FALTONICK
03.03.2011, 16:12
.::КАК РАБОТАЕТ WINLOCK?::.
В основе работы любой версии Trojan.Winlockиспользуются штатные средства операционной системы, которыми и организовывается "блокировка Windows".
Фактически алгоритм действия примерно такой:
Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основномTrojan.Winlock находится во временных директориях используемого браузера.
Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer.
После перезагрузки ОС Вы получаете окно с вымогательствами.
.::ВВЕДЕНИЕ::.
Все чаще и чаще стал встречать winlock'ы которые просят пополнить счет мобильного телефона. Один из них меня особо улыбнул "После пополнения счета на чеке будет написан код разблокировки "
Ближе к делу. Так как теперь всякие смс делокеры не помогут.. и вряд ли когда то начнут помогать. решил написать эту мини статью чтобы как то донести до вас способы найденные мной или другими юзерами.
СПОСОБ 1
1. Самый распространенный можно сказать он очень прост) когда открылось окошко с локером жмем CTRL+ALT+DEL и все вирус убрался дальше переходим в папку с загруженным файлом и удаляем его.
! По желанию можно прогнать антивирусом комп.
СПОСОБ 2
Способ нашел сам после часу мучений как не странно он оказался самым эффективным. (по кране мере для меня)
1. Открываем OS Безопасный режим с командной строкой
2. набираем explorer.exe
3. переходим в папку с скачанным файлом и удаляем его. если не помните куда скачали можите открыть браузер и посмотреть куда же вы его сохранили)
4. дальше выполняем все что написанно ниже про файл shell и userint
СПОСОБ 3
1. Первое что нужно сделать это открыть OS в безопасном режиме с командной строкой.
2. открыли: пишем в командной строке : regedit(Открывает реестр)
3. переходим в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] находим там файл Shell там должна быть ссылка на локер типо c:\users\blabla\downloads\xxx_video.exe
копируем все, скопировали
3. дальше пишем в командной строке: del c:\users\blabla\downloads\xxx_video.exe
4.так вирус удален теперь можно удалить файл Shell или прописать в него explorer.exe без разницы,
5. находим в этой же директории файл Userinit в нем должно быть c:\windows\system32\userinit.exe, если нет то прописываем
должно получиться так:
http://i021.radikal.ru/1103/3e/6c67dfe38f04.png (http://www.radikal.ru)
6.Перезагружаем компьютер и для надежности проверяем ОС антивирусом.
СПОСОБ 4 by Fakemeker (https://antichat.live/member.php/u/147641/)
Шаг 1. Перезагрузите компьютер
В первые секунды загрузки компьютера нажимайте на клавиатуре клавишу Delete до тех пор, пока не появится окно BIOS.
Шаг 2. Измените системную дату
Чтобы изменить системную дату, выполните следующие действия:
1. Используя на клавиатуре клавиши "Стрелка вниз"/"Стрелка вверх"на закладке Main выберите пункт System Date.
2. Используя на клавиатуре клавишу Tab, перейдите к дням месяца в строке системной даты.
3. Измените число месяца как минимум на 2 дня вперед.
Шаг 3. Сохранение параметров
Сохраняем измененную дату
Шаг 4. Снова перезагружаем компьютер
После того как вы его перезагрузили , проверьте свой компьютер антивирусником
FAQили что как открыть
1.Как загружаться в безопасном режиме (Safe Mode)?
При включении компьютера, как только исчезнет первоначальный экран (этот экран, как правило, отображает тактовую частоту процессора и объем оперативной памяти, а также позволяет загрузить Setup), начинайте с периодичностью где-то в полсекунды или чуть быстрее нажимать клавишу F8. Должно появиться соответствующее меню, где Вы выбираете Безопасный режим (или Safe Mode, если версия у Вас английская)нажав на Enter, когда данная опция выбрана.
Подробнее можно здесь почитать :
http://support.microsoft.com/kb/315222
via (http://virusinfo.info/showthread.php?t=9279)
2. Как открыть Командную строку?
Пуск>Все Программы>Стандартные>Командная строка
или просто в быстром доступе набратьcmd
3. Что такое реестр?
Словарь Microsoft Computer Dictionary дает такое определение Реестра: Иерархически построенная, централизованная база данных в составе операционных систем Microsoft Windows 9x/NT/2000/XP/2003/Vista, содержащая сведения, которые используются операционной системой для работы с пользователями, программными продуктами и устройствами.
В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах файлов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах.
Подробнее (http://shkolazhizni.ru/archive/0/n-10717/)
via (http://shkolazhizni.ru/archive/0/n-10717/)
Автор: FALTONICK (https://antichat.live/member.php/u/76781/) /avatars/avatar76781.gif
Дата: 03.03.2011
источники: Antichat (https://antichat.live/), virusinfo (http://virusinfo.info) , голова)
!
При копировании статьи сохраняем авторство как мое так и тех чьи сохранены в статье
для поиска: Схватил вирус, winlock, винлок, пополнить счет, вирус, помогите, как, реестр, безопасный режим, номер, порно, антивирус, windows, 7, xp, vista.
В основе работы любой версии Trojan.Winlockиспользуются штатные средства операционной системы, которыми и организовывается "блокировка Windows".
Фактически алгоритм действия примерно такой:
Скрипт Trojan.Winlock попадает на ваш компьютер при отключенном брандмауэре Windows 7. Способы попадания используются различные, начиная от клика по "лжебаннеру" и заканчивая установкой вируса самим пользователем, который может находится в "крякнутом" платном ПО. В основномTrojan.Winlock находится во временных директориях используемого браузера.
