Кто попал на Trojan.Winlock

Кашпер.

Счастливые вы! Я года 2 как ничего серьёзного не цеплял, и 8-й месяц вообще без антивируса.

Muxa написал :
Теперь ребутиться?

Это как?

TARLEV написал :
и 8-й месяц вообще без антивируса.

И это возможно?

to RHAPSODY
Dr Web весьма лояльно относится к такой заразе. Возьмите лучше avz, обновите его и проверьте комп.

koris написал :
это как?

По разному.

Я предпочитаю кнопку "да" в запросах обновления антивируса или системы.

Больше года стоит основной системой Линукс (Винды тоже есть) и все эти бяки забыты как страшный сон - ни тебе флешечных вирусов, ни порнобаннеров.

Лечил так:
WinXP
F8 Загрузка в безопасном режиме с поддержкой командной строки.
Загрузится Windows с черным окном консоли.
Вводим команду regedit, INTER
В редакторе реестра поиск следующей строчки: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
справа выбираем "Shell", кликаем по нему левой кнопкой мыши,появится контекстное меню, выбираем-Изменить.
Здесь прописан путь к файлу вируса (типа c:бла бла\Temp\0.0150302630827.exe)
Заразу найти и выковырять.
Поменять значение параметра на то, что должно быть: explorer.exe или c:windows\explorer.exe

2Ran_Dom да впадлу было просто убил врукопашную. без всяких там командных строк. кстати,как сказал мне наш админ,после того,как восстановил систему образом диска(ну и попутно высказав мне много и витиевато ) - это не вирус,а вредоносное ПО. и паучок его не отслеживает.

2RHAPSODY Ну, формально он прав, но мое мнение - антивирус изменения таких веток реестра должен отслеживать. Хорошо что все получилось исправить/вернуть.

koris написал :
и это возможно?

А почему нет?
Работаете себе, а после перезагрузки у Вас вуаля, всё так же как и было. Есть конечно много неудобств, чтоб что то сохранить или установить программу необходимы дополнительные манипуляции иначе при перезагрузке как и не было ничего. Лично мне правда не шибко верится в неуязвимость компьютера с такой штукой. Но некоторые так и работают, без антивируса но с подобной программой.

Ran_Dom написал :
антивирус изменения таких веток реестра должен отслеживать

Дело в том, что не только вирусы и другое вредоносное по вносят изменения в реестр - поэтому нада сперва вычленить изменения которые приводят к нежелательным последствиям, занести в базы и потом только отслеживать и предотвращать, особого смысла только в отслеживании нету.

2сварик В общем да, согласен. Но здесь ключевое слово ТАКИХ веток реестра, насколько я понимаю только посторонняя тема может менять шелл ОС легально, вернее пользователь, конечно. Других легальных задач по смене шелла я представить себе не могу. И по-моему осуществить мониторинг этой ветки реестра несложно, в принципе, avz возвращает этот параметр на умолчательный. А так да, конечно, мониторить все ветки реестра бессмысленно.

Всегда, после лечения компа от всяких "порнопоп", дабы не лазить по реестру, запускаю утилитку от Каспера - ComboFix, кстати всегда только в конце.

haramamburu написал :
Но здесь ключевое слово ТАКИХ веток реестра, насколько я понимаю только посторонняя тема может менять шелл ОС легально, вернее пользователь, конечно. Других легальных задач по смене шелла я представить себе не могу.

Антивирю в любом случае нада знать точно что ветка изменяется вирусом, а не юзером /системой, а для этого нада вирь изловить и посмотреть, что конкретно и на что меняет/добавляет - иначе антивирь просто не даст возможности пользователю/системе вносить вполне легальные изменения .

Я вылечился от такого троянчика.. Сносить винду не нужно, денег платить тем более не стоит.

haramamburu написал :
после лечения компа от всяких "порнопоп",

Ну дайте хоть одним глазком взглянуть!.... Где вы их берете?

ur5imw написал :
ну дайте хоть одним глазком взглянуть!... где вы их берете?

А что, хочется
Обычно я их не беру, а убираю... , а на десктопе у меня LinuxMint, и подобное мне не грозит, по крайней мере в ближайшее время...

haramamburu написал :
ну дайте хоть одним глазком взглянуть!.

Забиваете в гугле какое нибудь пошлое сексуальное слово-и лезете по всем сайтам подряд. Это самый быстрый способ. Я своего поймал на ютубе.

2ur5imw , кстати сам поймал на Алаваре (игрушки детю искал).

Я недавно "заразилась", искала где бы НЕРО програмку скачать в инете, вот и прихватила
Нарыла кучу лечебной литературы, пролечилась и о чудо - мы здоровы.
Кстати, никто ссылку на НЕРО бесплатную не даст. Не могу диски переписать.

karlusha написал :
Кстати, никто ссылку на НЕРО бесплатную не даст. Не могу диски переписать.

Или про кряк для нюры?

Лечил себя дважды и приятеля единожды (тоже был обвинен в просмотре гей порно видео), какой это винлок был не помню, у себя дважды спасся выйдя на сайт веба со второго компа (бук у меня старый еще есть) нашел эту пакость (ну в смысле скриншот) и потом нашел код разблокировки на их же сайте, первый раз перед новым годом после исчезновения этой мерзости проверился есетом, он нифига не нашел, а вот неделю назад все повторилось я обиделся на нод и снес его, поставил каспера - так он за четыре часа проверки нашел 8 штук... пока жду будет еще один повтор или нет... А кстати с приятелем было немного не так... на вебе нихрена не было про его винлок, по этому я только изменил дату на месяц вперед в биосе и усе эта тварь рассосалась (троян )...

