услуги, разблокировки Windows Вы не получите!

План действий:

  • Загрузиться с любого диска LiveCD. Как я уже сказал, подойдет любой диск, который способен предоставить доступ к файлам Windows и умеет работать с реестром неактивной копии Windows.
  • Получив доступ к файлам Windows, удалить следующие файлы:
    • С рабочего стола Вашего профиля test.exe ;
    • из папки Ваш_системный_диск\Windows\system32\userinit.exe;
    • из папки Documents and Settings\All Users\Application Data\22CC6C32.exe
  • Найти в папке Ваш_системный_диск\Windows\system32\ файл 03014D3F.exe и переименовать его в userinit.exe.
  • Слегка "подшаманить" реестр.
  • Перезагрузиться.
  • Проверить компьютер на вирусы, и целостность системных файлов.

Теперь более подробно.



Искать причину всегда следует с проверки файлов, отвечающих за процесс загрузки операционной системы, а именно, с файла, который ответственен за запуск оболочки Windows.

Файл userinit.exe является частью операционных систем Windows и именно он отвечает за процесс загрузки ОС. На этот файл возложены задачи восстановления сетевых подключений и запуска оболочки. Процесс является критическим для функционирования операционной системы. Попытки его отключить или удалить приведут к невозможности загрузки ОС. Очень вероятно, что у Вас этот файл поврежден или удален (заменен), также возможно, что были изменены некоторые ключи реестра.

Обращаю Ваше внимание на то обстоятельство, что данный процесс никогда не виден в диспетчере задач, за исключением нескольких секунд после входа в систему. Присутствие такого процесса в диспетчере задач может означать только одно - компьютер заражен вредоносным ПО.

Так как данный процесс отвечает за загрузку операционной системы, часто вирусописаки и распространители шпионского ПО скрывают свои программы в этом процессе. Например, злонамеренные файлы могут иметь такое же имя, но быть расположены вне директории %SystemRoot%\System32. Другие злонамеренные программы могут использовать похожее имя файла и т.д.

Для устранения всех вышеперечисленных проблем нам потребуется диск, представляющий собой урезанную версию Windows XP, которая загружается с CD. Например, Windows PE Russian Live CD (11.11.2009) (торрент, 1.39 Гб), использование любого другого диска не возбраняется, важно, чтобы он предоставлял доступ к файлам Windows и умел работать с реестром неактивной копии Windows, содержал программу ERD Commander или подобную. Я буду описывать всю процедуру "лечения", на примере вышеназванной версии LiveCD. Скачал ее давным-давно и меня она пока всем устраивает. Советую держать подобные диски всегда под рукой!

1. Запишите скаченный образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной Вам программой. Формат диска выбирается в зависимости от размера файла-образа. Я записываю iso-образы на диски при помощи программы CDBurnerXP, классная программа, ничего лишнего и пишет без ошибок. Имейте ввиду, что если Вы просто скопируете файл образа на диск, то он не загрузится )

Посредством кнопки Browse... указываете ISO-образ для записи. Из раскрывающегося списка Конечное устройство, выбираете куда писать (по умолчанию привод DVD). Нажимаете кнопку Записать диск.

Понятно, что сделать это нужно заранее, иначе потом будет поздно. На своем компьютере Вы, после активации трояна, записать ничего не сможете и придется просить друзей-знакомых. Поэтому запишите диск сейчас и держите его рядом!

2. В BIOS выбираете загрузку с CD-ROM и загружаете систему с Вашего LiveCD.

Существуют различные версии BIOS с различной организацией меню. Чтобы войти в BIOS нужно после включения компьютера нажать Del, F2, F8, F10, F6 или Ins. После входа в BIOS нужно найти раздел под названием Boot Device Priority или созвучный, или, как у меня на скриншотах ниже и выбрать первичным устройством оптический привод (или USB-устройство), с которого Вы планируете загружаться. После выбора нужно выйти, сохранив внесенные изменения, как правило, клавишей F10, F11, или выбрав пункт меню Save & Exit Setup или, что-то типа того.

Приведу пример подобной настройки для Award BIOS на одном из своих компьютеров.

Сразу после включения компьютера, Вам подскажут какую кнопку нужно нажать для того, чтобы попасть в BIOS Setup. Однако, прочитать и нажать требуемую кнопку нужно быстро, иначе придется повторно перезагружаться.

DEL: BIOS Setup

Настроили таким образом, что в первую очередь, загрузочная запись "ищется" на CDROM, при ее отсутствии, на флешке, а при отсутствии и там, и там, на HDD.

По клавише Esс выходим в предыдущее меню, оно же главное, и выбираем пункт Save & Exit Setup или нажимаем клавишу F10.

3. После сохранения настроек BIOS, компьютер приступает к перезагрузке, а Вы незамедлительно вставляете диск в дисковод. Если появится сообщение вида: If you want to boot from CD, press any key, нажмите любую клавишу на клавиатуре. В противном случае Вы не увидите загрузочное меню Вашего диска, а загрузка продолжится с жесткого диска, т.е. загрузится зараженная ОС. Загружайте ОС с диска...

4. Загрузившись с диска, открывайте Мой компьютер и на диске, где у Вас находится зараженная трояном ОС (вероятнее всего, что это диск "C"), откройте папку Documents and settings (если у Вас заражена Windows XP) или Users (если Vista или Windows 7). В открытой папке найдите и откройте папку Вашего профиля (ее название совпадает с именем пользователя, под которым Вы работаете в ОС), дальше откройте папку Рабочий стол (Desktop) и удалите из нее файл test.exe.

После удаления вернитесь в корень текущего диска, откройте папку Windows и перейдите в папку system32, где найдите и удалите файл userinit.exe.

Не меняя папки найдите файл 03014D3F.exe и переименуйте его название в userinit.exe.

Вернитесь в папку с профилями (Documents and settings (если XP) или Users (для Vista/7)) и войти в папку All Users. В ней Application Data и удалите файл под названием 22CC6C32.exe.

Вирус удален! Остается подчистить следы его пребывания в ОС.



5. Откройте ПУСК -> Система -> ERD Commander -> ErdRoot

6. Укажите папку с установленной ("зараженной") Windows и нажмите ОК.

На картинке выше можно увидеть, что на доверенном мне компьютере, ОС установлена на диск "D", это скорее исключение из правил, обычно она ставится на "С".

7. Возвращаемся за редактором реестра, для этого открываем ПУСК -> Система -> ERD Commander -> RegEdit. Т.е. после выполнения предыдущего шага у Вас будет уверенность в том, что мы не будем править реестр LiveCD, а будем править именно реестр "испорченной" ОС. Если бы мы сразу запустили RegEdit, то занялись бы тем, что правили реестр LiveCD и ни к чему бы это действие нас не привело :)

8. Получив доступ к реестру Windows, переходим к ветке реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, переходим на правую панель редактора реестра и проверяем следющие ключи: Shell и Userinit.

Должно быть так (стандартные значения):

Userinit = C:\Windows\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
VmApplet = rundll32 shell32,Control_RunDLL "sysdm.cpl"

Подробнее о стандартных значениях:

Shell = explorer.exe, если у Вас написано что-то другое, то это означает, что у Вас подменен проводник Windows.

Userinit = C:\Windows\system32\userinit.exe, этот ключ определяет программы (перечислены через запятую), которые Winlogon запускает, когда пользователь входит в систему. По умолчанию, Winlogon запускает файл userinit.exe, который в свою очередь стартует logon-скрипты, устанавливает сетевые подключения, а затем запускает explorer.exe, т.е. пользовательский интерфейс Windows.

Прописав путь к какой-нибудь программе ДО userinit.exe, можно запустить ее прежде, чем стартует интерфейс Windows Explorer, а, прописав путь ПОСЛЕ, – обозначить старт конкретного приложения сразу после появление пользовательского интерфейса. Блокеры очень часто изменяют этот ключ, дописывая путь до своего исполняемого файла:
Userinit = %systemfolder%\userinet.exe, [путь до исполняемого файла блокера]

Обратите внимание, что последнее время создатели вирусов скрывают свои творения под названиями "правильных" программ, так в ключе Shell может находиться Explorеr.exe, у которого в названии одна буква "е" - на русской раскладке или в ключе Userinit запускается userinit.exe, также содержащий русскую букву. Однако, это уже совсем другие файлы! Поэтому наберите эти строки с клавиатуры самостоятельно.

9. Исправьте значения ключей Shell и Userinit на стандартные значения приведенные выше.

Если параметры Shell и Userinit не изменены, тогда найдите раздел
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и раскройте его. Если в нем присутствует подраздел explorer.exe, удалите его.

10. Внимаем советам из комментариев к предыдущей статье:

Комментарий добавил(а): Sam

Удалите ключ userinit.exe из
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options
и все заработает

Комментарий добавил(а): Spike

Спасибо Sam!!! У меня этот способ сработал!!! Вот, что у меня там было:
[HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-userinit.exe]
"Debugger"="C:\WINDOWS\empas.exe"

Комментарий добавил(а): Женька укроп

Удалите этот раздел (если существует):
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-userinit.exe

Благодарствую за проявленную активность!

11. Идем в C:\WINDOWS\system32\ и смотрим время изменения файлов userinit.exe, Winlogon.exe и taskmgr.exe. После чего, проверяем файл explorer.exe в каталоге C:\WINDOWS. В случае изменения файлов, заменяем их оригиналами с рабочих компьютеров (можно взять с установочного диска Windows).

Если какого-то файла нет, попробуйте запустить обычный поиск по Вашему диску, если найдете эти файлы то скопируйте их в соответствующие директории. Если не нашли, тогда возьмите их с другой такой же копии ОС. Если не ошибаюсь, то файл userinit.exe можно также найти в папке C:\Windows\system32\dllcache\.

Можно воспользоваться установочным диском:

expand X:\i386\userinit.ex_ C:\WINDOWS\system32\userinit.exe
где Х - буква CD установочного диска, а операционная система, предположительно, находится на диске C.

12. Перезагружаемся...

По идее, Windows должен быть разблокирован, вирус удален, а финансы сохранены. Тем не менее, советую проверить систему свежим антивирусом, например, одноразовым Касперским, Dr.Web'ом или NOD'ом. На этом я заканчиваю свое повествование. Всем Удачи!

Постскриптум. После излечения Вашего компьютера от подобных вирусов, может получиться так, что зараженными остались еще какие-нибудь системные файлы. Как правило, антивирус их удаляет или отправляет на карантин. Чтобы их восстановить, нажмите кнопку ПУСК -> Выполнить, наберите sfc /scannow и нажмите ОК. В приводе должен находиться установочный диск с соответствующей ОС (в случае чего, с этого диска будут скопированы оригинальные системный файлы).



Просмотров 23882

Комментарии к этой статье:

Комментарий добавил(а): modulytor
Дата: 2011-11-28

спосибо за статью с пояснениями

Комментарий добавил(а): Василий Седых
Дата: 2012-01-21

Пожалуйста! Будут и еще по этой теме.

Комментарий добавил(а): rampant
Дата: 2012-04-14

Очень подробно, можно Вашу статью у нас на форуме разместить? safetygate.ru спасибо

Комментарий добавил(а): Василий Седых
Дата: 2012-04-15

Конечно можно. Пожалуйста.

Комментарий добавил(а): Rampant
Дата: 2012-04-15

Спасибо, а как с Вами связаться лично, Василий?

Комментарий добавил(а): Сантей
Дата: 2012-05-31

Спасибо, очень помогли.

Комментарий добавил(а): sw3n
Дата: 2012-06-02

Свеженькие WinLockeры с заменой userinit.exe, taskmgr.exe, explorer.exe щас будут в моде ближайшие 3 месяца... причём если раньше юзеринит они оставляли и дописывались после запятой в реестре... то щас же настоящий Юзеринит можно вовсе ненайти на своём компе.

Комментарий добавил(а): denny
Дата: 2012-06-21

[url=http://microform.su]новости голографии [/url][url=http://микроформ.рф]ООО Микроформ [/url][url=http://xn--h1aeecjamc8a.xn--p1ai]microform [/url][url=http://holo-mf.ru]изготовление голограмм [/url][url=http://holomaster.ru]голографические наклейки [/url][url=http://yragent.ru ]Юриспруденция [/url][url=http://micro-form.ru]интернет магазин голограмм [/url] [url=http://microform.su]rss новости [/url][url=http://holomaster.ru] голограммы [/url][url=http://xn--h1aeecjamc8a.xn--p1ai] Microform™[/url] [url=http://microform.su] Microform™ [/url]

Комментарий добавил(а): Вячеслав
Дата: 2012-10-29

Sam, спасибо, помогло! : Удалите ключ userinit.exe из HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options и все заработает

Комментарий добавил(а): Dima
Дата: 2013-01-13

загрузочная флэшка или сидюк с Live-XP и небольшая утилитка AntiSMS решают проблемы вилокеров за одну минуту. И не надо таку длинную статью читать вникая в подробности мест внедрения локеров (разве, что для общего развития) Но большинству юзеров это АБСОЛЮТНО НЕ НУЖНО - им нужно побыстрее комп реанимировать! Естетсвенно, после применения AntiSMS и запуска системы скан на вирусы нормальным свежим антивирем никто не отменял...

Комментарий добавил(а): Вера
Дата: 2013-01-29

У меня антивирусная программа Касперский 6.0 Workstations. Уже несколько дней я ищу ключ для неё и никак не могу найти. Будьте так добры, если у вас есть ключ или ссылка на сайт, где я могу скачать такой ключ, вышлите мне. Заранее благодарна.

Комментарий добавил(а): Василий Седых
Дата: 2013-01-29

Здравствуйте, Вера. К сожалению, в данном вопросе, я вам не помощник.

Комментарий добавил(а): Василий Седых
Дата: 2013-01-29

Dima, когда я писал сей труд ) не было AntiSMS, по крайней мере, я не помню. По-моему не было, хотя точно не уверен. Сейчас, я с вами абсолютно согласен. Скоро посвящу данному вопросу третью часть одноименной статьи. Для общего развития, две предыдущие все-таки оставлю ) Удачи!

Комментарий добавил(а): Pro_100_DemoN
Дата: 2013-02-27

Хочу поделиться опытом! Сам лично друзям вылечил недуг баннер "Windows заблокирован"!!! В диспетчере задач висит приложение LokoMoTO это Trojan.Winlock.6999 или 6613 (Исполняемый файл вредоносного ПО имеет имя xxx_video.scr, MVbCn7d.exe, MXROH_U_MF.EXE, YWR4ATG.EXE) Кодов разблокировки не существует Быстро исправляем проблему самостоятельно, в два шага, грузимся в безопасный режим с поддержкой коммандной строки и выполняем: 1. команда cleanmgr 2. команда rstrui Кому не понятно читаем здесь http://fixtoolz.ru/instrukcii-dokumentaciya-opisanie-rukovodstva-po-kategorii/zablokirovalsya-kompyuter-windows/24-01-2013-vash-kompyuter-zablokirovan-za-prosmotr-shtraf-2000-rubley-bilayn

Добавить Ваши комментарии:

Введите сумму чисел с картинки*

* - поля, обзательные для заполнения

E-mail не публикуется!

 

   

Никогда не бойся делать то, чего не умеешь!

Помни, Ковчег был построен любителем.

Профессионалы построили Титаник.

А МЫ ПРОСТО ДЕЛАЕМ ТО, ЧТО ХОРОШО УМЕЕМ!



Последние статьи
Хиты

Вам не нравится RSS?

Подпишитесь на рассылку по e-mail и Вы будете первыми узнавать о появлении новых статей на нашем сайте


Введите Ваш e-mail:

FeedBurner

Все строго конфеденциально! Отсутствие рекламы гарантирую. От рассылки можно отказаться.


www.stateon.ru





Бесплатное удаление баннера, рекламного модуля


Для всех благодарных посетителей нашего сайта, мы сделали вот такую вот «загогулину, понимаешь», как когда-то сказал один широко известный политический деятель ;)

В последнее время меня часто спрашивают: «Как можно отблагодарить автора статей за труды его?» Вот я и нашел такое скромное и ненавязчивое решение. За хостинг и домен я уже три года плачу из своего кармана, а так, «с миру по нитке», глядишь и переведу сайт на самоокупаемость. При этом и у людей появится возможность отблагодарить меня за труды титанические, и я «копейку» в кармане сохраню. Мы то с вами знаем, что копейка рубль бережет, глядишь еще и разбогатею на старости лет )

Заранее выражаю благодарность всем, кто помогает мне «держать сайт на плаву»!




ГЛАВНАЯ | О ФИРМЕ | УСЛУГИ | КОНТАКТЫ | ВАКАНСИИ | О РЕКЛАМЕ | ГОСТЕВАЯ | РАЗРАБОТКИ | СТАТЬИ | ЧА.ВО./F.A.Q. | ИНСТРУКЦИИ | СКАЧАТЬ | ВИДЕОУРОКИ | ОБЪЯВЛЕНИЯ | ССЫЛКИ | ФОРУМ |


Copyright © 2010 «Компьютер-сервис»
Копирование материалов разрешено только с указанием активной гиперссылки на pcservice24.ru