Блог ИТ склеротика. Удаление Winlock.exe (незакрываемый баннер)

Страницы

Расширенный поиск в статьях блога

2 октября 2012 г.

Удаление Winlock.exe (незакрываемый баннер)

Три простых способа удаления Winlock (порнобанер)
.Итак, в последнее время участились случаи заражения компьютеров вирусом Trojan.Winlock. Да не просто участились, а началась целая эпидемия! В России заражено несколько миллионов компьютеров, и их количество с каждым днем растет. Я постараюсь объяснить вам как удалить этот вирус.
Для начала, немного информации о самом вирусе: как он попадает на компьютер, что делает и каковы последствия от его пребывания на ПК пользователя.
Что это за…?
Вирус Trojan.Winlock является мошеннической троянской программой для вымогания денег. Попадает этот вирус на компьютер, в основном, через порносайты. Да-да, именно посетители данных сайтов и состоят в группе риска. Я да же могу сказать, что их 98% от всех пострадавших. Остальные 2% – это посетители всяческих социальных сетей, типа одноклассники, вконтакте и т.д. Эти цифры я взял, отнюдь, не из головы, а из опыта работы с пострадавшими от этого трояна. Именно такую статистику я наблюдаю.
Как вирус попадает на компьютер?
Перед установкой flash player убедитесь в его действительном отсутствии на ПК:
Удаление смсера
Вирус отправьте смс удалить
Могут выскакивать липовые сайты проверки на вирусы:
Winlock удалить троян
Расскажу вам о самом частом случае попадания вируса на ПК: к примеру, вы, допустим :), являетесь заядлым посетителем порносайтов. Вы заходите на www.чтототам.ru, собираетесь посмотреть какое-нибудь видео на сайте. Нажали кнопочку чтобы смотреть, но видео не воспроизводится! Вам становится видно всплывающее окно с предложением установить какой-нибудь кодек, драйвер или даже сам Adobe Flash Player (якобы). В окне есть две кнопочки: Да (или подтвердить установку) и Нет (или отменить). Некоторые сразу жмут «Да», а некоторые, подумав хорошенько, у них ведь все установлено, жмут кнопку «Нет». ГЛАВНОЕ! ПЕРЕД ТЕМ КАК ЧТО-ТО УСТАНАВЛИВАТЬ, ПРОВЕРЬТЕ, ДЕЙСТВИТЕЛЬНО ЛИ У ВАС ОТСУТСТВУЕТ ЭТО. И в том, и в другом случае, результат будет отрицательный. Только вот в первом случае, если вы нажмете «Да» – вы «словите» троянца, а во втором случае, при нажатии на кнопку «Нет», всего-то данное окно появится заново. Эту проблему можно решить. Так как всплывающее окно является приоритетным по сравнению с самим браузером, вы не сможете закрыть вкладку с открытым сайтом или сам браузер. В этом вам поможет сочетание клавиш CTRL + ALT + DEL. В появившемся «Диспетчере задач Windows», перейдите на вкладку «Приложения», выделите в списке запущенный приложений свой браузер, а затем нажмите «Снять задачу». Так же можно сделать и на вкладке «Процессы», просто здесь нужно будет найти процесс под именем «имя_вашего_браузера.exe» и нажать кнопку «Завершить процесс». Вот, вы не подверглись на провокацию :)
Так же, не советую вам пользоваться браузером Internet Explorer любой версии. Это большая дырка в вашем системе Windows.
Диспетчер задач запрещен
Ну а что же делать с теми, кто нажал «Да»? Поздравляю, вы стали обладателем… нет не миллиона, как хотелось бы сказать… а злобного Trojan.Winlock.
Ну, как Trojan.Winlock попадает на ПК (основной случай) я вам рассказал.
убрать порнобаннер
Что делает троян с компьютером жертвы и каковы последствия?
Trojan.Winlock блокирует ОС Windows так, чтобы пользователь не смог предпринять какие-нибудь действия по уничтожению вируса. Обычно, это окно на весь экран монитора с липовым предупреждением о том, что вы используете не лицензионное ПО (кстати, грамотный ход – бьёт на психику россиянина моментально, большинство ПО на компьютерах в России – не лицензионное), или ваш доступ к порносайту истек, что-то вроде этого (вариаций вируса сотни). Также бывает окно посередине экрана монитора (не на весь экран). Но, расположено оно так, что пользователю будет очень неудобно производить работы по удалению вируса, или по поиску информации в интернете. Также, в окне присутствует просьба отправить смс на определенный короткий номер для разблокировки системы. Первая ошибка жертвы – выполнение требований злоумышленников. Люди отправляют смс, с их счета снимается определенная сумма денег (обычно это 300 – 500 руб.) и вводят полученный код в специальное текстовое поле. Только вот есть одно «но». Некоторым приходит код, они вводят его и система разблокируется. Но вирус все равно остаётся на компьютере жертвы и через некоторое время опять становится активным. Остальным да же код не приходит, но денюжки снимаются.
Windows заблокирован
Вирус усложняет работу пользователя всевозможными запретами, например: запрещается Редактор реестра, Диспетчер задач, апплеты Панели управления, меню «Выполнить», Командная строка и многое другое. Сам троян, тем временем, прописывается в реестре, копирует себя в определенные каталоги, некоторые разновидности блокирует интернет. Было время, когда Trojan.Winlock только начал выходить на просторы рунета. Тогда существовали самые примитивные версии вируса: они удалялись сами через несколько часов работы компьютера, в некоторых версиях достаточно было ввести семь нолей и система освобождалась, они не появлялись в Безопасном режиме Windows! Если к вам «залетел» такой троян – задача по его уничтожению упрощается, а если троян более новой модификации, соответственно, задача усложняется. Последствия от пребывания на компьютере Trojan.Winlock могут быть разными: от затрат на отправление смс злоумышленникам, затрат на вызов мастера, который удалит вам этот вирус, до потери некоторых данных (например, если придётся переустанавливать ОС Windows) и нерабочего интернет-подключения. Всё зависит от случая, как повезёт вам с «питомцем».
Удалить троян винлок смс
Удаление вируса Trojan.Winlock
Итак, вы стали жертвой вируса Trojan.Winlock. Что делать?
1. Первый способ. Подходит, если окно трояна в системе растянуто на весь экран. Запрещены: Редактор реестра, Диспетчер задач (CTRL + ALT + DEL), «Выполнить» (WIN + R). Вы не можете переключиться ни на какое окно в системе. При загрузке в Безопасном режиме (при загрузке ПК, в момент перед показом заставки Windows, нажмите F8 и выберите Безопасный режим), точно такая же картина что и в обычном режиме работы системы. Вирус активен и там.
Требуется загрузочный диск (BootCD, LiveCD). Это единственный минус данного способа, потому что не у всех есть такие диски. Но, лично для меня, более удобный и быстрый. Можно да же отбросить всё выше сказанное о данном способе и вывести одно условие – у вас должен быть загрузочный CD/DVD.
2. Второй способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). Если вам удалось загрузить Безопасный режим и вирусная программа в нем не отображается – этот способ для вас.
3. Третий способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). В Безопасном режиме Windows вирус активен.
После того, как мы определились со способом, приступаем к удалению.
Первый способ
Берём загрузочный диск, не сильно важно его название, главное чтобы была аварийная операционная система (конечно можно воспользоваться и Norton Commander с дискеты если повезёт, но у нас все таки 21 век). Мне лично нравится Active Boot Disk или Vasalex
Итак, нам нужно включить загрузку с привода до загрузки с жесткого диска. Это делается в настройках BIOS. При включении компьютера, в самом начале вы увидите надпись «Press DEL to enter Setup» (у ноутбуков в основном написано вместо DEL -> F2). После того как вы нажали нужную клавишу загрузится настройка BIOS. При помощи стрелок на клавиатуре и клавиши Enter нужно зайти в раздел Advanced BIOS Features. Далее, всё зависит от фирмы изготовителя BIOS. В некоторых нужно найти пункт Boot Device Priority, зайти в него и там настроить приоритет загрузки устройств. В других вы сразу найдете настройки приоритета когда зайдете в раздел Advanced BIOS Features. Если вы хоть чуть-чуть обладаете английским языком – вы разберётесь без проблем. Итак, вам надо найти что-то вроде этого:
1st Boot Device
2nd Boot Device
3rd Boot Device
1st Boot Device – устройство, которое загружается первым, обычно там стоит жесткий диск (HDD). Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите CD-ROM.
2nd Boot Device – устройство, которое загружается вторым. Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите HDD.
Устройство выбрано. Теперь нужно сохранить изменения. Для этого возвратитесь в стартовое меню и выберите Save and exit Setup. В появившемся окошке введите «Y» и нажмите Enter. Вставьте диск в дисковод. В нужный момент загрузки компьютера начнется запуск загрузочного диска. Аварийные ОС на таких дисках бывают разными. Некоторые практически полностью выглядят как и обычная Windows, в них есть проводник. В некоторых вместо проводника используется файловый менеджер (например Total Commander). Суть не в этом – главное, чтобы вы могли перемещаться по каталогам и удалять файлы.
Приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:
в Windows XP
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files
в Windows Vista/Windows 7
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Microsoft\Windows\Temporary Internet Files
В корне 1-го пути ищем незнакомые нам exe, tmp файлы. Далее переходим к самым обитаемым местам вируса – 2 и 3-й пути. В папке Temp выделяем все файлы и папки и удаляем. Этот так, чтоб наверняка. В папке Temporary Internet Files выделяем все файлы и удаляем. Если там будут папки, то удаляйте файлы внутри этих папок. Так же можно просмотреть пути C:\, C:\Program Files, C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Cookies, C:\WINDOWS (часто в C:\WINDOWS бывает вредоносный файл cmon.exe, удалите его), но обычно хватает чистки 2-го и 3-его пути. Если на компьютере несколько пользователей, то произведите для профилактики такие же действия и с их учетными записями. Всё, чистка завершена. Теперь перезагружаемся, вытаскиваем загрузочный диск и ждём момента «Х» :) Вот экран приветствия, начинает грузиться Рабочий стол и всё, окно вируса не появилось. Вы все сделали правильно. Ну а если появилось, значит плохо чистили, загрузите опять загрузочный диск, и пройдитесь опять по всем путям, может что-то пропустили. Для тех, у кого «пропал» троян: сами файлы мы удалили, но вирус мог оставить записи в реестре. Нам нужно дочистить систему. Входим в Пуск -> Выполнить (WIN + R) и набираем команду regedit а затем жмем Enter. Если выводится сообщение «Редактирование реестра запрещено администратором системы«, то смотрите раздел статьи «Запреты». Если все нормально, то перейдите к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В этом разделе хранятся записи автозагружаемых программ текущего пользователя. Эти записи отображаются справа. Конечно, все имена программ и системных файлов вы не можете знать, поэтому, я советую вам обратить внимание на пути к этим файлам, которые отображаются в поле «Значение». Вы сможете понять что это вирус по пути, он может вести к папке Temp или Temporary Internet Files, а так же к Application Data. По имени файла в пути то же можно понять что это вирус. Файл может называться так: ~DFFE93.tmp или так 16A8.exe. Сама запись может называться как угодно. Очень часто её называют Microsoft Audio Driver или что-то вроде этого. Главное не название, а путь и имя файла, запомните это. Итак, допустим, что мы здесь ничего подозрительного не нашли. Теперь переходим к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Здесь, обычно побольше записей. Проверяем раздел на наличие записей вирусов. И проверьте еще 3 пути (они все рядом):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Далее переходим к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян мог прописаться: Userinit, UIHost и Shell. Сейчас я приведу примеры, как эти записи должны выглядеть по умолчанию:
Userinit = C:\WINDOWS\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe
Сверьте мои и ваши записи. Если что – исправляем. Ну вот и всё. Если всё сделали правильно, то вирус удалён с компьютера. Но, помните одно – разновидностей Trojan.Winlock очень много. Я привёл пример того, как и куда прописывается и копируется большинство этих троянов, но различия могут быть. Да, и проверьте свой интернет, если работает – значит хорошо, если нет (что делают последние версии этого трояна), значит читаем соответствующий пункт статьи «Не работает интернет», но перспективы не хорошие…
Второй способ
В данном способе у нас нет возможности воспользоваться загрузочным диском, но, вирус не активен в Безопасном режиме Windows. Здесь все просто. Загружаем Безопасный режим (как это сделать написано выше). У нас практически полноценная ОС. Теперь делаем всё то же самое, что и в Первом способе, начиная со слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:». После проделанных действий перезагружаем компьютер и радуемся жизни (если всё сделали правильно).
