Зловредный троян, предположительно Winlock 3300

[Focus_V]

27 апреля я чудно подхватил данный вирус с сайта ex.ua.
Спокойно наслаждался просмотром фильа онлайн и вдруг раз - баннер на весь экран с требованиями оплатить 300 грн на веб кошелек.
С подобными проблемами я сталкиваюсь не первый раз, поэтому работал спокойно и уверенно. С помощью другого ноута скачал свежий Доктор Веб, загрузился с флешки Live USB и стал сканировать комп.
Было найдено несколько вирусов (Winlock 3300, BackDoor и т.д.). После окончания сканирования проделал все по инструкции http://ru.wikipedia.org/wiki/Trojan.Winlock, отредактировал реестр, но при перезагрузке с диска С, снова выползал такой же баннер, но уже с другим номером веб-кошелька.
Естественно, что кодов разблокировки под оба веб-кошелька гугл не находил.
После 3х дневных мук я плюнул и переставил винду. Честно говоря, очень раздосадован. Обычный алгоритм борьбы дал сбой.

 

[Prorab]

После 3х дневных мук я плюнул и переставил винду. Честно говоря, очень раздосадован. Обычный алгоритм борьбы дал сбой.

В след. раз попробуй вот этот инструмент. Не поможет - тогда уже руками чистить (если знаешь как), или винду переставлять..

 

[Focus_V]

Руками пока не чистил. Имеется в виду редактирование реестра?

 

[Prorab]

Имеется в виду редактирование реестра?

Да, загрузка в какой-нить windows PE, подключение реестра и чистка его веток автозапуска. Затем всякие временные папки\папка кеша браузера. Короче, выкорчевывать эту вирусню руками довольно утомительно, лучше воспользоваться каким-нить готовым решением.

 

[bigbo]

Разве возможно подхватить вирус, ничего не запуская? Просто смотря фильм онлайн?

 

[Prorab]

Разве возможно подхватить вирус, ничего не запуская? Просто смотря фильм онлайн?

Через дыру в браузере и какой-нить зловредный скрипт, эксплуатирующий эту дыру, легко..

 

[Focus_V]

Точно помню, что смотрел сериал Ментовские войны на ЕХ.УА. Смотрел через Оперу. Никаких других вкладок.
Тут бац - и баннер. Прямо посреди фильма.

Добавлено через 2 минуты

Да, загрузка в какой-нить windows PE, подключение реестра и чистка его веток автозапуска. Затем всякие временные папки\папка кеша браузера. Короче, выкорчевывать эту вирусню руками довольно утомительно, лучше воспользоваться каким-нить готовым решением.

Я примерно так и делаю, пользуюсь Live usb, но в этот раз почему то не помогло.
Что характерно, поменяешь параметры реестра (в режиме live usb), перезагрузишь комп - а там снова баннер, потом снова проверяешь реестр - параметры вернулись на прежнее место(

 

[Alex]

меня в подобных случаях спасал касперский лайв-сиди

 

[Focus_V]

Меня вот такой глупый вопрос волнует: если я гружусь с "alkid live usb", захожу в "Выполнить", regedit ... Я ведь редактирую реестр Винды на моем компьютере?
И потом, он просто сохраняется после изменений, или нужны дополнительные действия?

 

[Maxxx]

После 3х дневных мук я плюнул и переставил винду.

Ну и зря, методы не все были перепробованы. Обычно в таких случаях снимается винт и лечится на здоровом компе с использованием минимум 3х антивирей.

ЗЫ: а вообще получаю удовольствие от работы с МакОсь (ну или Линух - для тех, кто им пользуется) - конечно не буду утверждать, что они идеальны в этом плане, но во всяком случае гадость так нагло не пролезет.

 

[Refery]

Меня вот такой глупый вопрос волнует: если я гружусь с "alkid live usb", захожу в "Выполнить", regedit ... Я ведь редактирую реестр Винды на моем компьютере?
И потом, он просто сохраняется после изменений, или нужны дополнительные действия?

