(TROJ_VB.ACD, TR/Dropper.Gen, Trojan.Win32.Sovest.m, BehavesLike:Win32.Malware, Trojan:Win32/Sisproc, Trojan.Agent.JF, KillApp.L, Parser error, Trojan.VB.NID, Generic.cd, Trojan.Win32.Sovest.v, Generic.dx, BackDoor.Generic2.IIE, Trojan:Win32/Bumat!rts, VirTool:Win32/Obfuscator.M, Trojan.Win32.VB.bav, Trojan.Win32.Sovest.g, Backdoor.Pcclient.HR, Trojan Horse, Trojan:Win32/Provis!rts, Generic.BPD, TROJ_AGENT.WPQ, Trojan.Win32.Sovest.k, TROJ_AGENT.ABW, Trojan.Agent.VB.AQG)

Добавлен в вирусную базу Dr.Web: 2005-09-20

Описание добавлено: 2006-01-31

Тип вируса : Троянская программа

Уязвимые ОС : Win NT-based

Размер : 119 296 байт

Упакован : -

Техническая информация

Информация по восстановлению системы

Необходимо обратиться в Службу технической поддержки "Доктор Веб" для получения инструкций по восстановлению работоспособности системы.

Windows macOS Linux Android

1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.

1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light . Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
   • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
   • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт

Окно Trojan.Winlock 19

Trojan.Winlock (Винлокер ) - семейство вредоносных программ , блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009-2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги»), либо баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии ». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Классификация различных вендоров

• Trojan.Winlock – по классификации компании Доктор Веб.
• Trojan-Ransom – по классификации компании Лаборатория Касперского.
• Trojan.LockScreen – по классификации компании ESET.

Предыстория

Первая программа-вымогатель появилась в декабре 1989 года. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за её восстановление с пользователей требовали денег. Первый SMS-блокер был зарегистрирован 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

Описание

Trojan.Winlock, имитирующий синий экран смерти

На данный период времени сотрудниками различных антивирусных компаний зафиксировано несколько тысяч различных видов винлокеров. Наиболее ранние типы требовали за разблокировку не более 10 рублей, а если пользователь оставлял включённым компьютер на некоторое время, то они самоуничтожались (к примеру Trojan.Winlock 19 сам удалялся без следа через 2 часа.) Однако позднее появились более опасные разновидности, которые не удалялись сами по себе и требовали за разблокировку уже от 300 до 1000 рублей.

Винлокеры ориентированы преимущественно на российских пользователей, позже появились и зарубежные версии. В них использованы методы социальной инженерии . Обычно необходимость выплаты денежной суммы объясняется использованием нелицензионного программного обеспечения или просмотром порнофильмов. Следует отметить, что в большинстве случаев заражение происходит именно с порносайтов . Достаточно часто причины необходимости отправки SMS или способы получения кода звучат абсурдно, например, «Ваш компьютер заблокирован за просмотр порнографии с несовершеннолетними и зоофилией . Для разблокировки компьютера необходимо пополнить баланс телефона в любом терминале оплаты. После оплаты код разблокировки должен появиться на чеке оплаты». Не редки орфографические ошибки. Более того, практически на всех баннерах написано предупреждение, о том, что попытка обмануть «систему оплаты» приведёт к нарушению работы компьютера или уничтожению данных. В некоторые из них даже встроен таймер обратного отсчёта, по истечении времени которого вирус обещает уничтожить все данные пользователя. Чаще всего, это простая угроза, убеждающая пользователя отдать злоумышленнику деньги. Однако, некоторые версии действительно снабжаются инструментами для уничтожения данных, но из-за низкого профессионализма авторов, особенностями установки или по другим причинам они чаще всего не срабатывают должным образом.

Заражение может произойти во время запуска программ, маскирующихся под инсталлятор какой-нибудь добросовестной программы или самораспаковывающиеся архивы . При этом в «лицензионном соглашении» (которое рядовой пользователь редко читает) оговаривается, что пользователь согласен установить на компьютер приложение «рекламного характера», которое он обязан просмотреть определённое количество раз, либо отказаться от просмотра, отправив SMS. Число требуемых просмотров обычно идёт на тысячи, поэтому пользователи предпочитают отправлять SMS злоумышленнику.

