Поиск по этому блогу

вторник, 31 января 2012 г.

Новая модификация Trojan.Winlock.5310

В сети появилась новая модификация винлока Trojan.Winlock.5310
Скрыто текстовое поле для ввода кода и кнопка.
Текстовое поле на самом деле есть и код разблокировки для него есть, но они скрыты.




Для того,чтобы ввести код-необходимо

1)Щелкнуть мышкой в районе скрытого поля,при этом курсор сменит свой с такого

на вот такой


Это текстовое поле примерно находится вот здесь


2)Вводим указаный код и щелкаем немного правее (там скрытая кнопка)




номера для этого винлока и код

79067981365
79091511808
79091614692
79636628464
79670182110
79636614148
79091574574
79091514971
79060970801
79091514971

код: 205985414

код: 9485739234



Ручное удаление.

1)Включить машину, нажать и держать клавишу F8


2)Выбрать Безопасный режим с поддержкой коммандной строки.



для Windows 7






для Windows XP






3)В появившемся черном окне консоли ввести regedit.exe и нажать энтер.



4)В редакторе реестра щелкнуть по папке HKEY_CURRENT_USER
далее по Software
и так весь путь

HKEY_CURRENT_USER==>Software ==> Microsoft ==> Windows NT ==> CurrentVersion ==> Winlogon



5) Щелкнуть правой кнопкой по ключу Shell


6)Выбрать Изменить

7)Выделить в текстовом поле весь путь к файлу, потом щелкнуть правой кнопкой мышки -Копировать.
(запомните весь путь к файлу..или запишите на бумажку вам ведь потом прийдется этот файл найти и удалить)



8)Теперь нажать Отмена

9)Выделить ключ Shell и щелкнуть правой кнопкой мышки -Удалить.



10)Щелкнуть Правка-Найти




11)Вставить, тот путь что у нас скопирован (щелкнуть правой кнопкой мышки-Вставить).



12)Нажать Найти далее.

13)Каждый найденый ключ удаляем


14)Снова щелкаем Правка-Найти далее  (найденое удаляем) пока не появится вот такое окошко


15)Закрываем редактор реестра

16)В консоли вводим shutdown -r





И нажимаем энтер. Ждем пока машина перезагрузится.
Нормально загрузиться.



17)Теперь находим этот файл в проводнике и просто удаляем.
Если не можете найти-пишите на почту mrbelyash@yandex.ru удаленно залезу и найду его

Или скачиваем свежий Dr.Web CureIT или Kaspersky Virus Removal Tool и проверяем машину.

Видео как удалить этот винлок вручную


P.S.

Ключи в реестре

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Shell = "c:\documents and settings\Администратор\Рабочий стол\xxx_porno.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell= "C:\Documents and Settings\Администратор\Рабочий стол\xxx_porno.exe"

В некоторых случаях создается ключ еще вот здесь

HKEY_USERS\S-1-5-21-1482476501-602609370-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run
"Shell"="C:\\Documents and Settings\\Администратор\\Рабочий стол\\xxx_porno.exe"

 S-1-5-21-1482476501-602609370-839522115-500- на других машинах может быть разным. Так что лучше воспользоваться поиском.  

18 комментариев:

Анонимный комментирует...

Спасибо...=0)

Анонимный комментирует...

А нет случайно кода на номер 89137884581 (просит пополнить счет на 1000 руб в течении 12 часов)??? Оч нужно..,помогите,пожалуйста!!!

Unknown комментирует...

у новых нет кода разблокировки

Анонимный комментирует...

Большое спасибо за помощь, все коды по перепробывал не помогло, а в ручную легко убрал, Спасибо респект тебе

Анонимный комментирует...

сейчас номер 79636343547 (до этого были 79645276375, 79670416991) F8-нажимаю, ничего не происходит, что делать, подскажите пожалуйста

Анонимный комментирует...

Спасибо! Продолжай в том же духе!!! РЕСПЕКТ!

Анонимный комментирует...

Красавчик, помог, спасибо!)

Анонимный комментирует...

А если нет папки shel

Unknown комментирует...

Правка-Найти
shell

потом несколько раз нажимать найти далее

Анонимный комментирует...

Огромная Человеческая Благодарность!

Анонимный комментирует...

молодчик спс

Анонимный комментирует...

Спасибо за ваш труд ребята!!!

Анонимный комментирует...

Спасибо большое, дай Бог тебе здоровья!

Анонимный комментирует...

спасибо пара минут и комп спасен!!!

Анонимный комментирует...

В моём случае был ещё файл xxx_porno(1).ru

Анонимный комментирует...

спасибо это работает!!!

Анонимный комментирует...

спасибо

Анонимный комментирует...

Всем привет . для тех у кого не запускается безопасный режим предлогаю самый сельский метод добраться до реестра и провести вышеуказанную процедуру , причём канает она и самых последних версий винлока не имеющих кодов разблокировки . И так - после нажатия кнопки "Полбзователь" начинаем тупо интенсивно нажимать " Ctrl+Alt+Del" теперь когда появилось окно Диспетчер задач , а оно появится ибо скорость загрузки диспетчера превышает скорость загрузки трояна , у вас есть 5-7 сек чтобы выбрать новую задачу "regedit" исразу же появится редактор реестра который нужно перетащить так чтобы его верхний левый угол совпал с верхним левым углом винлока который появится через 1-3 секунды , теперь окно реестра находится поверх окна трояна и даже ограниченный ход стрелки по дисплею не станет помехой для использования функций редактора реестра и вы спокойно можете провести процедуру очистки описанную топикстартером .С уважением