Скрипт при активации подменят значения системного реестра. Чаще всего подменяется Shell-оболочка, по-умолчанию которой в Windows выступает Explorer. То есть вместо загрузки Explorer`а прописывается загрузка окошка с просьбой-вымогательством. При успешной "активации" это значение заменяется обратно на стандартный Explorer.
После перезагрузки ОС Вы получаете окно с вымогательствами.
.::ВВЕДЕНИЕ::.
Все чаще и чаще стал встречать winlock'ы которые просят пополнить счет мобильного телефона. Один из них меня особо улыбнул "После пополнения счета на чеке будет написан код разблокировки "
Ближе к делу. Так как теперь всякие смс делокеры не помогут.. и вряд ли когда то начнут помогать. решил написать эту мини статью чтобы как то донести до вас способы найденные мной или другими юзерами.
СПОСОБ 1
1. Самый распространенный можно сказать он очень прост) когда открылось окошко с локером жмем CTRL+ALT+DEL и все вирус убрался дальше переходим в папку с загруженным файлом и удаляем его.
! По желанию можно прогнать антивирусом комп.
СПОСОБ 2
Способ нашел сам после часу мучений как не странно он оказался самым эффективным. (по кране мере для меня)
1. Открываем OS Безопасный режим с командной строкой
2. набираем explorer.exe
3. переходим в папку с скачанным файлом и удаляем его. если не помните куда скачали можите открыть браузер и посмотреть куда же вы его сохранили)
4. дальше выполняем все что написанно ниже про файл shell и userint
СПОСОБ 3
1. Первое что нужно сделать это открыть OS в безопасном режиме с командной строкой.
2. открыли: пишем в командной строке : regedit(Открывает реестр)
3. переходим в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] находим там файл Shell там должна быть ссылка на локер типо c:\users\blabla\downloads\xxx_video.exe
копируем все, скопировали
3. дальше пишем в командной строке: del c:\users\blabla\downloads\xxx_video.exe
4.так вирус удален теперь можно удалить файл Shell или прописать в него explorer.exe без разницы,
5. находим в этой же директории файл Userinit в нем должно быть c:\windows\system32\userinit.exe, если нет то прописываем
должно получиться так:
http://i021.radikal.ru/1103/3e/6c67dfe38f04.png (http://www.radikal.ru)
6.Перезагружаем компьютер и для надежности проверяем ОС антивирусом.
СПОСОБ 4 by Fakemeker (https://antichat.live/member.php/u/147641/)
Шаг 1. Перезагрузите компьютер
В первые секунды загрузки компьютера нажимайте на клавиатуре клавишу Delete до тех пор, пока не появится окно BIOS.
Шаг 2. Измените системную дату
Чтобы изменить системную дату, выполните следующие действия:
1. Используя на клавиатуре клавиши "Стрелка вниз"/"Стрелка вверх"на закладке Main выберите пункт System Date.
2. Используя на клавиатуре клавишу Tab, перейдите к дням месяца в строке системной даты.
3. Измените число месяца как минимум на 2 дня вперед.
Шаг 3. Сохранение параметров
Сохраняем измененную дату
Шаг 4. Снова перезагружаем компьютер
После того как вы его перезагрузили , проверьте свой компьютер антивирусником
FAQили что как открыть
1.Как загружаться в безопасном режиме (Safe Mode)?
При включении компьютера, как только исчезнет первоначальный экран (этот экран, как правило, отображает тактовую частоту процессора и объем оперативной памяти, а также позволяет загрузить Setup), начинайте с периодичностью где-то в полсекунды или чуть быстрее нажимать клавишу F8. Должно появиться соответствующее меню, где Вы выбираете Безопасный режим (или Safe Mode, если версия у Вас английская)нажав на Enter, когда данная опция выбрана.
Подробнее можно здесь почитать :
http://support.microsoft.com/kb/315222
via (http://virusinfo.info/showthread.php?t=9279)
2. Как открыть Командную строку?
Пуск>Все Программы>Стандартные>Командная строка
или просто в быстром доступе набратьcmd
3. Что такое реестр?
Словарь Microsoft Computer Dictionary дает такое определение Реестра: Иерархически построенная, централизованная база данных в составе операционных систем Microsoft Windows 9x/NT/2000/XP/2003/Vista, содержащая сведения, которые используются операционной системой для работы с пользователями, программными продуктами и устройствами.
В реестре хранятся данные, которые необходимы для правильного функционирования Windows. К ним относятся профили всех пользователей, сведения об установленном программном обеспечении и типах файлов, которые могут быть созданы каждой программой, информация о свойствах папок и значках приложений, а также установленном оборудовании и используемых портах.
Подробнее (http://shkolazhizni.ru/archive/0/n-10717/)
via (http://shkolazhizni.ru/archive/0/n-10717/)
Автор: FALTONICK (https://antichat.live/member.php/u/76781/) /avatars/avatar76781.gif
Дата: 03.03.2011
источники: Antichat (https://antichat.live/), virusinfo (http://virusinfo.info) , голова)
!
При копировании статьи сохраняем авторство как мое так и тех чьи сохранены в статье
для поиска: Схватил вирус, winlock, винлок, пополнить счет, вирус, помогите, как, реестр, безопасный режим, номер, порно, антивирус, windows, 7, xp, vista.