Перейти к содержимому


Фото
* * * * * 1 Голосов

Как удалить Winlock своими силами!


  • Закрыто Тема закрыта
12 ответов в этой теме

#1 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 21 Июнь 2010 - 15:33

Подмена локером Explorer.exe в Shell (реестр) и как с этим быть.
Данный пример не панацея от всех винлоков в мире, но такой расклад встречается довольно часто.
Ну и пример как использовать ERD против винлока.
-----------------------------------

-----------------------------------
Следующим видео (если это не прикроют) будет пример с userinit, как восстановить и как найти покореженный файл.
-----------------------------------
ERD Commander
www.surfpatrol.ru

#2 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 21 Июнь 2010 - 15:37

МолодЦа! Полезно.
Можно найти русский ERD :) + ERD Commander v5.0 - для XP, v6.0 - для Vista, v6.5 - для Windows 7, учитываем свою ОС -> x86 или x64!

+ Как зайти в BIOS, настройка BIOS для загрузки с CD/DVD/USB - справка http://forum.drweb.com/public/style_emoticons/default/wink.png
можно вызвать бут-меню, удерживая F8 (может быть F12...) при включении компьютера и выбрать нужный CD/DVD/USB.
+ часто нужно поменять в BIOS настройки IDE/SATA контроллера на совместимые (типа, Native IDE, но название может отличаться, в зависимости от BIOSa) - что-бы не было ошибок при загрузке ERD... потом вернуть все как было!
+ можно создать загрузочную флешку, а не CD:
попробуем, например, UltraISO нам подойдет триальная версия с ограничением файла в 300 Мб. Русский язык присутствует.
Далее все просто и быстро:
1. Открываем нужный файл.iso - Меню: Файл -> Открыть
2. Далее - Меню: Самозагрузка -> Записать образ жесткого диска (да.. вот такой перевод...)
3. Выбираем нужную флешку из списка подключенных устройств.
4. Выбираем подходящий Метод записи, по умолчанию - USB-HDD+, можно и USB-HDD попробовать.
5. Жмем Форматировать, а после - Записать. Получаем загрузочный USB диск.

или пробуем WinSetupFromUSB with GUI - обратить внимание - Stable versions - vers. 0.2.3, но и последние беты хорошо работают. или почитать здесь или здесь...кто в инглише не силен. Иногда нужно изменить расширение образа с iso на img...
+ Для запуска Dr.Web CureIt!® в загруженном LiveCD/DVD/USB его необходимо запускать с ключом /not_use_shield (Пуск->выполнить->указать путь к файлу CureIt! и дописать в конце /not_use_shield)

Сообщение было изменено PAUK: 04 Февраль 2011 - 17:34

"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#3 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 21 Июнь 2010 - 17:20

Локер прописывает себя в разделе реестра в ветке RUN.
Данный пример не панацея от всех винлоков в мире, но такой расклад встречается очень часто.
Ну и пример как использовать ERD против винлока.
----------------------------------

www.surfpatrol.ru

#4 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 21 Июнь 2010 - 18:54

Локер использует планировщик заданий Windows.
Данный пример не панацея от всех винлоков в мире, но такой расклад встречается хотя редко.
Ну и пример как использовать ERD против винлока.

---------------------------

---------------------------
www.surfpatrol.ru

#5 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 22 Июнь 2010 - 17:05

Локер против userinit + утилита Беляша.
Данный пример не панацея от всех винлоков в мире, но такой расклад встречается регулярно.
Ну и пример как использовать ERD против винлока.
---------------------

---------------------
Поскольку это нашествие, не регулируется государством, а антивирусные компании физически не могут перекрыть весь поток этой гадости.
Разумно будет постигать азы самообороны самостоятельно, в 70% случаев, проблема решается за 10 минут. Именно это я и пытаюсь воплотить.

www.surfpatrol.ru

#6 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 22 Июнь 2010 - 17:06

 Нафига?Тем более она старая  и только для опытов.

-----------

Как в биос ставить диск можно кинуть скриншотом....Виртуалка только собьет  
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#7 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 14 Июль 2010 - 11:51

Вот еще про восстановление системы средствами ERD:
восстановление состояния системы на дату ДО заражения.


Сообщение было изменено PAUK: 27 Январь 2011 - 15:37

"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#8 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 05 Ноябрь 2010 - 17:14

+++ по последним наблюдениям, восстановление без ERD:

1) используем безопасный режим загрузки Windows:
Пробуем восстановить состояние системы на дату ДО заражения. (для справки читаем ЗДЕСЬ)
-> для Windows 7 можно воспользоваться родной, встроенной средой восстановления Windows RE
(загружается самостоятельно, без загрузки ОС, ERD не нужен!)
Пробуем "Восстановление запуска", если не помогло - запускаем "Восстановление системы".

-> для Windows XP иногда есть возможность загрузиться в безопасном режиме с поддержкой командной строки,
загружаемся и в консоли набираем команду %systemroot%\system32\restore\rstrui.exe
(или C:\WINDOWS\system32\Restore\rstrui.exe, если Windows установлена по умолчанию), жмем ввод - запустится Мастер восстановления. Для 7 и Vista вводим %systemroot%\system32\rstrui.exe
-> если восстановление не удалось, но командная строка работает - можно пробовать запустить Проводник (в консоли - %SystemRoot%\explorer.exe или C:\WINDOWS\explorer.exe) или Редактор реестра (в консоли - %SystemRoot%\regedit.exe или C:\WINDOWS\regedit.exe) и исправить нужные нам параметры, описано ниже в п.2.
-> если все вышеперечисленное не удалось, но командная строка работает - прямо в ней вводим последовательно строчки (внимательно!):
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d Explorer.exe /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d userinit.exe, /f
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 145 /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplorer.exe" /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

после каждой строчки - жмем ввод (Enter)! потом пробуем перезагрузитья в нормальном режиме (пробуйте после первых двух).
так-же можно запустить предварительно скачанный и распакованный на флешку .cmd файл, который выполнит все вышеперечисленное. скачать.

2) "на удачу" и/или восстановление после удаления винлока:
иногда сбои в "работе" винлоков дают возможность легко запустить диспетчер задач (Ctrl+Shift+Esc или Ctrl+Alt+Del), мы опять получаем возможность запустить Мастер восстановления системы:

Отправленное изображение

+ запустите %SystemRoot%\system32\restore\rstrui.exe (или можно C:\WINDOWS\system32\Restore\rstrui.exe, если Windows установлена по умолчанию)
и далее:

Отправленное изображение
Отправленное изображение

или, так же - через диспетчер задач, можно запустить Редактор реестра и исправить нужные нам параметры
(например, часто отсутствует рабочий стол после удаления винлока)
это в любом случае придется делать тем, у кого восстановление системы отключено "врагами":
+ запускаем %SystemRoot%\regedit.exe (или можно C:\WINDOWS\regedit.exe, если Windows установлена по умолчанию)
и далее:

Отправленное изображение

ищем и проверяем ветку реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell -> должно быть значение Explorer.exe

Отправленное изображение - пример.

щелкнуть по параметру Shell и изменить значение на правильное - т.е. стираем что есть и пишем Explorer.exe
Сразу проверяем значения
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit -> должно быть значение userinit.exe,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell -> должно быть значение cmd.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot -> должно быть значение cmd.exe
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options -> НЕ должно быть параметров explorer.exe и/или taskmgr.exe - УДАЛИТЬ!
в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system -> НЕ должно быть параметра DisableTaskMgr - УДАЛИТЬ! -> после исправлений - перезагрузка.
+ смотрим подозрительные файлы в папке автозагрузки и в ключах реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

трояны могут маскировать свои файлы под "настоящие" системные файлы, например, в ключе shell может вызываться explorеr.exe, у которого в названии одна из букв - в русской раскладке, а в ключе Userinit - userinet.exe, может содержать русскую букву е... Поэтому лучше всего самим перенабрать эти строки и проверить пути загрузки.
-> если Редактор реестра заблокирован - пробуем запустить консоль %systemroot%\system32\cmd.exe (C:\WINDOWS\system32\cmd.exe) через Диспетчер задач или нажав комбинацию Win+R, и уже в консоли ввести команды из п.1. Полезно почитать Если что-то отключено

