Забавный случай
На днях произошел довольно забавный случай, но не со мной, а с одним компьютером. А случилось следующее, в один прекрасный день на рабочем столе Windows появился баннер, весь из себя такой яркий, красивый. На нем красовались три раздетые по грудь девушки, ниже был текст, о том что пользователь его установил по собственной воле и желанию, что он не блокирует никоим образом работу машины. А также, что немаловажно, просил отослать на номер 8353 определенный текст, дабы избавиться от назойливого розового чудовища.
Ну что же, диагноз ясен, перед нами типичный троянец, если быть точным, то Trojan.Winlock. Целый класс зловредов, вымогающих у пользователей ПК деньги за то, чтобы вернуть все как было, то есть за собственное уничтожение. Внешний вид у них - кто во что горазд, от девушек в вызывающих позах, до страшных текстов, гласящих, что использование копии операционной системы нарушает авторские права ее создателей и чтобы ее "легализовать" срочно надо отправить что-то куда-то и терпеливо ждать. Некоторые из подобного рода программ имеют ограниченную длительность действия, от нескольких дней, до месяца и более, о чем сами прямым текстом и заявляют.
Ну у человека, знакомого с компьютерами и Интернетом, скорее всего и не возникнет желания отсылать злосчастное СМС на короткий номер по ряду причин.
Во-первых: никто не гарантирует, что вам придет ответное сообщение с кодом, а даже, если и придет, то код подойдет.
Во-вторых: с вашего счета будет счислена сумма гораздо большая, чем указанная на баннере. Скорее всего со счета вы утратите от 500 до 1500 рублей.
Но вернемся к нашему конкретному случаю. Определим круг наших возможностей. На всякий случай было проверено, что перезагрузка не помогает. Выяснилось что троянец блокирует доступ ко всем программам на машине, более того невозможно нажать кнопку "Пуск", ни одна кнопка из панели быстрого доступа также не функционирует. Нажатие правой кнопки мыши также было неактивным, то есть не вызывалось контекстное меню. Я уж умолчу о том, что диспетчер задач и командная строка, редактор реестра были недоступны. Иными словами все что было доступно, это ввод кода в соответствующее поле баннера.
Ну что же, троянец оказался весьма неприятным, но мы не из робкого десятка. Перезагружаем компьютер в безопасном режиме. Но все что мы видим - это тот же баннер по центру и опять невозможность каких-либо действий. Не отчаиваемся.
Перезагружаемым ПК в нормальном режиме и пытаемся вводить в баннер различные коды, сначала наобум - не помогает. Заходим в Интернет с другой машины, ищем сайты, позволяющие по данному номеру и адресу отправки выяснить заветный код активации, а если быть точным, то дезактивации зловреда. Такие сервисы предоставляют практически все ведущие антивирусные лаборатории, будь то Kaspresky, ESET, и далее по списку, а также сайт virusinfo.
Первое куда я попал, это сервис дезактивации компании Доктор Веб (Dr.Web), там же я выяснил точное название трояна Trojan.Winlock.2060. Та еще мерзость. Увы коды предложенные на сайте не подошли. На других сайтах результат был еще хуже, мне не смогли предложить вообще никаких кодов для моей комбинации номер/текст сообщения.
Мытарства мои длились еще добрых часа два. И, когда руки уже почти опустились, помощь пришла, откуда ее совсем не ждали. Я нажал на кнопку выключения ПК на клавиатуре, и первое что исчезло с экрана - бы тот самый баннер. Далее быстро, создаю документ блокнота и ОС предлагает его сохранить. Жму "отмена" и вуяля получаем рабочую ос, без мерзости на экране.
А далее уже дело техники. Regedit. проходим по соответствующим веткам реестра сначала в HKEY_LOCAL_MACHINE, где ищем вкладку Run, и убираем оттуда все подозрительное, если там ничего не нашлось ищем в HKEY_CURRENT_USER и очищаем от мусора туже вкладку. Скачиваем утилиту доктора веб (CurreIt) она бесплатна, затем на всякий пожарный похожей утилитой от Kaspersky. Урааа. Дело сделано. После перезагрузки баннера как не бывало. Все работает в штатном режиме.
