Лечение компьютерных вирусов и троянов в примерах
Самостоятельное лечение компьютера с помощью спец утилит (AVZ,
UVS...)
Примеры лечения вирусов/троянов
Дата публикации: 20.08.2012
(обновлено 07.10.2012).
Подопытный: троян-вымогатель Trojan.Winlock.6412
и другие
Анализ Virus Total:
смотреть (на дату публикации).
Данный зловред блокирует Windows, выводит на экран информацию, что для разблокировки нужно перевести 2000 рублей на номер абонента МТС: +79170193973. При загрузке через Безопасные режимы Windows на экране также появляется баннер и компьютер блокируется. Само тело зловреда находится в том месте, где был произведен его запуск, т.е. он не копирует себя в определенные папки, а добавляется в автозапуск по месту его запуска пользователем.
Данная инструкция для лечения может использоваться не только для лечения именно этого вируса, она поможет удалить любой другой подобный зловред своими руками за несколько минут.
Для лечения компьютера будем использовать любой LiveCD и утилиту Universal Virus Sniffer (UVS).
Загрузитесь на зараженном компьютере с LiveCD, затем запустите программу UVS (файл start.exe). Укажите программе папку зараженной Windows (скорее всего, C:\WINDOWS), для этого нажмите кнопку "Выбрать каталог Windows...".
Затем нажмите "Запустить под текущим пользователем".
Если что-то не понятно, то можете также почитать статью "Лечение блокираторов-вымогателей с помощью программы Universal Virus Sniffer" на сайте antivir.host22.com.
Нажмите F4 чтобы скрыть чистые файлы. Убедитесь, что стоят галки на "Срыть проверенные" и "Скрыть известные".
Утилита UVS выделяет тело вируса во вкладку "Подозрительные и вирусы", что значительно упрощает лечение компьютера.
Снимите сигнатуру с тела вируса (щелчок правой кнопки мыши по файлу и выбрать "Добавить сигнатуру файла в вирусную базу") , затем нажмите кнопку "Проверить список", а затем нажмите "Убить все вирусы". Если не понятно, то читайте мануал "Краткая инструкция по использованию утилиты Universal Virus Sniffer".
Т.к. лечим компьютер с LiveCD, то не следует нажимать клавишу F6 для считывания цифровых подписей. Иначе утилита UVS может присвоить статут "подозрительный объект" многим чистым системным файлам!
Для удаления вируса данного типа, вышеуказанных действий достаточно, и можно загружаться обычным способом - вирус удален. Но стоит учитывать, что в вашем случае может быть какая-то другая модификация вируса, поэтому советую также выполнить раздел "После удаления вируса/трояна" мануала "Краткая инструкция по использованию утилиты Universal Virus Sniffer".
- Другие пролеченные вымогатели по данной инструкции -
Т.к. лечение троянов-вымогателей однообразно, то вымогатели, которые поддаются лечению с помощью инструкции выше, не будут отдельно обсуждаться, а будут кратко рассмотрены ниже:
WinLock "Министерство Внутренних Дел Украины" имеет примерно такой фейс:
Троян предлагает для разблокировки Windows отправить 250 грн на кошелек Qiwi +380665300919. Вымогатель устроен сходно с вымогателем, который рассматривается выше. Отличается только рисунком баннера.
После излечения компьютера, запустите утилиту AVZ, в "Параметрах поиска" поставьте галку на "Автоматически исправить системные ошибки" и нажмите "Пуск". Будет убрано последствие заражения (модифицирован ключ запуска проводника).
WinLock "Windows заблокирован" на черном фоне имеет примерно такой фейс:
Файл данной версии зловреда: C:\WINDOWS\Sound.exe, лечение выше описано. Портит настройки загрузки в Безопасном режиме Windows, поэтому после удаления баннера запустите Мастер поиска и устранения проблем AVZ.
WinLock "WINDOWS ЗАБЛОКИРОВАН!", известный антивирусам, как Win32:IRCBot-EPO [Trj] (Avast) / BackDoor.IRC.Bot.1647 (DrWeb) / Trojan.Win32.Buzus.liff, Trojan-Ransom.Win32.PornoAsset.tba (Kaspersky):
Троян предлагает пополнить номер МТС (но может быть другой) на 500 рублей (но может быть любая сумма) для разблокировки компьютера.
WinLock "Обнаружена пиратская копия Windows", известный антивирусам, как TR/Agent.460288.12 (AntiVir) / Win32/LockScreen.ALT (ESET-NOD32) / Artemis!82D1A373327D / McAfee:
Данный вымогатель предлагает отправить 200 рублей на webmoney кошелек R422325390324 для разблокировки компьютера. Интересно, что реакция известных в России антивирусов была запоздала: ссылка (зловред уже знали AntiVir, Avast, AVG, но его не видели DrWeb, F-Prot, Kaspersky, Microsoft).
WinLock "WINDOWS ЗАБЛОКИРОВАН!", известный под именами "a variant of Win32/Kryptik.ALVM" (ESET-NOD32), "Trojan-Ransom.Win32.PornoAsset.vqr" (Trojan-Ransom.Win32.PornoAsset.vqr):
Предлагает отправить 2000 рублей на номер билайна 79091515868 за разблокировку компьютера. После удаления трояна, запустите "Мастер поиска и устранения проблем" AVZ.
WinLock "WINDOWS заборкирвоан!", известный под именами "Win32:Zbot-PNA [Trj]" (Avast), "BackDoor.Andromeda.82" (DrWeb), "a variant of Win32/Injector.WQT" (ESET-NOD32):
Предлагает пополнить кошелек WebMoney номер U360036169040 на сумму 300 грн. Лечить этот вымогатель можно без LiveCD, т.к. Безопасный режим Windows с поддержкой командной строки не блокируется: зайдите через него, введите в командной строке explorer и нажмите Enter - загрузится Проводник.
WinLock "Ваш компьютер был заблокирован из-за просмотра детской порнографии" известный под именами Trojan.Winlock.origin (DrWeb), Win32/LockScreen.XP (ESET-NOD32), Trojan:Win32/LockScreen.BW (Microsoft):
Предлагает отправить СМС с текстом "14121516 спасибо" на номер
5373 (Россия) или на номер 2404
(Украина). Универсальная инструкция по лечению, которая рассмотрена
выше, без проблем убирает этот баннер. После загрузки обычным способом
следует запустить "Мастер поиска и устранения проблем"
AVZ для восстановления Безопасного режима
Windows. Кстати, у меня получилось
свернуть окно баннера с помощь клавиш [win]+[d],
так что его можно удалить и без LiveCD.
Информация об этом зловреде: файл: C:\Windows\Help.exe
(скрытый), реестр: HKLM\ software\ Microsoft\ Windows\ CurrentVersion\
Policies\ Explorer\ Run\Help