У меня кстати дико чесались руки не пополнить счет этому мудалиску (слово не матерное перс старкрафта) а написать ему нелитературную смс, но остановила боязнь, вдруг там какая хрень типа переадресации стоит и теже 400 руб просто спишутся со счета...

Буквально на днях знакомая ноут приперла - на экране просто серый квадрат без каких либо полей ввода, сбоку открытый блокнот - типа бла бла бла - посетите такой то сайт для получения инструкций, посетил, просют не много не мало 1 килоРубль.
Решение было банальным - почистил автозагрузку, реест и прочее было не тронутыми, студент одним словом

2haramamburu Это школьники на уроках информатики балуются

Если и так, то какие то больно "жадные", нет бы 100р - вроде и не жалко ни кому, а так -1000

Вылечились без проблем, ничего перезагружать и чистить не пришлось.

Nikole написал :
Коды разблокировки троянцев :
Вылечились без проблем, ничего перезагружать и чистить не пришлось.

Не под все винлоки есть коды.

ЮрАн написал :
Не под все винлоки есть коды.

В случае описанным мной выше - никакого окна ввода не было вообще.

haramamburu написал :

Скачиваете с ДрВеба образ диска, нарезаете болванку, загружаетесь с неё и о, чудо! Работает...

п.с. Только надо сходить к другу или иметь рабочий комп или свежий образ диска...-

Михалыч написал :
Только надо сходить к другу или иметь рабочий комп или свежий образ диска.

Или иметь под рукой live cd дистрибьютив с возможностью записывать на болванки...

Nikole написал :

А мне доктор вебовский сканер говорит, что невозможно удалить (лечить,переместить) мой троян.Inject.5450 Правда у трояна ощибка записи, а теперь у сканера ощибка(удал,перемещ,лечения). Что делать? Комп рабочий(позовчера подключили ) и работает в сети Выручайте новоиспечённого гл энергетика.

Может вручную гада выковырять- путь я знаю

Не получается - надо прав админа иметь.

Профан2 Radmin, случаем, не установлен на компе?

Может вручную гада выковырять- путь я знаю,не получается- надо прав админа иметь

ur5imw написал :
иметь под рукой live cd дистрибьютив

Все написано выше

Викторыч написал :

Вызвал сисадмина и он наконец то активировал защиту и винду 7., а я чел бесправный, попросил его установить мне хотя бы косынку - ты грит онлайн играй.

ur5imw написал :

Сисадмин чего-то наколдовал и попросил хрень всякую из сети не качать- всё равно говорит установить не получится.

Профан2 написал :
а мне доктор вебовский сканер говорит,что невозможно удалить

Эт потому , что Он уже запущен (например - открытый вордовый док тоже не получится удалить),
автозагрузку бы сначала посмотреть... (msconfig), а потом , после перегрузки и ручками и сканером...

Профан2 написал :
сисадмин чего то наколдовал и попросил хрень всякую из сети не качать- всё равно говорит установить не получится

Кстати, правильно! Грамотный админ! У нас по сети(где админские права только у одного-Админа) гуляла вирусня. Сканеры его видели, только ничего сделать не могли, но и зараза ни какого вреда принести не смогла! Админ говорил: сидит? Ну и хай сидит! Лень мне его выковыривать!

только странно, что Ваш админ просил-наш обычно в приказном порядке или бурча через плечо

RHAPSODY написал :
только странно, что Ваш админ просил-наш обычно в приказном порядке или бурча через плечо

Положено! Я хоть и энергетик зато главный

Профан2 написал :
я хоть и энергетик зато главный

"против лома нет приема? "

Можно поставить прогу, которая перезаливает образ диска, например от acronis или paragon, перезалить образ можно из винды, при загрузке до винды, загрузившись с live cd - с болванки.
5-15 мин и получаете свежий диск с:
Многие знакомые пользуются, порой даже вместо проверки каспером, потому что быстрее )))

Только что второй раз попал на эту гадость.
Спасла только переустановка ОС, как и первый раз. Заодно и апдейт сделал.
А с этими докторами намучался в первый раз. Хватит.

Юбер написал :
Только что второй раз попал на эту гадость.

Да уж... надеюсь не в последний?

Юбер написал :
Спасла только переустановка ОС, как и первый раз.

Вы уж, действительно, акронисом "образ" чтоль сделайте - раз вместо лечения "переустановка"

ur5imw написал :
надеюсь не в последний?

От тюрьмы да сумы ... и винлокеров - не зарекайся

haramamburu написал :
От тюрьмы да сумы ... и винлокеров - не зарекайся

Винда в моем загрузчике установлена самой последней...

haramamburu написал :
действительно, акронисом "образ" чтоль сделайте

Смысл?

ur5imw написал :
надеюсь не в последний?

Никто не застрахован, к сожалению.

Юбер написал :
Смысл?

Смысл в том, что вернете рабочую и настроенную систему за 5-15 мин.

haramamburu написал :
Смысл в том, что вернете рабочую и настроенную систему за 5-15 мин

Не факт. Винлок может активизироваться не сразу. Сидит себе и курит, а потом - ап.
Есть, конечно, шанс угадать, но , ИМХО, фифти-фифти.

Юбер написал :
Никто не застрахован, к сожалению.

Про "никто" - слишком сильно притянуто за уши