Вид «интерфейса» троянов очень красочен и разнообразен. Но в большинстве своём их объединяет либо схожесть со стандартными меню Windows, либо наличие порнографического материала (фото, гораздо реже анимации и видео, используя возможности Adobe Flash), а также окно для ввода кода разблокировки. Есть разновидности, очень похожие на синий экран смерти или стандартное окно приветствия Windows. Также не редки случаи, когда они маскируются под антивирусную программу (например Антивирус Касперского).

Trojan.Winlock условно можно разделить на 3 типа, в зависимости от того, насколько они затрудняют работу для пользователя:

• 1 тип - это баннеры или порноинформёры, появляющиеся только в окне браузера. Наиболее легко удаляемый тип. Обычно они выдают себя за дополнительные плагины или надстройки для браузера.
• 2 тип - это баннеры, которые остаются на рабочем столе после закрытия браузера и при этом закрывают большую его часть. Но у пользователей обычно остаётся возможность открывать другие программы, в том числе диспетчер задач и редактор реестра.
• 3 тип - это тип баннеров, который загружается после полной загрузки рабочего стола Windows. Они закрывают практически весь рабочий стол, блокируют запуск диспетчера задач, редактора реестра, а также загрузку в безопасном режиме. Некоторые разновидности полностью блокируют клавиатуру, предоставляя пользователю лишь цифровые клавиши из своего «интерфейса», и рабочую мышь для ввода кода.

Что делать в случае заражения Trojan.Winlock

См. также

Примечания

Ссылки

• AntiWinLocker - Специальный LiveCD для удаления вируса-вымогателя
• Способы борьбы с программами-вымогателями класса Trojan-Ransom

Вредоносное программное обеспечение
Инфекционное вредоносное ПО

Жулики шагают в ногу со временем, и все современные новшества становятся эффективным оружием в их лапах. Миллионы россиян уже стали жертвами компьютерного вируса Троян Winlock 8854 . Сюжет практически один, компьютер внезапно зависает, на экране всплывает картинка: "Внимание! Компьютер заражен вирусом, а дальше алгоритм к действию". Как убрать Троян Winlock 6999 и всё восстановить к прежнему виду? Всего лишь надо выслать sms на номер, стоимость такого смс составляет от 500 до 2500 рублей или пополнить на такую же сумму номер абонента МТС или Билайн!

Заражение вирусом семейства Trojan Winlock 8004, 3300, 2868, 6049, 7443 и других, после чего заблокирован windows trojan winlock 8811, дело рук жуликов. Вы можете оказаться пленником мошенников, если заплатите за смс, пополните номер, счет. Либо на помощь вызывайте компьютерного мастера на дом , так как в зоне риска все пользователи у кого есть интернет. Хватит даже того, что вы скачиваете мультфильм или видео игру, из ненадёжного источника и, здравствуйте, Trojan Winlock 3333 уже у Вас на ПК.

Справится с баннером Winlock простой перезагрузкой операционной системы компьютера практически невозможно. План аферистов прост, хочешь, не хочешь, а, не разобравшись как удалить Winlock, смс или деньги пошлешь. Не вздумайте этого делать ни в коем случае. Отослав сообщение, вы практически передаете жуликам свой номер телефона, и они от вас не отвяжутся. Когда вы отправляете свой номер и код подтверждения, предоставленный на сайте, тут же жулики получают авторизацию у оператора сотовой связи и, в принципе, могут списывать средства с вашего номера еще ни один раз! Только не отчаивайтесь! Как и со всеми вирусами Trojan Winlock 7285 можно удалить с компьютера.

Как удалить Trojan Winlock 8811

Разблокировка Trojan Winlock через реестр

Если загрузка через безопасный режим у нас не получается, то для доступа к операционной системе понадобится загрузочный диск. Загружаемся с любого загрузочного CD. После чего необходимо зайти в реестр, для его редактирования, так как троян Винлок зачастую прописываются именно там. Для тех, кто не знает, как туда попасть, зажимаем на клавиатуре кнопки и прописываем команду . Вам необходимо попасть в раздел реестра:

Исправляем тут параметры: Shell на [explorer.exe, ], параметр Userinit на [C:WINDOWS\SYSTEM32\userinit.exe, ]. Обязательно помним про запятую в конце строки. Вуаля, троян Winlock обезврежен. Теперь загружаемся как обычно и довольствуемся своей работой!

Как разблокировать trojan winlock 8811 с помощью утилиты KasperskyRescuDisk10, записанную на загрузочную флешку

Для чего нужно записывать KasperskyRescuDisk10 на флешку. Дело в том, что компьютер, который заражен баннером Winlock, загрузить в обычном режиме не получится. Поэтому придется доверится флешке и лечить компьютер с нее.

Первый этап. Записываем ISO-образ KasperskyRescueDisk10 на USB носитель с помощью запуска утилиты rescue2usb.exe

Для разблокировки Windows Trojan Winlock 6198 нам понадобится утилита KasperskyRescueDisk10. Заходим на сайт Касперского по url http://www.kaspersky.ru/support/viruses/rescuedisk/all?qid=208642325. И находим строчки «Скачайте образ KasperskyRescue Disk10».

Здесь нам нужно скачать два файла: ISO-образ KasperskyRescueDisk10 и утилиту для записи этого образа на USB, то есть на флешку. Можно, конечно, записать на компакт диск, но все-таки с флешкой намного проще работать. Нажимаем на файлы и скачиваем их – это займет некоторое время. Прежде чем записать образ на флешку, ее нужно отформатировать. Нужно иметь в виду, что все важные данные, которые есть на флешке будут удалены. Как только все скачали на компьютер. Нужно запустить утилиту rescue2usb.exe, чтобы записать образ kav_rescue_10.iso.

Сначала запускаем утилиту и нажимаем на кнопку . В окне утилиты автоматически определяется нужный носитель и остается только задать путь к образу. Для этого нажимаем на кнопку [Обзор]…и подкрепляем файл с образом. Нажимает [Открыть] и кнопку [Старт]. Пошел процесс записи. Итак, как только утилита завершила свою работу Rescue Disk успешно записан нажимаем [ОК] и закрываем окно.

Второй этап. Настройка загрузки компьютера с флешки

У неопытных пользователей могут возникнуть сложности из-за незнания как загружаться с других устройств. Для этого необходимо настроить BIOS Setup.

Чтобы зайти в настройки BIOS в момент включения компьютера нажимайте или . Здесь нам требуется настроить ПК на загрузку с установочного диска. Для новигации по разделам используйте стрелочные клавиши. Переходим в раздел . В разделе Boot нужно настроить приоритет загрузочных устройств. Для этого выберите раздел и нажмите .

В выбранном разделе Boot Device Priority увидите 1 загрузочное устройство, 2, 3 и т.д. Они пронумерованы. Выберите 1 загрузочное устройство и . Из под меню выберите ваш флеш носитель. Чтобы сохранить измененные параметры и выйти из настройки БИОС, перейдите в раздел выберите нажмите . Загрузочное устройство настроено.

Третий этап. Загружаем компьютер с флешки

Как только система загрузилась необходимо нажать на любую клавишу для того чтобы загрузиться именно с флешки. После нужно выбрать язык, естественно мы выбираем русский, с помощью клавиш со стрелками и подтверждаем . Теперь система начнет загружаться именно с русским интерфейсом и нужно подождать еще некоторое время. Далее должно появиться лицензионное соглашение, можете его прочитать. Как прочитаете, нажимайте клавишу для того чтобы принять условие и продолжить.

В появившемся диалоге выбираем – [Графический режим] + . Происходит загрузка. И как только запустился диск нужно разблокировать первоначально Windows. Для этого на панели задач нажимаем на первый значок в строке - это буква «К» – Меню запуска приложений. И здесь выбираем пункт [Терминал], щелкнув по нему левой кнопкой мыши.

Запускается консоль, в которой надо прописать специальную команду для запуска разблокировки, а именно команду , кликнув курсором в конце строчки. . Происходит загрузка программы и нам предлагается выбрать один из вариантов: 1 - Разблокировать Windows, 2 – Сохранить копии загрузочных секторов, 0 – Выход.

Так как нам нужна разблокировка Windows trojan winlock, вводим . и происходит обработка реестра. Программа должна выдать, что несколько операций произведены успешно, реестр исправлен. Поэтому нам нужно выйти нажимаем + , либо просто закрываем окно. Как с этим этапом справились нужно провести проверку на компьютерные вирусы .

Для того чтобы окончательно удалить троян Винлок из операционной системы. Прежде всего, нужно обновиться. Поэтому в окошке KasperskyRescue Disk10 заходим во вкладку [Обновление] и нажимаем на кнопку [Выполнить обновление], как правило, программа автоматически определяет соединение с интернетом и производит обновление. Этот процесс занимает определенное время. Как только антивирусные базы обновились, и статус баз поменялся на Актуальны. Запускаем проверку антивирусом Касперский .

Переходим на вкладку [Проверка объектов] и нажимаем на кнопку [Выполнить проверку объектов]. При обнаружении вирусов семейства trojan winlock 6426, 9260, 2741, 8615 и других программа сама предложит, что с ними сделать: лечить, удалить, перенести в карантин и т.д. Как правило, вирусы такие не излечимы, и их только удалять.

ЗДЕСЬ САМОЕ ВАЖНОЕ: вы все делаете на свой страх и риск, так как у вас могут быть заражены какие-либо файлы, документы и естественно придется их удалять в любом случае, если они не излечимы.

Разблокировка Trojan Winlock Касперский и Доктор Веб

Чтобы найти trojan winlock 8811 код разблокировки воспользуйтесь на не зараженном компьютере бесплатными сервисами антивирусов Dr.Web Winlock и Касперский, по определению кодов разблокировки для вируса Троян Winlock. После того как определите коды разблокировки, введите их все! Если хоть один код подойдет, вы можете себя похвалить с удачным завершением операции. Данный способ не всегда является эффективным для лечения вируса троян Винлок.

Помните для того что бы избежать этих проблем, на вашем компьютере должен быть установлен и правильно настроен один из этих антивирусов .

Если все выше перечисленные способы по удалению вируса вам не помогли, звоните в наш компьютерный сервис мы вам обязательно поможем!

Как поступить, если вирус заблокировал систему Windows и требует отправить платное SMS сообщение.

То, насколько быстро и широко распространится компьютерный вирус, зависит от разных факторов, но определяющим является удачность его попадания в Интернет, то, насколько подготовлена виртуальная среда обитания вируса к его появлению. В непрерывной череде вирусов лишь единицы смогут действительно широко распространиться. Большинство же очень быстро обезвреживают, анализируя и занося сигнатуры в базы антивирусных программ. Однако попадаются отдельные вирусы, которые могут доставлять неприятности пользователям на протяжении долгого времени, за которое вредоносные программы могут испортить немало информации.

Trojan.Winlock - как раз такой вирус. Попадая на компьютер, он прописывает себя в автозагрузку, после чего блокирует интерфейс операционной системы Windows при помощи специального сообщения, в котором требует отправить на указанный номер SMS-сообщение для того, чтобы пользователь мог продолжить работу в Windows. Как правило, вирус содержит сообщение с обвинением в использовании нелицензионных программ или пиратской версии Windows XP.

Как правило, чтобы выглядело убедительней, обвинения предъявляются от лица корпорации Microsoft - официального производителя и поставщика операционной системы Windows. Либо сообщение обвиняет пользователя в посещении сайтов порнографического содержания (тогда пользователю предлагается заплатить за просмотр неких порно-роликов, после чего блокировка с системы будет снята).

Вирус имеет множество модификаций, позволяющих ему уклоняться от антивирусных программ: trojan.winlock.341, trojan.winlock.938, trojan.winlock.649, trojan.winlock.19, trojan.winlock.415, trojan.winlock.302, trojan.winlock.715, trojan.winlock.591, trojan.winlock.19, trojan.winlock.569, trojan.winlock.origin. Эти модификации обладают сходным с оригиналом принципом воздействия на пользователя.

На практике было выяснено, что код, который необходимо ввести для разблокировки компьютера никак не зависит от его конфигурации, а только от версии вируса. Базы этих кодов вы можете найти на сайтах производителей антивирусных программ. Это конечно не сможет заменить полного сканирования компьютера с целью поиска заражения, но позволит некоторое время продолжать работу в системе, пытаясь принять меры для исправления ситуации.

Компания «Доктор Веб » предлагает процедуру исцеления, которая подходит при заражении подобным вирусом. Чтобы произвести эту процедуру необходимо загрузить компьютер, используя специальный загрузочный диск Live-CD и произвести сканирование антивирусов всех разделов жесткого диска.

«О, вот такая точно была картинка! Даже номер тот же», – почти радостно «узнал» вирус очередной «потерпевший».

Те, кто занимается ремонтом компьютеров, вы когда-нибудь замечали, что иногда при вашем появлении сломавшийся компьютер вдруг начинает работать как ни в чём не бывало? И невольно кто-то смотрит на вас со страхом с уважением или даже шутит.

В этом случае после загрузки Windows никакого вируса не было, а звонили мне два дня назад и всё это время компьютер был выключен. Куда же он делся?

Один из советов по удалению разновидностей вируса Trojan.Winlock , подсказывает: переведите системное время в BIOS на два дня вперёд, если не получится, то на месяц, год… Это не всегда срабатывает, так же как кованые решетки на окна не всегда спасают от грабителей, но вселяют уверенность (у меня ни разу не получалось так избавится от вымогателя), но здесь, кажется, сработало естественным путём.

И всё же удалять новую пакость лучше методами действенными и проверенными. Надо сказать, что существующие сейчас при сайтах антивирусных компаний сервисы деблокираторов уже не всегда помогают, а многочисленные варианты удаления хитро… умных вирусов способны только запутать.

Между тем среди многочисленных советов есть два достаточно простых, но эффективных способа ликвидации многочисленных Trojan.Winlock – вирусов, которые блокируют операционную систему, делая невозможной работу, и требуют при этом отправить некую сумму денег.

Сразу скажу, что варианты не мои, я ими лишь вооружился, но за полезность и профпригодность скажем спасибо worldwar87 .

Переустанавливать Windows – самое последнее дело, ведь можно решить проблему, не теряя времени и без особого риска для данных.

Первое, что надо сделать – перезагрузить компьютер и, нажимая при первоначальной загрузке клавишу F8 (иногда F5), выбрать параметр: Безопасный режим с поддержкой командной строки .

Жмём Enter и рассматриваем ситуацию: первая – Безопасный режим благополучно загрузился без вируса , вторая – он (вирус) никуда не исчез .

В первом случае нам нужно в командной строке набрать команду .

Открыть ветвь реестра, используя путь:

HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows NT -> CurrentVersion -> winlogon

Заглядываем в Shell , как на рисунке:

На чистом компьютере вы увидите то, что и должно быть: написано explorer.exe. На зараженном – полный путь до исполняемого файла вируса. Запомните или запишите его, чтобы впоследствии удалить.

Для этого в командной же строке набираем explorer.exe и через «Мой компьютер» добираемся до вируса. Удаляем.

В Shell оставляем только запись explorer.exe

Для ситуации второй, когда вирус не даёт работать в Безопасном режиме, понадобится загрузочный Live-CD с Windows.

Его придется (если нету) скачивать из Интернета. Думаю, что сможете найти – Google вам в помощь.

Потом выбрать Файл ->Импортировать (путь С:/WINDOWS/System32/config/software) открываем и в созданном нами разделе повторяем действия , описанные в первом примере.

После удаления вируса потребуется экспортировать нашу очищенную ветку назад. Для этого выбираем меню Файл ->Экспортировать и обратно в С:/WINDOWS/System32/config/software.

После этого перезагружаем компьютер. Вирус удалён, но просканировать его полностью антивирусом с обновленными базами надо: своеобразный контроль и проверка исполнения, совсем как модули СУП в системе управления предприятием.

Счастливой охоты!