Немного не так, нужно подключать кусты реестра своей системы, править, сохранять и выгружать. Простым запуском регэдита ты правишь реестр с "alkid live usb"

 

[Prorab]

Меня вот такой глупый вопрос волнует: если я гружусь с "alkid live usb", захожу в "Выполнить", regedit ... Я ведь редактирую реестр Винды на моем компьютере?

Нет, ты редактируешь реестр винды, которая грузится с живого CD.. А в Alkid live usb есть инструментарий, находится в "пуск - программы - ERD Commander 2005" Вот сперва там сделай "выбор директории Windows" - укажи папку винды на диске C (или где она там у тебя), а затем "Утилиты - редактор реестра". Вот теперь ты редактируешь реестр своей зараженной винды..

 

[nostromo]

27 апреля я чудно подхватил данный вирус с сайта ex.ua.

... А мыши плакали, кололись, но продолжали жрать кактус работать в винде из под админа. Юзер готов терпеть вирусы, трояны, потерю данных и потерю денег, только бы не урезать у себя права.

 

[sanioktlf]

вообще получаю удовольствие от работы с МакОсь

А под Яблочной осью телефоны шьются легко? Или надо каждый раз в таких случаях бежать к компу с Выньдой? Или поганять тестовую прогу для бортового компа автомобиля, или просто и банально запустить тот же Аксесстель ПСТ для настройки антены. Если это все может Яблочная ось, то ей просто цены нет. Видишь ли, сидеть и просто и тупо смотреть фильмы онлайн, мультики, и(или) посмотреть какую нить инфу в инете, то да, возможно твоя захваленная ось и прокатит, но мы ведь не такие простые, нам на компе много ещё другого надо делать. Я лично на своём нетбуке (он у меня на работе) кроме того, что я выше написал, ещё по работе его ганяю, прошиваю определённое оборудование телеуправления, частотные преобразователи эл.двигателей и т.д и т.п. Все это было бы закрыто для меня под непобедимой Яблочной осью и только из-за того, что под неё просто вышеуказанный софт не адаптирован и не на моём уровне решать такое и заставлять разрабов портировать софт под Яблочную ось, ибо под ней у нас, на территории СНГ работает мизерный процент юзверей.
Лично я против Яблочного Стива и его конторы не имею ничего против, ибо ихние достижения невозможно преуменьшить, но так уж они себя поставили в лице своих пользователей, одев личину чего то закрытого и не сильно доступного.

Добавлено через 1 минуту

... А мыши плакали, кололись, но продолжали жрать кактус работать в винде из под админа. Юзер готов терпеть вирусы, трояны, потерю данных и потерю денег, только бы не урезать у себя права.

Не смеши, системы из под прав не-админских заражаются не менее хорошо.

 

[Focus_V]

Спасибо. Ну я и тормоз.
А по работе в винде из под юзера, какие плюсы в плане избавления от трояна?

 

[Prorab]

А по работе в винде из под юзера, какие плюсы в плане избавления от трояна?

Теоретически, троян не сможет себя никуда прописать кроме домашней папки\ветки реестра того юзера, из-под которого работаешь с ограниченными правами. Т.е загрузившись из-под админа, можно удалить файлы трояна\почистить реестр.. Ну а как на деле обстоять будут дела - х\з.

 

[Refery]

Ну а как на деле обстоять будут дела - х\з.

Ну так и будут. Жена под учеткой юзера где-то хватанула такую штуку. Я потом из под админа спокойно кюритом пролечил.

 

[Focus_V]

Ага. То есть следует создать учетку юзера и только из под нее лазить в инет.

 

[PRADA]

Focus_V, а антивирус у тебя какой стоит, который пропустил?

 

[Refery]

Focus_V, а антивирус у тебя какой стоит, который пропустил?

А смысл? Жене Аваст красное окно с предупреждением выдал, что мол что-то хочет запуститься, но всеравно нажала запустить.