Вчера мне довелось выковыривать новый Winlock`ер с компьютера коллеги-дизайнера.
Увидев знакомый развод с просьбой отослать смс на номер 3116, я отправился на сайт DrWeb за кодом разблокировки. Но увы — локер оказался новый. Быстро на форумах толком ничего найти не удалось. Решил что будет проще выковырять его вручную.
Локер оказался довольно примитивный.
В безопасном режиме локер также загружался. Следовательно, автозагрузка как место его запуска отпала.
Локер закрывал собой весь экран и перекрывал открываемые, горячими клавишами, окна.
Однако зажав Ctrl+Shift+Esc удалось вызвать мерцание диспетчера задач поверх локера на очень короткие промежутки времени. Видимо из за неторопливости работы в безопасном режиме. При обычной загрузке так не вышло.
В задачах нагло висел один единственный процесс nvcvc32.
Грузился он тоже довольно небрежно — открывалось окно командной строки и очень быстро закрывалось, заменяясь на окно локера. Ловкость рук помогла ткнуть в крестик этого окна до его загрузки. Так я получил чистый рабочий стол. Explorer не загрузился.
Ну а дальше всё по примитивному сценарию. Из папки windows удалил этот nvcvc32.exe.
Оставалось найти загрузчик.
Поиск по реестру места где запускается explorer.exe Вывел на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell.
В этот параметр к explorer.exe был приписан запуск некого rundll.bat, который также лежал в папке windows.
После удаления его и перезагрузки о локере больше ничего не напоминало.
Сегодня он уже появился сайте DrWeb под именем Trojan.Winlock.2925.
На инфицированной машине был установлен Windows XP (родной, это ноутбук).
Увидев знакомый развод с просьбой отослать смс на номер 3116, я отправился на сайт DrWeb за кодом разблокировки. Но увы — локер оказался новый. Быстро на форумах толком ничего найти не удалось. Решил что будет проще выковырять его вручную.
Локер оказался довольно примитивный.
В безопасном режиме локер также загружался. Следовательно, автозагрузка как место его запуска отпала.
Локер закрывал собой весь экран и перекрывал открываемые, горячими клавишами, окна.
Однако зажав Ctrl+Shift+Esc удалось вызвать мерцание диспетчера задач поверх локера на очень короткие промежутки времени. Видимо из за неторопливости работы в безопасном режиме. При обычной загрузке так не вышло.
В задачах нагло висел один единственный процесс nvcvc32.
Грузился он тоже довольно небрежно — открывалось окно командной строки и очень быстро закрывалось, заменяясь на окно локера. Ловкость рук помогла ткнуть в крестик этого окна до его загрузки. Так я получил чистый рабочий стол. Explorer не загрузился.
Ну а дальше всё по примитивному сценарию. Из папки windows удалил этот nvcvc32.exe.
Оставалось найти загрузчик.
Поиск по реестру места где запускается explorer.exe Вывел на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell.
В этот параметр к explorer.exe был приписан запуск некого rundll.bat, который также лежал в папке windows.
После удаления его и перезагрузки о локере больше ничего не напоминало.
Сегодня он уже появился сайте DrWeb под именем Trojan.Winlock.2925.
На инфицированной машине был установлен Windows XP (родной, это ноутбук).
