Тёрка в тагах


Друзья

Его(61) Общие(0) Хотят дружить(0)


  • ABychkov

  • Adisseya

  • ALKONAFT-2000

  • ALLEXX

  • apalon879

  • astep

Ещё →

Враги

Его(14) Общие(0) Обиженные(1)


  • 193

  • 38936

  • Andreas31

  • bneatar

  • Dj0rni

  • Ivan-x18

Ещё →

Большая Тёрка / Мысли / Личная лента kaant /


kaant

Удаление WInlocker'а со статьей УК РФ о педофилии.

Безопасность, security, антивирус, windows 7, винлокер, winlocker, КПД , Конкурс КПД 

Итак, мне вчера жутко повезло - я словил на свой ноут винлокера, который мне угрожал статьей УК РФ о том, что у меня на компе есть материалы педофильного содержания.

К сожалению, имя винлокера я не знаю, но могу привести картинку, как он выглядит в суе:

alt

У него есть одна особенность - к нему нет ключей разблокировки (по крайней мере, сколько я искал, так и не нашел). После каждой перезагрузки компьютера, номер телефона меняется на другой.

Процесс

Итак, собственно, сам процесс удаления винлокера.

Сразу оговорюсь, что испытания проходили на Windows 7. Поэтому, повествовать буду относительно её интерфейса. Хотя, в целом, принцип один и тот же на всех системах. Да, и это реконструкция событий. :)

Винлокер появляется сразу после загрузки экрана приветствия. Но у нас есть одно преимущество - если разрешение экрана выставлено правильно, то вокруг окна винлокера еще дожно будет остаться пространство, оно будет залито какимлибо цветом (например, черным).

Для работы нам понадобится, всего-лишь, системный RegEdit. И все!

Чтобы до него добраться, нам нужно будет пролезть через дебри окошек.

1. Жмем Ctrl + Alt + Del. Открывается экран задач. На нем будет нужна кнопка "Специальные возможности" (в левом нижнем углу). В этом окошке нужно будет поставить галочку включения экранной клавиатуры. Закрываем экран задач, но клавиатуру оставляем открытой!!!

2. Далее, на клавиатуре нам будет нужна кнопка "Справка".

alt

Принцип всего этого действия заключается в том, что нам нужно добраться до любой папки, например, до Проводника или Мой компьютер, и т.п.

В Windows 7 сделать это можно через окно любой справки (это единственное, что доступно во время блокировки винлокером).

3. На этом шаге нам нужно будет пройти по пути, как на картинке:

alt

А в Свойствах браузера вот так:

alt

4. После нажатия кнопки "Задать программы", откроется, по сути, окно Проводника. Из него можно получить доступ ко всем папкам и файлам компьютера!

alt

5. Теперь, в поле поиска вводим запрос - regedit. Поисковик винды найдет этот файл. Запускаем его и идем по пути:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Здесь нам нужно изменить два ключа:

- Shell

- Userinit

Но, прежде чем менять их значения, запишите путь и файл, которые находились там ранее (это путь и файл вируса!).

- значение в shell меняем на Explorer.exe

- значение в userinit меняем на userinit.exe

Перезагружаем компьютер. Все готово.

После перезагрузки нужно проследовать по ранее записанному пути и удалить ранее записанный файл. Ну и, желательно, проверить комп, например, Malwarebytes' Anti-Malware.

38 комментариев

TimVl

kaant, а нельзя выйти в безопасный режим и оттуда сразу перейти к 5-му пункту?

2 комментария

kaant

TimVl, неа, вирус и там работает... но мало того, он там на весь экран, потому что разрешение экрана ниже.