The End
Ну что же, диагноз ясен, перед нами типичный троянец, если быть точным, то Trojan.Winlock. Целый класс зловредов, вымогающих у пользователей ПК деньги за то, чтобы вернуть все как было, то есть за собственное уничтожение. Внешний вид у них - кто во что горазд, от девушек в вызывающих позах, до страшных текстов, гласящих, что использование копии операционной системы нарушает авторские права ее создателей и чтобы ее "легализовать" срочно надо отправить что-то куда-то и терпеливо ждать. Некоторые из подобного рода программ имеют ограниченную длительность действия, от нескольких дней, до месяца и более, о чем сами прямым текстом и заявляют.
Ну у человека, знакомого с компьютерами и Интернетом, скорее всего и не возникнет желания отсылать злосчастное СМС на короткий номер по ряду причин.
Во-первых: никто не гарантирует, что вам придет ответное сообщение с кодом, а даже, если и придет, то код подойдет.
Во-вторых: с вашего счета будет счислена сумма гораздо большая, чем указанная на баннере. Скорее всего со счета вы утратите от 500 до 1500 рублей.
Но вернемся к нашему конкретному случаю. Определим круг наших возможностей. На всякий случай было проверено, что перезагрузка не помогает. Выяснилось что троянец блокирует доступ ко всем программам на машине, более того невозможно нажать кнопку "Пуск", ни одна кнопка из панели быстрого доступа также не функционирует. Нажатие правой кнопки мыши также было неактивным, то есть не вызывалось контекстное меню. Я уж умолчу о том, что диспетчер задач и командная строка, редактор реестра были недоступны. Иными словами все что было доступно, это ввод кода в соответствующее поле баннера.
Ну что же, троянец оказался весьма неприятным, но мы не из робкого десятка. Перезагружаем компьютер в безопасном режиме. Но все что мы видим - это тот же баннер по центру и опять невозможность каких-либо действий. Не отчаиваемся.
Перезагружаемым ПК в нормальном режиме и пытаемся вводить в баннер различные коды, сначала наобум - не помогает. Заходим в Интернет с другой машины, ищем сайты, позволяющие по данному номеру и адресу отправки выяснить заветный код активации, а если быть точным, то дезактивации зловреда. Такие сервисы предоставляют практически все ведущие антивирусные лаборатории, будь то Kaspresky, ESET, и далее по списку, а также сайт virusinfo.
Первое куда я попал, это сервис дезактивации компании Доктор Веб (Dr.Web), там же я выяснил точное название трояна Trojan.Winlock.2060. Та еще мерзость. Увы коды предложенные на сайте не подошли. На других сайтах результат был еще хуже, мне не смогли предложить вообще никаких кодов для моей комбинации номер/текст сообщения.
Мытарства мои длились еще добрых часа два. И, когда руки уже почти опустились, помощь пришла, откуда ее совсем не ждали. Я нажал на кнопку выключения ПК на клавиатуре, и первое что исчезло с экрана - бы тот самый баннер. Далее быстро, создаю документ блокнота и ОС предлагает его сохранить. Жму "отмена" и вуяля получаем рабочую ос, без мерзости на экране.
А далее уже дело техники. Regedit. проходим по соответствующим веткам реестра сначала в HKEY_LOCAL_MACHINE, где ищем вкладку Run, и убираем оттуда все подозрительное, если там ничего не нашлось ищем в HKEY_CURRENT_USER и очищаем от мусора туже вкладку. Скачиваем утилиту доктора веб (CurreIt) она бесплатна, затем на всякий пожарный похожей утилитой от Kaspersky. Урааа. Дело сделано. После перезагрузки баннера как не бывало. Все работает в штатном режиме.
The End