Лечим Trojan.Winlock, Trojan.Winlock Removal

Свое

05.04.2011 05:14

Вообщем столкнулся с проблемой ака эпидемией Trojan.Winlock... Маманя позвонила, говорит ноутбук залочился и пишет стандарную информацию отправить уродам на номер 3116 несколько сотен рублей... Коды касперского и дрвеба работают в 10% случаем, т.к. модификаций очень много. Ну мы не лыком шиты и лохам, которые достали исходики вируса и пытаются тупо заработать, помогать не будум - пусть учатся черти.

На ноуте стоит Windows 7. Долго бился с лайв-дисками и антивирусами, ERD работает нормально, удалось почистить все видимые файлы вируса, но вот незадача - винда упорно выводился информер об оплате, а ни avs от касперского ни drweb со своим кьюрит не помогали (кьюрит вообще с ошибкой вылетал), т.к. не видели вируса. В реестре мало что получиться поменять, т.к. основные переменные заменялись на временные от ERD, а сканировать вручную всю системы на знакомые/незнакомые файлы - бред.

Решение: В итоге решил не париться и поиграть с комбинациями клавиш в загруженной винде и не поверите - все получилось. Не блочиться комбинация Win+U, которая позволяет вывести Панель Управления, которая частично перекрывается вирусом, но работать более чем удобно, тем более, что пофиксить надо всего лишь реестр (именно в том месте, где везде пишут, но до которого нормально нельзя добраться с лайв-дисков). Из панели управления запускаете и msconfig и regedit (исполняемые файлы в каталоге Windows) и убираете все, что появилось новое, также службы проверьте, которые запускаются по-умолчанию... Вообщем можете делать все, запускаются все программы и можно починить, я даже в интернете ради интереса посидел :)

Удаляем быстро вирус: Как и писал выше быстрее всего будет вызвать редактор реестра - тут он будет работать правильно и вы увидите левые вирусные переменные (у меня вирус был замаскирован под userinit.exe, но брался из темпового каталога)

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] параметр Userinit поменяйте на С:\Windows\system32\userinit.exe, (путь винды конечно же свой и ЗАПЯТАЯ в окончании обязательна). Кстати по старому пути вы увидите место, где лежит сам вирус и можете сразу же его удалить в соседнем окошке (Win+U можете хоть 100 раз нажимать, т.к. при переходе из панели в любое другое место ее можно еще раз вызвать)

и на всякий случай проверьте переменную Shell в этом же разделе. Там должно быть просто написано просто Explorer.exe

Все, ребут и радуйтесь жизни. Дальше как знаете - утилиты, антивирусы, фиксеры реестра - кому что поломало.

Кстати сайт DRWEB не стал публиковать простое решение в фидбеке на их мини-сайте про анлок, когда его туда отправил. Уроды, что сказать - за бабло борятся, сами не справляются ну и хер с ним, пусть люди винду переставляют и покупают, а мы их "защитим".

Вероятно, что такое решение сработает также и под Windows Vista - уверен процентов на 90.

Удачи.