3) когда все заблочено и безопасный режим не работает - ищем обходные пути:
иногда сбои в "работе" винлоков дают возможность запустить, например, экранную лупу... тогда можно попытаться запустить браузер или редактор реестра или восстановление системы:
-> жмем Win+U-> вызов Диспетчера служебных программ и далее так:
Отправленное изображение
Отправленное изображение
Отправленное изображение
Отправленное изображение

-> или так попытаться:

Отправленное изображение
Отправленное изображение

смотрим какие принтеры есть или выбираем "Установка принтера", например:

Отправленное изображение

-> жмем правый Shift 5 раз подряд или дольше 8 секунд - появляется окно запроса фильтрации ввода (Залипание клавиш):
в нем жмем Параметры и далее:

Отправленное изображение

далее - как выше описано.

т.е. ИЩЕМ выход... возможность запустить справку/браузер...т.к. и из них можно запустить C:\WINDOWS\regedit.exe или cmd.exe или explorer.exe http://forum.drweb.com/public/style_emoticons/default/smile.png
В браузере можно нажать в меню Файл -> Открыть -> Обзор (или Открыть файл) и запустить нужную программу...

-> иногда получается разблокировать рабочий стол так: нажимать клавишу Win и пытаться правой кнопкой мыши вызвать меню подозрительного приложения на мигающей внизу панели задач и выбрать пункт - закрыть окно... или нажимать комбинацию клавиш Ctrl+Shift+Esc , и в это же время пытаться мышкой снять подозрительную задачу в мигающем диспетчере... иногда локер можно закрыть так: при загрузке системы часто нажимать комбинацию Alt+F4. Пробовать все и в безопасном режиме!
-> На некоторых клавиатурах есть дополнительные клавиши для вызова приложений и функций - пробуем их...
-> Пробуем стандартные сочетания клавиш Windows:
жмем Win+M - Свернуть все окна.
жмем Win+D - Отображение рабочего стола.
жмем Win+стрелка вниз - Свертывание окна.
жмем Win+E - Открытие компонента «Компьютер».
жмем Win+F - Поиск файла или папки.
жмем Win+R - Открытие диалогового окна «Выполнить».
жмем Win+PAUSE - Открытие диалогового окна свойств системы.
жмем Alt+F4 - закрыть активное окно...
да, и такое бывает срабатывает :rolleyes:
Далее - запускаем редактор реестра или восстановление системы, как выше описано.

НЕ забываем, что после всех манипуляций, необходимо проверить свой компьютер свежим Dr.Web CureIt!® !!!

Сообщение было изменено PAUK: 12 Март 2011 - 18:12

"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#9 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 02 Февраль 2011 - 16:31

Винлок меняет место прописки.


www.surfpatrol.ru

#10 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 02 Февраль 2011 - 17:42

Как нейтрализовать винлок штатными средствами windows.
Способ срабатывает редко, но как вариант для рассмотрения имеет место быть.




Особенность у этого способа одна, после того как вы увидели баннер перегружаем ПК и жмем F8 до тех пор пока не покажет альтернативные способы загрузки и восстановления системы.
www.surfpatrol.ru

#11 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 13 Февраль 2011 - 18:46

Новые приемы маскировки Винлоков в системе. И как с этим быть....


www.surfpatrol.ru

#12 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 04 Июнь 2011 - 12:34

Отправленное изображение

Инструкция как удалять Trojan.WinLock.3278

-в виде chm

md5:72AF727880F1827BB0AF5C0664C44C1C

-в виде exe

md5:06425E44E8C87087CB2DAABBC6CA3B7D

или вот в архиве

md5:D3B3935B05603D7E86E9D2DD19AD3039

Сообщение было изменено mrbelyash: 04 Июнь 2011 - 18:56

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#13 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 21 Сентябрь 2011 - 11:15

Инструкция+ролик как собрать логи с помощью Dr.Web LiveCD/LiveUSB.

В архиве с логами будет содержимое реестра, дампы mbr и некоторые дополнительные файлы.
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых