Война с sms локером Winlock

19 Feb 2013 | Автор: anchous |

Попался мне тут в очередной раз ноут, инфицированный одной из модификаций Trojan.Winlock. То есть стандартный sms локер, предлагающий занести денег в размере тысячи рублей на какой то телефон от МТС.

Блокировка выскакивала сразу на загрузке входа Windows, что в обычном режиме, что в безопасном, так что пришлось кумекать как мне убить зловреда.

Собственно первой попыткой я хотел было скачать Rescue Disk от Касперского, но он качался слишком долго, так что мне это дело довольно быстро надоело и я снял аналогичный диск с Dr.Web, причем в отличии от каспера- это исполняемый архив, который сам раскрывается на флешку, так что не надо морочиться на тему того как из ISO файла сделать загрузочную диске. И хотя это элементарно делается через UltraISO (Самозагрузка -> Записать образ жесткого диска), Rufus или FUSBi (для создания Линухов LiveCD, кстати, есть еще одна тулза UNetbootin), тем не менее Dr.Web LiveCD оказался крайне удобен.

Грузимся с него и запускаем полную загрузку, так как очистка временных директорий, в моем случае, не возымела успеха- пропустил вирь сидевший в корневой папке пользователя C:\Users\USERNAME\

Поскольку вирь был известен для Dr.Web LiveCD то и проблем особых не возникло, в противном же случае пришлось бы прибегать к помощи либо к WinPE&uVS 3.77, то есть загрузочному WinPE с интегрированным Universal Virus Sniffer (uVS), который собственно и вылавливает зловредов; либо же пришлось бы прибегнуть к ERD Commander: набору мелкомягких тулзов Microsoft Diagnostics and Recovery на основе загрузчика WinPE, с помощью которого можно почистить автозагрузку в реестре от запуска всяких пакостей.

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)

Теги:

Один отзыв на «Война с sms локером Winlock»

  1. Автор: geleznayaskidka на 06 Mar 2013

    Делжу для таких целей флешку с Boot MiniCD Strelec, а то часто просят помочь владельцы нетбуков, а у этой сборки возможностей побольше

    [Reply]

    VA:F [1.9.21_1169]
    Rating: 0.0/5 (0 votes cast)
    VA:F [1.9.21_1169]
    Rating: 0 (from 0 votes)

Ваш отзыв