Компания "Доктор Веб" предупреждает о появлении новой вредоносной программы, блокирующей доступ к инфицированному компьютеру.
Обнаруженный троян получил название Winlock.19. Программа распространяется через Интернет под видом поддельных кодеков и при включении компьютера предлагает ввести специальный код, якобы необходимый для регистрации нелицензионной копии операционной системы Windows. Ну а чтобы получить этот код, необходимо отправить текстовое сообщение с мобильного телефона на платный номер.
Примечательно, что Winlock снабжен функцией самоуничтожения и удаляет себя через два часа после запуска. Компания "Доктор Веб" не рекомендует пользователям идти на поводу у злоумышленников и отправлять куда бы то ни было СМС.
Для тех, кто не хочет ждать два часа до автоматической деинсталляции трояна, "Доктор Веб" подготовил специальную форму, в которую можно ввести текст предполагаемого короткого сообщения и получить код разблокировки. Найти форму можно на этой странице.
Как избавиться от трояна!
«Доктор Веб» помогает избавиться от троянца, блокирующего доступ к системе
10 апреля 2009 года
Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.
В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе. Данная вредоносная программа была добавлена в вирусную базу Dr.Web под именем Trojan.Winlock.19. Ее модификации уже автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin.
Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.
Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS. Установленный на компьютере Dr.Web оперативно выявляет данную угрозу и уничтожает ее. При возможном заражении в случае применения другого антивирусного ПО, пользователь всегда может воспользоваться формой, разработанной специалистами «Доктор Веб».
Удаление Trojan-Ransom.Win32.Blocker своими руками
Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера.
Сам по себе Trojan-Ransom.Win32.Blocker несложно удалить при помощи AVZ, AVPTool или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Мне стало интересно, всё ли так безнадежно и может ли пользователь сделать что-либо без спецсредств, Live CD и особых технических знаний. После ряда опытов обнаружился очень простой алгоритм:
Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Собственно, действия после запуска IE элементарны: можно пролечить ПК, сделать логи и карантины по правилам форумов «Лаборатории Касперского» и VirusInfo и удалить зловредов.
Ответ
Удалял вирус через " безопасный режим с командной строкой " после чего в командной строке вводил " explorer.exe " и [Enter] - Открывается проводник, а там с Flash карты (или с др. носителя) загрузил AVZ - <файл> - <мастер поиска и устранения проблем> - должен найти что то на подобии " проводник модифицирован.. " и после чего отметьте галочкой все нужные пункты и нажмите " Исправить отмеченные проблемы ", если не получится, тогда попробуйте выбрать нужные пункты <файл>- <Восстановления системы> - <...>
