Trojan.Winlock
 

Ну вот решил немного насторожить народ. Недавно мой друг (не знаю каким образом) поймал вирус, блокирующий винду.
Сегодня с утра он мне звонит и говорит, про этот вирус, я залезаю по ссылке http://news.drweb.com/show/?i=304&c=5 Из этой формы я ему выдаю ключ активации, а он не подходит. Если кто-то сталкивался с этой проблемой помогите.
Я то сам этот вирус убил через диспетчера задач:place:
P.S. Если кто не сталкивался, то пусть пройдет по ссылке.

Вариант 1 - самый простой, отформатировать диск и переустановить Винду.

Вариант2- для опытных юзеров - загрузиться с ЛивеСД и запустить с него антивирус. (можно воспользоваться диском востановления от Касперыча, если он у тебя стоит, или аналогом)

Я прочитал, что этот вирус имеет особенность удалятся через 2 часа, но в это слабо верится. Ну моему другу придется следовать первому варианту:smile:

Наиболее оптимальный вариант.

p.s. Вариант, если автор программы клинический новичок - зайти в безопасном режиме, автозагрузка и отключить лишнее. Но, повторюсь, это для самых простейших вредоносных программ.
p.p.s. Три слона безопасности (по приоритету) а) своевременные обновления системы б) включенные программы безопасности (антивирус, огнестена (можно от windows) ) в) общая компьютерная грамотность.
Истории же о "два года без антивируса, версия ос - релизная и все нормально :wink3:" рано или поздно заканчиваются. Хватает один компьютер в сети, например, kido и нерадивый админ начинает вертеться, как уж на сковороде.

однозначно переустановка ОС

Пусть два часа пройдет, может вирус сам слетит.
P.S Пока прошел только час. Друг нервно жуёт ногти

Не слетит (проверенно на опытах)

мне кажется тут решений только два:
1. переустановка ОС.
2. загрузка с какого-нибудь LiveCD (например Hiren's BootCD) и использовать с него разные проги для поиска и уничтожения вредоносного ПО, пока не найдёт и не уничтожит. или вручную искать и удалять.

Уже слетело, позвонил друг. Сказал, что все :ok:
Ну а вообще кто-нибудь сталкивался с этим вирусом?
-----------добавлено-----------
Проблема в том, что поискать не получится, блочит вход в систему. Я это обходил через диспетчера задач

Что делать, если Dr.Web не находит код к этой фигне?
Токо что у соседа появилось...

добавлено

Перепробывал все коды ко всем вирусам(на саму эСМСку он пишет 0 или 0) - Нифига.
Объясните, как пользоваться вот этим - Hiren's BootCD???
PS: Диспетчер не виден из-под окошка.
PPS: Безопасный вход не работает :(

Выглядит примерно так:
Вложение 6566Вложение 6567Вложение 6568Вложение 6569

Пользовать http://www.freedrweb.com/livecd

Ага!:xD2: У моего друга через 1.5 часа все само ушло. Возможно вирус был слабенький.:dontknow:

Можешь сказать спасибо вирусмейкеру, жалеющему неопытных пользователей, их время и усилия на переустановку ОС.

А вдруг это только начало:scare:

:bo_smoke:

а смысл тогда блокировать? Добрые вирусмейкеры? :)

разумеется только начало...

ты слал смс?:tick2:

этот диск должен загружаться до загрузки с жёсткого диска, а не после. то есть в биосе ставишь первым загрузочным устройством cdrom, вставляешь диск и вуаля. в Hiren's BootCD даже есть Mini Windows XP.
-----------добавлено-----------
записываешь на болванку и грузишься с неё

Я им спасибо говорить не собираюсь)) Я же гооврил, что обошел его через диспетчера задач. Пусть сосед мой говорит им спасибо за эти 1.5 часа:JC_dance:

Была такая фигня. Каспер удачно ее зохавал :coolio:

у меня недавно было нечто подобное. Через диспетчер задач выявить процесс не удалось, но зато вспомнил, что когда эта гадость поставилась - была замена некой библиотеки в системной папке.
В результате я справился с помощью восстановления системы.
Понравился способ, которым это установилось: прошел по ссылке на некий сайт с картинками, где была ссылка, мол кликните, что б перейти к картинке. Нажал. Дальше окно - "вы установили такой-то плагин" и одна активная кнопка "готово".
Вот тут то и не надо было жать на эту кнопку!!!
Но нет, расслабился я че-то..
после нажатия этой кнопки - мелькнул процесс установки и замена библиотеки в винде...
ну и потом эта херь начала выскакивать. Из автозагрузки удалить не удавалось. По msconfig все было чисто - ничего лишнего, ни одного лишнего процесса в автозагрузке...

p.s. у меня эта херь была с месяц назад. Нод32 тогда не помог.

Firefox, что показательно.

Autoruns юзай... Узнаешь много нового!

только сначала надо узнать для чего запустился тот или иной процесс..
а их там тьма..

А ты как хотел? Чтоб видно было только пару процессов типа explorer и opera???? Смысл?
Типа, я буду ездить и соблюдать только те знаки, которые знаю?
Вобщем-то там видно, что запустилось законно, а что левое. Если ты конечно отилчаешь randll от rundll и тп. Там все пути пишутся, так что легко найти, откуда запускается...
ну а если знаний не хватает, то и в msconfig лучше не залезать...

А еще не надо лазить по левым сайтам и соглашаться на установку того, что тебе там предлагают. :aga:

Валера, если запущена системная библиотека, замененная при установке, много тебе даст авторанс?
-----------добавлено-----------
хм.. может вообще обрезать весь и-нет? Или там, почтой пользоваться проверенной на чужом компе? :aga:
читай внимательно, на установку я не соглашался, я нажал на кнопку "готово" по привычке.

Ну так и согласился. :girl_haha: А по привычке или по другой причине, это уже дело десятое. :aga:

spybot - неплохая защита
hijackthis - делает снимок автозагрузки и всех действующих процессов
Combofix - мощная штука от хитрых многокомпонентых троянов, которые сами себя копируют постоянно, т.е. антивирус прошёл и удалил само тело вируса, а оно после этого восстанавливается из хитрой dll какой-нибудь в папке виндовс и так до бесконечности

Много даст! Ни одна системная библиотека не может быть просто так заменена. Тебе выскочит 20 предупреждений, и требование вставить диск с настоящей виндой. Поэтому это либо закос под системную службу, либо просто левый процесс. Кстати второй помощник - Process Explorer от того же разработчика. Он показывает все запущенные процессы, и загруженные библиотеки, в том числе и скрытые (в отличие от обычного таскменеджера). Вобщем мне этих инструментов было достаточно, чтобы справиться со всеми нештатно-вредоносными ситуациями. (ну и не исключая антивирь, который у меня каспер)

Валера, я не ошибся, написав в том посте, что была заменена некая библиотека в системных файлах. Я о том, что б восстановление запустить, подумал только после того, как вспомнил об этом факте. (Я слабо верю в "восстановление" и юзаю только от безнадеги или для восстановления системных файлов)
Я знаю, что и винда при замене ругается, и диск просит вставить. Однако тут все прошло гладко (даже предупреждения не было), что меня и удивило, а вернее сказать - успокоило. антивирь тоже промолчал.

Толян, ты так до конца и не понял, что у тебя произошло. Хотя тебе кажется, что понял. Давай попробую объяснить.

Во-первых. Почему ты решил, что это что-то системное? Это просто установилась программа, которая загружается первой (а порядок загрузки и задержки можно выставить в реестре, что она скорее всего и сделала). А сама программа выводит на экран надпись. Так почему же антивирус должен был ее заметить??? А вот например более серьезный пакет, типа где есть контроли доступа к реестру, мониторинг активности приложений и тп (у меня - кис), вот он-то как раз заметит и спросит дать ли соответствующие разрешения этой программе (доверенная она или нет). Установка прошла в результате левого служебного сообщения, которое можно сделать каким угодно. Программа спокойно установилась и прописалась в автозагрузку. Я не вижу ни одной причины, по которой должен был бы сработать антивирус (именно антивирус). Ну и так как это обычная программа, то и бороться с ней можно как с обычной программой.

Валера, я видел как при установке заменялась(-ись) библиотека(-ки) с адресом в \system32\
Программа http://2ip.ru/soft/startguard/?PHPSE...68b19a6e87ff61 так же не пискнула. Хотя она блокирует даже действия msconfig. Поэтому я предполагаю, что в автозагрузку ничего нового не прописалось, а вот замена загружаемой с чем-то библиотеки была. И уже через эту библиотеку оно и загружалось.

Толик! В систем32 очнь много чего находится! И не все является таким критически важным. Например, кодеки, драйвера периферии (там, конечно, вообще все дрова лежат). Они не мониторятся на предмет подмены. В эту папку может скопироваться все что угодно! Ты любую программу при желании можешь туда поставить. Что касается твоей программы, что это??? маленькая бесплатная утилитка неизвестного производителя? Ты серьезно считаешь, что она тебя от всего спасет??? Все-таки бесплатные продукты уступают платным и по возможностям, и по функциональности. Да и очевидно, человек, получающий деньги за свое детище, более заинтересован в создании хорошего инструмента (и соответственно в получении большей прибыли), нежели тот, кто знает, что сил угробит дофига, а все равно ничего не получит.

ЗЫ Исключение я знаю только одно! Эта программа была гвоздем какого-то номера какого-то журнала... то ли апгрейда, то ли еще какого... ее характеристикой являлась фраза "делает бесплатно то, что другие не делают за деньги" (это написано и на сайте). И это действительно так. Мне пришлось накачать кучу платных и бесплатных аналогов, чтоб решить свою проблему. Эта небольшая программка (причем версии 2-х летней давности) смогла сделать то, что не смогли сделать SoundForge 9, ни Audition (тогда у меня была версия только 1,5).

Валера, ну ты утверждаешь что у меня именно автозагрузка изменилась, так?

Я не могу ничего утверждать, так как я не смотрел твой компьютер. Но судя по моему опыту, это 90%. Дело в том, что это даже не нормальный вирус или добротный троян! Это наспех слепленная на коленке программулька для быстрого срубания небольшого количества бабла от тех, кто поведется и отошлет смс... Чтобы написать хороший вирус, или троян это надо ой как постараться...

классный вирус))) :happy: на всем деньги делает народ)))))