|
Семь способов удаления Trojan Winlock
|
|
| RISEAGAIN | Дата: Суббота, 07.07.2012, 03:36 | Сообщение # 1 |
 Майор
Группа: Проверенные
Сообщений: 95
Статус: Offline
| Количество вредоносных программ, проникающих в компьютеры пользователей Интернета, блокирующих операционную систему и требующих отправки SMS или перевода злоумышленникам денежных средств, постоянно растёт. Вы наслаждаетесь Интернет-сёрфингом, и вдруг на экране появляется злосчастное окно, ограничивающее функционал компьютера вплоть до того, что единственным его предназначением становится выступление в роли креативного ночника. Это Trojan Winlock. Что с этим делать? Существуют, по меньшей мере, 7 способов решения этой проблемы - на любой вкус и замысел создателей вируса.
1 способ.
Наипростейший способ избавиться от старых версий вируса.
1. Зайдите в BIOS (многократно нажимайте «Del» во время загрузки, реже это могут быть клавиши «F10», «F12» или другие).
2. Переведите системное время на неделю вперёд (или на неделю назад).
3. Запустите Windows. Если вирус отключился, проверьте систему хорошим антивирусом.
2 способ.
На сайте Dr. Web представлены коды разблокировки системы.
1. Зайдите на страницу www.drweb.com/xperf/unlocker/ и введите в строку номер телефона или кошелька, куда просят перевести средства или отправить смс. Предложенный код введите в окне вирусного приложения.
2. Или выберите скриншот, изображающий окно вашей версии вируса, на странице www.drweb.com/xperf/unlocker/gallery/. Вам также будут предложены варианты кодов.
3 способ.
1. На рабочем компьютере скачайте AVZ и запишите на диск или флешку.
2. Загрузите систему заражённого компьютера в безопасном режиме + командная строка (многократно нажимайте «F8» во время загрузки, в предложенном меню выберите «Безопасный режим с поддержкой командной строки» и подтвердите нажатием «Enter»).
3. Подождите загрузки системы и появления командной строки. Вставьте носитель с AVZ.
4. Введите в командную строку «explorer» и нажмите «Enter». Должно открыться окно «Мой компьютер».
5. Запустите двойным щелчком avz.exe с флешки или диска.
6. Выберите «Файл» - > «Мастер поиска и устранения проблем». В следующем окне – «Системные проблемы» - > «Все проблемы» - > кнопка «Пуск».
7. Поставьте все галочки, кроме «Отключено автоматическое обновление системы» и всех, которые начинаются с «Разрешен автозапуск с..». Нажмите «Исправить отмеченные проблемы».
8. Выберите «Настройки и твики браузера» – > «Все проблемы». Поставьте все галочки и нажмите «Исправить отмеченные проблемы».
9. Выберите «Приватность» – > «Все проблемы». Отметьте галочками все пункты и нажмите «Исправить отмеченные проблемы», затем «Закрыть».
10. Выберите в AVZ «Сервис» – > «Менеджер расширений проводника», в новом окне снимите галочки со всех пунктов, написанных чёрным цветом. На зелёных – оставьте.
11. Запустите «Сервис» – > «Менеджер расширений IE» и нажатием крестика удалите все строки списка.
12. Перезагрузите компьютер. Вирус должен быть обезврежен.
13. Проверьте систему хорошим антивирусом.
Сообщение отредактировал halif - Суббота, 07.07.2012, 03:45 |
| |
| |
| RISEAGAIN | Дата: Суббота, 07.07.2012, 03:40 | Сообщение # 2 |
|
Майор
Группа: Проверенные
Сообщений: 95
Статус: Offline
| 4 способ.
Тоже с использованием AVZ, но ход действий немного другой.
1. На рабочем компьютере скачайте AVZ и запишите на диск или флешку.
2. Загрузите систему заражённого компьютера в безопасном режиме + командная строка (многократно нажимайте «F8» во время загрузки, в предложенном меню выберите «Безопасный режим с поддержкой командной строки» и подтвердите нажатием «Enter»).
3. Подождите загрузки системы и появления командной строки. Вставьте носитель с AVZ.
4. Введите в командную строку «explorer» и нажмите «Enter». Должно открыться окно «Мой компьютер».
5. Запустите двойным щелчком avz.exe с флешки или диска.
6. Выберите «Файл» – > «Выполнить скрипт».
7. В открывшееся окно вставьте скрипт (место «Ваш_аккаунт» вставьте имя вашего аккаунта в системе, например, «Dima», «Home» или что-то другое – то имя, под которым вы входите в систему):
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
8. Нажмите «Запустить».
9. Перезагрузите компьютер. Вирус должен быть обезврежен.
10. Проверьте систему хорошим антивирусом.
|
| |
| |
| RISEAGAIN | Дата: Суббота, 07.07.2012, 03:41 | Сообщение # 3 |
|
Майор
Группа: Проверенные
Сообщений: 95
Статус: Offline
| 5 способ.
Можно также использовать программу LiveCD от Dr. Web. С её помощью можно с CD-диска можно просканировать систему и разблокировать систему от Winlock.
Для этого придётся скачать образ программы и записать его на диск.
1. Скачайте образ - LiveCD download.geo.drweb.com/pub/drweb/livecd/drweb-livecd-600.iso или LiveUSB download.geo.drweb.com/pub/drweb/liveusb/win/drwebliveusb.exe.
2. Скачайте программу для записи образа. Например, SCDWriter exesoft.net/files/scdwriter.zip.
3. Вставьте в привод чистый диск.
4. Запустите SCDWriter и выберите «Диск» - > «Записать ISO-образ на диск».
5. Найдите на диске скачанный образ программы LiveCD (формат .iso), выставьте скорость записи, запустите процесс и ждите окончания.
4. Перезагрузите компьютер, чтобы зайти в BIOS (многократно нажимайте «Del» во время загрузки, реже это могут быть клавиши «F10», «F12» или другие).
6. Найдите в BIOS раздел, в названии которого присутствует «Boot», и выберите ваш CD-ROM в качестве первого источника для загрузки.
7. Сохраните изменения и перезагрузите компьютер. Он загрузится с диска.
8. В открывшемся меню выберите первый пункт.
9. Запустите Dr.Web Scanner и нажмите кнопку «Start» для начала сканирования.
10. Дождитесь окончания поиска и удалите найденные антивирусы.
|
| |
| |
| RISEAGAIN | Дата: Суббота, 07.07.2012, 03:43 | Сообщение # 4 |
|
Майор
Группа: Проверенные
Сообщений: 95
Статус: Offline
| 6 способ.
Подобный антивирус можно удалить при помощи скриптов Kaspersky Virus Removal Tool.
1. На рабочем компьютере скачайте Kaspersky Virus Removal Tool и запишите диск или флешку.
2. Загрузите систему заражённого компьютера в безопасном режиме + командная строка (многократно нажимайте «F8» во время загрузки, в предложенном меню выберите «Безопасный режим с поддержкой командной строки» и подтвердите нажатием «Enter»).
3. Подождите загрузки системы и появления командной строки. Вставьте диск\флешку в компьютер.
4. Введите в командную строку «explorer» и нажмите «Enter». Должно открыться окно «Мой компьютер».
5. Запустите двойным щелчком Kaspersky Virus Removal Tool
_http://www.kaspersky.ru/antivirus-removal-tool с флешки или диска.
6. Откройте вкладку «Ручное лечение», вставьте первый скрипт и нажмите «Выполнить». Затем то же самое проделайте с остальными скриптами.
begin
SearchRootkit(true, true);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Activate;
RebootWindows(true);
end.
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
begin
Executerepair(;
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
begin
ExecuteStdScr(3);
RebootWindows(true);
end.
Сообщение отредактировал halif - Суббота, 07.07.2012, 03:43 |
| |
| |
| RISEAGAIN | Дата: Суббота, 07.07.2012, 03:45 | Сообщение # 5 |
|
Майор
Группа: Проверенные
Сообщений: 95
Статус: Offline
| 7 способ.
Существуют особенно хитрые и страшные разновидности вируса – они перезаписывают загрузочную часть диска, тем самым мешая вылечить компьютер описанными выше методами. В этом случае придётся прибегнуть к способу №7.
1. Вставьте в привод загрузочный диск Windows и перезагрузите компьютер, чтобы зайти в BIOS (многократно нажимайте «Del» во время загрузки, реже это могут быть клавиши «F10», «F12» или другие).
2. Найдите в BIOS раздел, в названии которого присутствует «Boot», и выберите ваш CD-ROM в качестве первого источника для загрузки.
3. Сохраните изменения и перезагрузите компьютер. Он загрузится с диска.
4. Устанавливать новую систему не нужно. Нажмите кнопку «R» для открытия консоли восстановления.
5. В предложенном списке выберите номер, под которым значится система, восстановление которой требуется выполнить (если нужная система первая в списке, нажмите «1» и «Enter»;
если консоль спросит о вашей уверенности в выборе, необходимо будет нажать «Y» и «Enter»).
6. Наберите команды «FIXBOOT» и «FIXMBR»
Надеюсь, что данные методы Вам помогут разблокировать Ваш Windows без лишних потерь денег и переустановки системы.
|
| |
| |
