Снова про вирусы-вымогатели Internet Security

Январь, 26th 2010Рубрика: Windows 14244
Подписаться на комментарии по RSS

Итак, прошло совсем немного времени с момента публикации статьи о вирусе Internet Security. Предположения о эпидемии оказались не только предположениями, а так оно и случилось.

О масштабах поражения можно судить по такому факту - сегодня по зомбоящику на канале НТВ прошло интервью с представителями компании DrWeb. Телевизионщики ошиблись и рассказ о новом вирусе был дополнен изображением прародителя Internet Security - Trojan.Winlock, который появился ещё в апреле 2009 года.

вирусы-вымогатели Internet Security

Trojan.Winlock распространяется в виде поддельных кодеков. При загрузке Windows на экран также выводится сообщение с требованием отправить SMS для разблокировки доступа к системе. В отличие от Internet Security он уже добавлен в вирусную базу Dr.Web и легко отлавливается.

Также признали, что новый вирус на данный момент не ловится даже обновленным антивирусным пакетом, т.к. модификации его выходят практически ежедневно. Для разблокировки компьютера у DrWeb также имеется сервис, где можно вводить код. Бесплатная разблокировка Windows от DrWeb Вот только для чего нужны были подобные украшательства совершенно не понятно - ребята явно в игрушки не наигрались.

Честно говоря попытался воспользоваться этими сервисами в качестве эксперимента и плюнул в конце концов. Возможно кто-то будет более удачливым, но мне так и не удалось подобрать действующий код. В итоге всё пришлось делать руками на очередном больном компе.

Возможно они просто не успевают за появлением новых модификаций... кто знает... у меня опыт оказался неудачным. Тем более для этих целей надо иметь либо второй комп, либо загружать мобильную версию в телефон или коммуникатор.

Способ разблокировки компьютера от вируса Trojan.Winlock с использованием ERD Commander

  • отлючаем компьютер от сети
  • загружаемся с диска с ERD Commander и запускаем Winternals ERD Commander;
  • в окне Welcome to ERD Commander выбираем свою ОС –> OK;
  • в окне ERD Commander Explorer выбираем диск, на котором установлена ОС (обычно, C:\);
  • удаляем файл вируса, расположенный во временном каталоге текущего пользователя
  • C:\Documents and Settings\учетная_запись_пользователя\Local Settings\Temp\

  • исправляем ключи реестра Start –> Administrative Tools –> RegEdit;
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

    Userinit на C:\WINDOWS\system32\userinit.exe, (вирус устанавливает значение этого параметра %Temp%\.tmp)

    Shell на Explorer.exe;

  • закрываем ERD Commander Registry Edit и перезагружаемся
Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 2

  1. 2014-08-07 в 09:37:55 | Галина]]>avatar]]>

    Добрый день. Проник вирус шифровальщик...зашифровалось всё..Вот его назв мееб.xls.id-{SAGNUBIOVBIOVCJPWCJQWDKQXVCJQWDKSYFL-06.08.2014 9@13@5910805}-email-ivanivanov34@aol.com-ver-4.0.0.0.cbf...................пробывали через Касперского..скачали программку , но ничего не получилось...Что делать??

  2. 2018-12-04 в 19:03:37 | Vadim Andreev

    Вроде все понятно что это вирус, но есть же люди, даже у меня знакомые которые отправляют смс и платят а потом только думают. Как можно быть такими недалекими?

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.