Удаляем баннер Trojan Winlock

Подробнее в моем блоге
В последнее время баннеры — это самая распространенная зараза на компьютерах пользователей, подцепить его очень легко, достаточно щелкнуть по какой-нибудь подозрительной ссылке и ваш компьютер после перезагрузки или следующего включения засияет вот таким вот окном или ему подобным.



Клавиатура вашего компьютера будет скорей всего заблокирована, поэтому комбинации горячих клавиш ctrl+alt+del, alt+tab работать не будут, поэтому сразу переходим к действиям.

1. Перезагружаем компьютер, при загрузке нажимаем клавишу F8.

Появляется окно с выбором метода загрузки, выбираем пункт меню Безопасный режим с поддержкой командной строки и нажимаем кнопку Enter на клавиатуре.



2. Откроется окно с командной строкой в нем вводим regedit.exe



3. В открывшемся окне редактора реестра находим ветку HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon ищем ключ Shell в нем скорей всего будет прописан какой-нибудь статический адрес.



В нашем случае это C:\Documents and Settings\admin\Мои документы\downloads\viidsti.exe. Вот как раз таки этот файл viidsti.exe и есть этот злобный баннер.

4. Правой кнопкой мыши щелкаем по ключу Shell и в выпадающем меню выбираем изменить.



Выделяем имя файла viidsti.exe и копируем его в буфер обмена, в моем случае это viidsti.exe в вашем может быть абсолютно другой. Советую записать имя файла на бумажку, так как из буфера обмена вы можете случайно потерять имя, забыв про то что у вас там что-то хранится. Путь к файлу трояна тоже рекомендую записать, но можно и просто запомнить.

5. Удаляем ключ Shell, щелкаем правой кнопкой мыши и нажимаем удалить в контекстном меню.



6. Переходим в ветку реестра HKEY_USERS и нажимаем F3 или же выбираем в меню Правка—>Найти, вставляем имя нашего троянца в поле поиска и нажимаем кнопку найти далее.



7. Удаляем все найденные ключи





Поиск продолжаем до тех пор пока не появится надпись Поиск в реестре завершен



8. Закрываем редактор реестра и в командной строке вводим explorer.exe



9. Далее переходим в Пуск—>Панель управления—>Свойства папки



Во вновь открывшемся окне переходим из вкладки Общие во вкладку Вид и убираем галочку с пункта Скрывать расширения для зарегистрированных типов файлов и обязательно переставить точку на Показывать скрытые файлы и папки



Нажимаем OK.

10. Теперь поиском Windows или через Проводник ищем нашего троянца, если из буфера обмена имя пропало, вводим вручную с бумажки.



Найденный файл удаляем, перезагружаем компьютер и наслаждаемся прежней работой компьютера.

После удаления трояна настоятельно рекомендую сделать полную проверку компьютера на вирусы лечащей утилитой Cureit от Dr.Web http://www.freedrweb.com/cureit

Иногда описанный выше способ может не помочь и потребуется загрузочный LIVE CD

Пресс если честно я никогда данным вопросом не задавался, обычно я только удаляю,ты хочешь кому-нить подкинуть?)

На зайцев нет тогда тебе путь) там куча всякой муры, каспер постоянно на фишинг атаки там реагировал.
Я просто из под Мак оси сижу, поэтому не страшно.

Не отрицаю что под мак ось вирусов нету, они есть, но винда изначально под админом, в мак ос чтобы что-то установить нужно ввести пароль root'а
Просто опять же вирусы пишут в большинстве под Windows так как она более распространена, чем мак ось

Все бы так да не совсем,для того чтобы запустить bat файл прав администратора ненужно, а в bat файл можно прописать все что угодно, а разместив такой bat файл за каким-нибудь банером или ссылкой, можно наделать делов. Опять же можно написать bat который будет на подобии баннера и будет править реестр, зная нужные ключи можно заблокировать все)

Ну так я не загонялся, но напримере маршрутизации пример тебе приведу.
Чтобы не писать руками в cmd каждую команду создал файл 1.bat в него запихал маршруты и сохранил. По щелчку по 1.bat маршруты добавились без проблем и ничего не спросили, делал под XP буквально два дня назад, под 7кой думаю будет тоже самое, прав админа думаю не спросит, чуть позже комп собиру проверю.
Хотя вот тебе пример батника, на выход из системы, советую перед запуском закрыть все проги и сохранить документы.
Потом кликать по батнику
http://narod.ru/disk/54458284001.98706c44457ec9a9dabc5d9b55a72327/1.bat.html

Запускал на 7ке домашней базовой ничего не спросило абсолютно

Попробовала у себя- комп выключился. Хорошо, хоть денег не попросил. У меня 7-ка.

Я не понимаю о чём речь. Такой файлик-как баннер. Кликнул и вуаля. Кликнула на файлик и всё вырубилось. Тоже самое произошло бы с баннером. Или нет?

На счет браузера не согласен, не спросит он, покрайней мере не всегда. Порой не всегда касперский срабатывает internet security на фишинг атаки. Поэтому тут вопрос спорный. Насчет маршрутизации просто пример привл что не спрашивает, если интересно про реестр как будет больше свободного времени от работы обязательно проверю, bat файл был всего-лишь примером, я нигде не писал что банеры пишутся батниками, скорее они прописываются в библиотеках dll и exe файлах, последние более распространены. Как по мне так написать такой банер особо труда не составит, вопрос только в том, а зачем?

fernir Приятно общаться с технически грамотным человеком.
По поводу dll и exe согласен что расчитано на дурака, но не все баннеры и вирусы просят скачать их, типа для просмотра видео утсановите вот этот flash плеер или кодек и т.п., тут да пользователь по наивности ставит сам, потом комп перезагружают по просьбе установленной программы, кодека или просто выключают, при следующем включении компа можно в лучшем случае увидеть текст, в худшем голые жопы)) Далее юзверь по свое же наивности идет пополнять счет в элекснет и ждет на чеке код разблокировки, ну бред же, нужно же хоть иногда головой чуть подумать, как он будет код печатать то?
Ну да ладно, но я знаю случаи когда человек ничего не делал, стоял касперский интернет секьюрити, на зайцев.нет скачивал песню, в итоге комп повис и выключился сам, после того как включился на столе появился баннер. Собственно вопрос почему не сработал антивирус на фишинг атаку и почему не сработал как ты говоришь в браузере фаервол. После того как баннер я убрал я посмотрел логи касперского там было чисто,т.е. атаки он даже не видел.
По поводу маршрутов точно могу сказать в бат файле ничего не спрашивает.
Опять же есть вирусы которые в C:\Windows\System32\drivers\etc в файл hosts дописывают себя и комп по умолчанию заходит только на одну страницу фишингово содержания, так например пароли воруют в контакте и одноклассниках. Так что дыр в винде до сих пор хоть отбавляй, но по большому счету во всем виноват всегда пользователь

Хорошо если жопы, а не улечат в просмотре педофилии. У меня так один знакомый мужик поймал перед приездом дочки, на ее компьютере, стыдно наверное стало, пошел в элекснет оплатил пять соток, расстроился что баннер не убрался и начал мне названивать раз 25 позвонил, я не мог ответить.

Ржал долго, мало того что сам способ создания гавно так и голос за кадром просто убил :bj:

после просмотра вот этого видео ржал не меньше, особенно с комментов. Но с каким умным видом тетка прогоняла слушателям, обомлеть))