Третий способ
Этот способ для тех, кому не повезло. У вас нет загрузочного диска, в Безопасном режиме вирус активен. Что же делать? Мучиться! Это самый долгий способ удаления вируса. Если у вас окно вируса посередине экрана, меню «Пуск» видно и части Рабочего стола видны:
Вам нужно попасть в Мой компьютер. Далее, меню Сервис -> Свойства папки -> Вид -> Показывать скрытые файлы и папки -> OK. Если скрытые файлы не отобразились, значит вирус запретил показывать скрытые файлы… Для этого смотрите раздел статьи «Запреты». Предположим, что скрытые файлы и папки отобразились. Теперь вам нужно сделать то же самое что и в Первом способе, после слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:». Но, есть одна загвоздка, окно вируса так мешает отображению папок… Вам придётся изменять размер окон, перетаскивать их туда-сюда, смотреть содержимое по частям. В общем, очень неудобно! Но тут уж ничего не поделаешь. Вызвать Диспетчер задач? Да же если он разрешен, все равно вы его не увидите, потому что он будет под окном вируса. Очень неприятная ситуация. Если у вас есть программа Process Explorer от Sysinternals – можете попытаться запустить её. Она показывает все процессы, да же скрытые. Можно попытаться убить процесс вируса через неё. Но, опять же, некоторые разновидности вообще запрещают запуск файлов. Так что, как повезёт (если запустится, переключитесь на неё с помощью сочетания клавиш ALT + TAB. Она, в отличии от Диспетчера задач покажется поверх окна вируса). И вот так, в таких условиях нужно почистить систему от вируса. Затем перезагрузитесь и почистите реестр. Всё должно получиться, крепитесь :) Следующая ситуация, это когда окно вируса растянуто на весь экран. Еще худшая ситуация. Все вызываемые окна остаются позади вируса (если вам повезет и попадется старая разновидность, то знайте, у них были проблемы со скрытием вызываемых окон, и чуть-чуть помучившись, можно будет вызвать желаемое окно на передний план. Используйте ALT + TAB, WIN + D и смекалку). Есть еще одна хитрость: зажмите WIN + U. Появится диспетчер служебных программ. Здесь вы сможете включить Экранную лупу или Экранную клавиатуру, без разницы. Главное то, что при запуске покажется справочное окошко, а в нем ссылка на Веб-Узел Майкрософт, тем самым вы запустите браузер. Если интернет подключен, то вы сможете поискать какую-нибудь информацию в интернете по вирусу или скачать программу Dr.Web CureIt!, точнее, выбирайте не «Сохранить», а «Запустить». Просканируйте систему этой программой, может она что-нибудь и найдёт, хотя эта фишка проходила так же со старыми версиями трояна. Если б был такой антивирус, который засекает и уничтожает Trojan.Winlock, цены б ему не было…
Попробуйте восстановить систему, в некоторых случаях помогает. Для этого вам нужно запустить Безопасный режим с поддержкой командной строки. Нажмите клавишу F8 во время загрузки Windows (до появления логотипа и строки прогресса). Выберите Безопасный режим с поддержкой командной строки. В командной строке вам нужно ввести C:\WINDOWS\system32\Restore\rstrui.exe. Далее выполняйте все указания, которые появятся на экране. Так же, можете отредактировать реестр Windows, запустив команду regedit.exe. Что удалять в реестре написано выше. Но, всё это может быть запрещено вирусом. Попытайтесь сделать всё вышенаписанное, если уж совсем худо, то спасет только переустановка ОС. А лучше позвоните в какую-нибудь службу по ремонту компьютеров, потратитесь немного, но решите проблему.
Три способа удаления вируса Trojan.Winlock я описал, каждому подойдёт свой. Теперь, опишу возможные проблемы при удалении вируса или после.
Запреты
Вирусы часто запрещают через системный реестр некоторые важные функции ОС. Например, Редактор Реестра или апплеты Панели управления.
Запрещен Редактор реестра, что делать? Меню «Пуск» -> Выполнить -> gpedit.msc -> Enter. Откроется окно Групповая политика. Раскройте «Конфигурация пользователя». Раскройте «Административные шаблоны». Выберите «Система». Справа отобразится список элементов. Найдите «Сделать недоступным средства редактирования реестра». Дважды щелкните по элементу и выберите радиокнопку «Отключен» а затем OK.
Так же, здесь можно разрешить Диспетчер задач, если он запрещен. Вам нужно выбрать справа папочку «Возможности CTRL + ALT +DEL». Откройте её. Дважды щелкните по пункту «Удалить Диспетчер задач» и выберите радиокнопку «Отключен» а затем OK.
Вернитесь назад и выберите пункт «Запретить использование командной строки». Дважды щелкните мышкой и выберите «Отключен». Тем самым вы разрешите использование командной строки, если она запрещена.
Удаление запретов вещь зависимая. Бывает так, что и программа «Выполнить» запрещена, и Редактор реестра запрещен, и Диспетчер задач. Так что действовать нужно по обстоятельствам. Кстати, что бы разрешить вызов программы «Выполнить», найдите в реестре (сам файл Редактора реестра – regedit.exe – находится в C:\WINDOWS) ключ NoRun в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Установите его значение в 0.
Часто, вирусы запрещают отображать скрытые файлы и папки. Пользователь всё делает правильно, но результата все равно нет – скрытых файлов не видно. Это решается с помощью редактирования ключа: HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL. Вам нужно установить параметр CheckedValue в 1.
Я описал как убрать запреты вручную – вам это всегда пригодится. Так же, могу предложить вам мою небольшую
программку, она отменяет запреты на использование большинства системных функций (работает только под Windows XP).
Не работает интернет
Некоторые последние версии Trojan.Winlock стали опасными и для интернет – подключения, да же после полного удаления файлов вируса с компьютера. Для начала проверьте файл hosts, который находится тут: C:\WINDOWS\system32\drivers\etc . Откройте его с помощью блокнота. Вот пример правильного содержимого этого файла:
————————————————————————————————-
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом ‘#’.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x
127.0.0.1       localhost
————————————————————————————————-
У вас должен быть лишь один адрес: 127.0.0.1       localhost. Если есть что то еще, то удалите эти записи. Теперь перезагрузите систему. Если интернет не заработал, попытайтесь пропинговать любой адрес:
Пуск -> Выполнить -> cmd -> Enter -> ping ya.ru
У вас должно быть что-то вроде этого:
Обмен пакетами с ya.ru [77.88.21.8] по 32 байт:
Ответ от 77.88.21.8: число байт=32 время=5мс TTL=57
Ответ от 77.88.21.8: число байт=32 время=5мс TTL=57
Ответ от 77.88.21.8: число байт=32 время=5мс TTL=57
Ответ от 77.88.21.8: число байт=32 время=5мс TTL=57
Статистика Ping для 77.88.21.8:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потер
Приблизительное время приема-передачи в мс:
Минимальное = 5мсек, Максимальное = 5 мсек, Среднее = 5 мсек
Если так, то это означает что интернет работает, просто сайты не открываются. Попробуйте следующие команды:
в командной строке введите netsh
после перехода введите winsock reset и перезагрузите компьютер.
Если сайты так и не открываются, попробуйте:
в командной строке введите netsh
после перехода введите int ip reset c:\resetlog.txt  и перезагрузитесь.
Если всё так же, скачайте с другого компьютера программу
WinSockXPFix и перекиньте на свой. Запустите её и нажмите кнопку Fix.
Так же, на заметку, попробуйте переименовать файл hosts (C:\WINDOWS\system32\drivers\etc) в oldhosts
Дополнительно:

.

Счетчик тИЦ и PR Яндекс.Метрика Msn bot last visit powered by MyPagerank.NetYahoo bot last visit powered by MyPagerank.Net ping fast  my blog, website, or RSS feed for Free