Frezot

TimVl, безопасный режим спасал года три назад. сейчас вирусы пишутся хитрее


Fluky

kaant, педофилина проклятаяКулфейс

1 комментарий

kaant

Fluky, ога


Masian28

kaant, вчера его же удалял вот так

1)качаем свежий выпуск от drweb cure it,кидаем на флэшку.
2)загружаем Windows в обычном режиме
3)видим баннер
4)нажимаем Shift несколько раз (обычно около 5-ти), пока не выскочит окно про залипание клавиш.
5)жмем на «перейдите в центр специальных возможностей,чтобы..»
6)пишем в поле справа вверху (где написано "Поиск в панели управления") например «выполнить»
7)в самом низу ищем строчку «искать „выполнить“ в центре справки и поддержки», жмем на нее.
8)откроется Справка и поддержка.Жмем на значок принтера ("печать")
9)во вкладке «Общие» жмем на «найти принтер»,ищем в окошке любую папку,щелкаем по ней правой кнопкой и жмем на «открыть в новом окне».
10)ищем флешку в «моем компьютере»,запускаем cure it.Поставьте на полную проверку!

в моем случае cureit нашел файл 22cc6c32.exe и PPPPPP55555.exe, обозначив их как Trojan.Fakealert.21474
также на рабочем столе может обнаружиться файл test.exe

затем
1)открываем диспетчер задач, нажимаем «Новая задача» и вводим «regedit»
2)Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/MicrosoftWindows NT/CurrentVersion/Winlogon
3)Переходим на правую панель редактора реестра и проверяем два параметра «Shell» и «Userinit». Значением параметра Shell должно быть «Explorer.exe». Параметр Userinit — «C:\WINDOWS\system32\userinit.exe,» (обязательно в конце запятая)!
4)Если параметры «Shell» и «Userinit» в порядке, находим раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options и разворачиваем его. Если в нем присутствует подраздел explorer.exe, удаляем.

2 комментария

Frezot

Masian28, через пять шифтов не лазил. возьму на заметку )


Frezot

Masian28, проверил на виртуалке. можно ещё проще — после пятого шага перед нами окно «Настроить залипание клавиш», а у него есть адресная строка. жмак — C: — enter — profit!


Frezot

kaant, а не проще через win+u добраться?

1 комментарий

kaant

Frezot, неа, у меня заблочено было


Fobos

kaant, no‑brain использование копьютера дало свои плоды.

6 комментариев

Masian28

Fobos, ты один «продвинутый пользователь»Кулфейс

3 комментария

kaant

Fobos, но, подобные ситуации give experience

1 комментарий

MagnusDominus

kaant, прикольно! Не знал, что есть такое. Рад что хоть что‑то делается в направлении броьбы с педофилами и разочарован данным пособием для педофилов. Надеюсь ФСБ напишет вирус покруче, от которого не избавиться без кода разблокировки.

18 комментариев

TimVl

MagnusDominus, ты сейчас фактически обвинил kaant в просмотре изращенного видеоКулфейс

17 комментариев

ua9oas

Запрашивает Миша Рыцаревъ

У меня об этих секс‑грехах такой вопрос: если после неудачнаго удаления этой заразы загружается пустой рабочий стол и попытка вызвать диспетчер задач выдает надпись что «диспетчер задач отклонен администратором», то как тогда систему реанимировать? (в т.ч. если есть какой либо линукс‑дистрибутив с livecd либо установлен в качестве второй ОС на "винте"). Да и вообще- рекомендую лучше две ОС ставить. Я под линуксом ни разу никакой заразы не ловил).

Если кто все же перевел деньги на счета мошенников, то есть ли шанс их вернуть? (особенно если они их вывести еще не успели. А каковы их доходы? (говорят- приличные)).

Если мобильному оператору пожаловаться о том, что абонентский номер такой‑то используется для мошенничества, то будут ли они принимать меры? (если платеж туда был уже после того, как меры были приняты, то тогда насколько легче будет аннулировать такой платеж и вернуть деньги? Либо как пытаться вернуть деньги, если виновных задержали? (а их вообще ищут? Боюсь,- обычно не ищут)) Или будет все та же проблема, что описана например тут- telecomblog.ru/?p=11338 (т.е. то, что мобильные операторы те меры, которые они принимают, это все намного хуже или намного позже, чем могло‑бы быть. Причина не техническая а нравственная- они с этого соучастия слишком большой % имеют).

Кроме того запросите на yandex что «Ленин болел сифилисом».

1 комментарий

Masian28

ua9oas, епона мать, с нгса мем пришел