Pull to refresh
  • by relevance
  • by date
  • by rating

Удаляем троян winlock

Lumber room
Знаю, что на хабре такие посты не очень любят, тем не менее я считаю, что некоторым этот способ может пригодиться или просто сэкономить время. Троян, который мне попался свежий и определяется всего несколькими антивирусами. Результаты проверки вирустотала. Кода разблокировки я тоже найти не смог. Поэтому, что бы не утомлять описанием как я его искал сделаю пост в виде краткого гайда.
Читать дальше →
Total votes 35: ↑17 and ↓18 -1
Views 1.8K
Comments 45

Избавление от нового Winlock`ера

Antivirus protection *
Вчера мне довелось выковыривать новый Winlock`ер с компьютера коллеги-дизайнера.
Увидев знакомый развод с просьбой отослать смс на номер 3116, я отправился на сайт DrWeb за кодом разблокировки. Но увы — локер оказался новый. Быстро на форумах толком ничего найти не удалось. Решил что будет проще выковырять его вручную.

Локер оказался довольно примитивный.
В безопасном режиме локер также загружался. Следовательно, автозагрузка как место его запуска отпала.
Локер закрывал собой весь экран и перекрывал открываемые, горячими клавишами, окна.
Однако зажав Ctrl+Shift+Esc удалось вызвать мерцание диспетчера задач поверх локера на очень короткие промежутки времени. Видимо из за неторопливости работы в безопасном режиме. При обычной загрузке так не вышло.
В задачах нагло висел один единственный процесс nvcvc32.
Грузился он тоже довольно небрежно — открывалось окно командной строки и очень быстро закрывалось, заменяясь на окно локера. Ловкость рук помогла ткнуть в крестик этого окна до его загрузки. Так я получил чистый рабочий стол. Explorer не загрузился.
Ну а дальше всё по примитивному сценарию. Из папки windows удалил этот nvcvc32.exe.
Оставалось найти загрузчик.
Поиск по реестру места где запускается explorer.exe Вывел на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell.
В этот параметр к explorer.exe был приписан запуск некого rundll.bat, который также лежал в папке windows.

После удаления его и перезагрузки о локере больше ничего не напоминало.

Сегодня он уже появился сайте DrWeb под именем Trojan.Winlock.2925.

На инфицированной машине был установлен Windows XP (родной, это ноутбук).
Total votes 75: ↑41 and ↓34 +7
Views 9.7K
Comments 45

Trojan.winlock начал распространяться через ЖЖ

Information Security *


Разработчики трояна Winlock продолжают изобретать новые схемы распространения своего детища. Похоже на то, что зарабатывать денежку разработчики этого софта будут еще очень долго, несмотря на постоянно ведущуюся борьбу с троянцом. Пока что выигрывает троянец, не в последнюю очередь, благодаря изобретательности своих создателей. Так вот, сейчас, по сообщению экспертов компании «Доктор Веб», придуман новый способ распространения заразы, блокирующей ОС Windows — комментарии в ЖЖ. Нажав на комментарий, пользователь попадает на фотохостинг, а оттуда уже перенаправляется на еще один ресурс, с «клубничкой», где вместо девочек пользователь получает троянца в виде exe-файла.

Читать дальше →
Total votes 80: ↑53 and ↓27 +26
Views 2.2K
Comments 457

AntiSMS — быстрое и эффективное лечение блокировщиков

Information Security *
Приветствую, друзья!

Все мы наслышаны и троянах-блокировщиках, которые останавливают работу компьютера до получения денежного перевода своим создателям, как правило посредством SMS или оплатой через терминал. Более опытные пользователи никогда их не ловят, а вот их родственники, знакомые и клиенты — часто и регулярно.

Хочу представить вам маленькую программу, которая призвана решить проблему блокировщиков, и более того — делает это в полностью автоматическом режиме. По моему мнению диск или загрузочная флешка с такой программой должна быть абсолютно у каждого человека, ведь у жителей интернета вероятность подхватить баннер-блокировщик есть всегда, а опытные пользователи смогут помочь своим ближним вылечить компьютер всего за пять минут.

Особенно утилита поможет сисадминам и инженерам, занимающимся настройкой клиентских компьютеров. Когда заблокированные компьютеры приносят пачками, быстрое лечение будет экономить вам массу времени и сил. Следуя лёгкой инструкции вы сможете эффективно убрать любой блокировщик, параллельно исправив массу неисправностей в операционной системе.
Уже хочу!
Total votes 76: ↑67 and ↓9 +58
Views 3.8K
Comments 41

Антивирусная утилита AntiSMS теперь удаляет Adware

Information Security *
Описание

Утилита AntiSMS от simplix создана для борьбы с троянскими программами, adware, winlock (баннеры-вымогатели), червями, шпионами и другими зловредами.

Утилита проверяет автозапуск Windows и отключает записи на файлы, которые не имеют цифровой подписи и при этом не содержатся в базе чистых (эта база находится внутри утилиты и время от времени обновляется с выходом новых версий AntiSMS). Если утилита отключит что-то нужное (пользователю) в автозапуске, то это легко исправить с помощью msconfig.

Но, сейчас появилось довольно много зловредных программ, которые имеют действующую цифровую подпись. По сути, это «легальные трояны», которые путем обмана и хитростью заставляют пользователя установить себя на компьютер.
Например, сейчас большое распространение получила поделка «Байду» (Baidu), на форуме сайта virusinfo.info немало тем с просьбой помочь удалить эту программу.
Читать дальше →
Total votes 9: ↑5 and ↓4 +1
Views 14K
Comments 0