Перейти к содержимому


Как лечить вирус-вымогатель


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1

  • Гости

Отправлено 16 Февраль 2010 - 00:09

Название вируса: Win32/LockScreen.AX (Nod32), Trojan.Winlock.179 (Dr.Web) - это у меня была 179-ая модификация, цифра может быть любой.

Признаки заражения: о! вы их увидите! При загрузке компьютера появляется окно с требованием отправить смс с определенным текстом на определенный номер (у меня требовал отправить смс с текстом 7488032 на номер 5121). Диспетчер задач заблокирован (неактивная кнопка при нажатии Ctrl+Alt+Del). При загрузке в безопасном режиме (F8) - такая же картинка.

Как лечить.

Для начала отключаем компьютер от сети, чтобы зараза не полезла дальше.

1. Если есть второй компьютер, чистый, то на нём скачиваем утилитку CureIT, цепляем наш заражённый винт к чистой машине и запускаем CureIT на проверку. Почти всё.

2. Если второго компьютера нет (моя ситуация). Нужен LiveCD. Загрузочный диск с операционной системой. Он у вас просто обязан быть! Поэтому заранее озаботьтесь его наличием. Скачать можно отсюда: http://www.freedrweb.com/livecd (потом нужно записать на диск).

Вставляем диск, цепляем сеть, перезагружаемся с диска. Поздравляю - у вас линукс! :) Открываем файрфокс и опять же качаем CureIT. ВАЖНО: в настройках файрфокса выставите доступную директорию для сохранения файлов. Кстати, доступ к винчестерам из-под линукс осуществляется по пути /mnt. Разберётесь на месте :)
Далее проходим по ссылке http://support.kaspe...ruses/deblocker или http://www.drweb.com/unlocker/index. Подбираем код "деактивации" вируса. Если предложенные сайты помочь не смогли, то гуглим по словосочетанию "текст смс номер телефона" (например, в моём случае текст поискового запроса выглядит так: 7488032 5121). Вероятность, что код будет найден - почти 95%. Мне найти удалось, хотя яндексом была предложена только одна ссылка. Записываем код на бумажку.

Код для моей комбинации: 2047692.

2.1. Отключаемся от сети, ребут, загружаемся с винта. Вирус опять просит отправить смс. Вводим в окно наш код "деактивации". Если всё хорошо - получаем разблокированную винду.

2.2. Сразу же запускаем CureIT. Ждём :) Все найденные вирусы - удаляем.

3. Чистим все файлы из директорий C:\Documents and Settings\тут_юзеры\Local Settings\Temp\. Если пользователей несколько, то чистим у всех.

4. Пуск - Выполнить - msconfig - Автозагрузка - снимаем флажки у всех подозрительных элементов. У меня был такой один - setup.bat, который сидел в автозагрузке и запускал файл del.bat, находящийся в директории Windows. Подлинно не установлено, имеет ли отношение этот файл к вирусу, но на всякий пожарный оба файла удаляем. Вы же помните, что удалять надо через Shift+Del?

5. Если диспетчер задач так и остался недоступным. Есть два варианта решения (мне помог первый, второй же не сработал). Я бы сказала, что нужно выполнить оба :)

5.1. Пуск - Выполнить - gpedit.msc - Ок. Далее находим Конфигурация пользователя - Административные шаблоны - Система. В правом окне находим "Возможности Ctrl+Alt+Del". Открываем Свойства политики или два раза кликаем мышкой. Выбираем параметр "Отключен" - Применить - Ок.
5.2. Находим параметр DWORD DisableTaskMgr в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\System Значение "0" - включает диспетчер. "1" - отключает. При нормальном состоянии системы этого параметра нет, параметр можно удалить.

6. Так же одно из последствий - запрет на запуск редактора реестра (меня не коснулось). Варианты решения (цитирую):

6.1. Самое простое попробовать воспользоваться оснасткой "Групповая политика". Для этого делаем следующее: Пуск - Выполнить - gpedit.msc - Ок. Далее находим Конфигурация пользователя - Административные шаблоны - Система. В правом окне находим "Сделать недоступными средства редактирования реестра". Открываем Свойства политики или два раза кликаем мышкой. Выбираем параметр "Отключен" - Применить - Ок.
6.2. Можно воспользоваться альтернативным редактором реестра и в HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVerson\Policies\System найти параметр DWORD DisableRegistryTools и поменять значение на "0".

7. Ребут.

Если всё выполнено правильно (или просто повезло), то переустановка винды не потребуется. Если же всё-таки были повреждены системные файлы, то увы, переустановки не избежать.

Кстати, утилитку кк.ехе тоже полезно иметь (http://support.kaspe...ds/utils/kk.zip).

Кстати-2, критические обновления безопасности для Windows тоже лучше устанавливать.

Надеюсь, мой опыт окажется вам полезным. Да пройдет этот вирус мимо вас :)

PS. Nod32 - говно.

Стырила отсюда - http://www.liveinter.../post120736014/


http://www.liveinter.../post120779896/




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных