Миллионы российских пользователей заразились "трояном".





В России набирает обороты эпидемия компьютерных вирусов семейства Trojan.Winlock. "В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов", - сообщает российский разработчик средств информационной безопасности компания "Доктор Веб".


[/URL]http://nash-forum.itaec.ru/gallery/files/2/8/2/vir_big.jpg (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fnash-forum.itaec.ru%2Fgallery%2Ffiles%2F2%2F8%2F2%2Fvir _big.jpg)



Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы. В частности, вирусы автоматически удалялись с компьютера через несколько часов после установки, не запускались в безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы "троянца", была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении с 300-600 рублями).


С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. "Троянцы" уже не удаляются автоматически из системы через некоторое время, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит для сбора информации, которая может помочь в лечении системы).



http://nash-forum.itaec.ru/gallery/files/2/8/2/img_6938.jpg (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fnash-forum.itaec.ru%2Fgallery%2Ffiles%2F2%2F8%2F2%2Fimg _6938.jpg)



Вредоносные программы семейства Trojan.Winlock распространяются через "бреши" в Windows (в частности Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).


Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.



В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.



Специалисты "Доктор Веб" считают необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, компания призывает операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fnash-forum.itaec.ru%2Fredirector.php%3Furl%3Dhttp%253A% 252F%252Fnash-forum.itaec.ru%252Fredirector.php%253Furl%253Dhttp %25253A%25252F%25252Fnash-forum.itaec.ru%25252Fredirector.php%25253Furl%2525 3Dhttp%2525253A%2525252F%2525252Fnash-forum.itaec.ru%2525252Fredirector.php%2525253Furl% 2525253Dhttp%252525253A%252525252F%252525252Fwww.d rweb.com%252525252Funlocker%252525252Findex) собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код.
http://www.drweb.com/unlocker/index (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fnash-forum.itaec.ru%2Fredirector.php%3Furl%3Dhttp%253A% 252F%252Fnash-forum.itaec.ru%252Fredirector.php%253Furl%253Dhttp %25253A%25252F%25252Fnash-forum.itaec.ru%25252Fredirector.php%25253Furl%2525 3Dhttp%2525253A%2525252F%2525252Fnash-forum.itaec.ru%2525252Fredirector.php%2525253Furl% 2525253Dhttp%252525253A%252525252F%252525252Fwww.d rweb.com%252525252Funlocker%252525252Findex)


Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

http://news.drweb.com/show/?i=874&c=5 (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fnash-forum.itaec.ru%2Fredirector.php%3Furl%3Dhttp%253A% 252F%252Fnash-forum.itaec.ru%252Fredirector.php%253Furl%253Dhttp %25253A%25252F%25252Fnash-forum.itaec.ru%25252Fredirector.php%25253Furl%2525 3Dhttp%2525253A%2525252F%2525252Fnash-forum.itaec.ru%2525252Fredirector.php%2525253Furl% 2525253Dhttp%252525253A%252525252F%252525252Fnews. drweb.com%252525252Fshow%252525252F%252525253Fi%25 2525253D874%2525252526c%252525253D5)

P.S. От себя: у меня появлялся вышеописанный вирус - решил проблему только[U] восстановлением предыдущей точки системы (стандартное средство в Windows).

http://nash-forum.itaec.ru/showthread.php?p=102186#post102186

:bayan::boyann:

раз винлоки пишут, значит они окупаются смсками, в противном случае создатели бы на них давно забили.

Капитан очевидность рядом?
Ты тему читал?

Как убрать порно баннер с рабочего стола компьютера? (http://www.softogen.ru/faqs/computer-questions/who-remove-porno-banner-from-desktop-computer.html)

13.12.2009 23:00 Администратор FAQs - Компьютер

http://www.softogen.ru/images/faq/porn-banner-clear.jpg
Он появляется неожиданно и не пропадает после перезагрузки, занимая практически весь рабочий стол, оставляя лишь немного места по краям. С этим неприятным явлением сталкиваются многие пользователи в последнее время. Порно-баннер вульгарен и работать за таким компьютером невозможно. Если раньше он появлялся только при открытии браузера, а как удалять порно информер в Internet Explorer (http://www.softogen.ru/index.php?view=article&id=94&Itemid=41) мы уже знаем, то теперь загружается при загрузке компьютера. Виновник как и прежде один - это Вы. Решение: лечить и только лечить, так как это вирус и не более, а потому подавляется боевыми бригадами антивирусов. Здесь рассматривается случай, когда рабочий стол закрыт частично, то есть можно запускать программы. Если у Вас заблокирован Windows и требуется СМС (http://www.softogen.ru/faqs/computer-questions/windows-locked-send-sms.html), то как избавиться от этого читаем здесь (http://www.softogen.ru/faqs/computer-questions/windows-locked-send-sms.html).
Ситуация на фронте

Лаборатория Др.Веб отметила эпидемию СМС-вирус на российском пространстве Интернета, однако ОпСоСы не чешутся, чтобы прикрывать лавочки вымогателей с короткими номерами. А потому приходится сражаться как придётся. В последнее время появились новые виды вирей, которые грузятся сразу вместе в процессом explorer.exe. Dr.Web CureIt их не видит, чтобы не мучится и смотреть на порно-баннер, нужно завалить процесс Эксплорера. Как убивать процесс по имени можно прочитать здесь. Для примера, завалить explorer.exe с командной строки можно так:
TASKKILL /f /im explorer.exe
Баннер хотя бы пропадёт и не будет мешать заниматься лечением.
Запускается очень просто, нужно набрать в командной строке (Windows+R): explorer.exe
Если получается, рекомендую именно первый способ лечения, к чему заниматься поиском ещё не найденного кода ответа, если можно просто вернуть всё как было.
Способ 1 (простой): Восстановление системы Windows

В первую очередь стоит выполнить восстановление ОС Windows её же средствами. Для этого зайдите в меню Пуск -> Стандартные -> Служебные -> Восстановление системы. Или же нажмите одновременно сочетание клавиш Windows+R. В появившемся окне "Выполнить", введите rstrui.exe. Это одно и то же. добро. Если Вы или Ваш супер-грамотный знакомый отключили функцию "Восстановления системы", то вынужден Вас поздравить: "Поздравляю, Шарик, ты - балбес!" (С). Ибо эта нехитрая утилита позволяет восстанавливать состояние реестра и системных файлов до того времени, пока зловреда на Вашей территории не было. Если же Вы грамотный человек, то функция работает и немедленно приступаем к восстановлению. Как правило, система сохраняет параметры во время выключения, причём хранит копии нескольких дней, выбирете копию двухдневной давности на всякий случай. После этих действий система перейдёт в перезагрузку и окно пропадёт.
При этом данные (документы, фильмы, музыка) пользователя останутся в целости и сохранности.
Способ 2 (удобный): Проведите проверку бесплатными сканерами

Если Интернета нет, то лучше воспользоваться бесплатными антивирусными сканерами - Dr.Web CureIt (http://www.softogen.ru/index.php?view=article&id=303&Itemid=83) или Kaspersky Virus Removal Tool (http://www.softogen.ru/index.php?view=article&id=387&Itemid=83). Безопаснее записать их на CD и запускать их с привода, если имеется такая возможность. Можно и прямо с флешки, так как баннеры и информеры не отличаются насильственным характером и убивать Курита или Ремовалу на лету не станут. Обязательно проверить папку Windows и Users (Documents And Settings по-старому) - это цитадель заразы, именно там чаще всего поражают файлы вирусы и прочая дрянь.
Способ 3 (самый надежный): Лечение LiveCD

Это сборки, предоставляемые некоторыми производителями в бесплатное пользование для лечения заражённых компьютеров. Наиболее распространёнными являются LiveCD двух производителей - Dr.Web LiveCD (http://www.softogen.ru/index.php?view=article&id=159&Itemid=83) и Avira Rescue System (http://www.softogen.ru/security/antivirs/avira-rescue-system-livecd.html). Я бы советовал поддержать отечественного производителя, поверьте, в трудную минуту он поддерживать Вас не меньше. Как правило, это самозагрузочные мини-CD, который можно записать на обычную CD-болванку. После загрузки линукс-оболочки (да-да) Dr.Web начинает проверять Ваш компьютер на наличие вредоносного ПО. К тому же Dr.Web умеет проверять и реестр.
Способ 4 (обязательный): Установка надёжного антивируса

Если имеется хоть какая то возможность управления компьютером (иногда бывают свободные места по краям экрана), то постарайтесь установить либо Kaspersky Internet Security (http://www.softogen.ru/index.php?view=article&id=222&Itemid=83), либо Dr.Web (http://www.softogen.ru/security/antivirs/drweb-antivirus.html). Если у Вас нет антивируса, то это ужасно, но для нашего случая даже хорошо, потому как ставить на "чистый" компьютер антивирус проще.
Если есть, и это один из двух перечисленных мной, то установите новые версии - их делают не просто так, новая версия поставится поверх старой. Если другой разработчик - то следует его удалить. К слову, многие антивирусы защищают себя уже при установке, предварительно убивая всех вирусов на машине, для этих целей Kaspersky Antivirus (http://www.softogen.ru/index.php?view=article&id=223&Itemid=83) - это оптимальный выбор, настоящий кровавый наёмник.

Способ 5 (хитрый): Перевод времени назад

Некоторые зловреды не очень умны и порой перевод системного времени на два-три дня назад даёт беспрепятственно войти в систему и наконец-таки установить нормальный Антивирус (http://softogen.ru/security/antivirs/kaspersky-antivirus.html), а не тот который у знакомых пару раз даже барсеточника поймал.

Способ 6 (последний): Проверка на другом компьютере

Разумеется, это самый простой способ - снять жесткий диск и прогнать его антивирусным катком. Не всегда такое возможно, так как порой диск содержит весьма ценную информацию, но это действительно простой способ и весьма действенный. Указал его только потому, что такой способ возможен и применялся не раз, так как быстр и надёжен. При таком способе имеет смысл проверять только системные каталоги - Windows и Documents and Settings (Users на новых системах). Именно там скрываются вредные особи. Смысла проверять составные файлы, архивы и прочие большеразмеры нет. Помните, вирус - это небольшая программа, она должна быть неожиданна и быстра, как ночная диарея.
Для удаления вирусов рекомендуем использовать Dr.Web Antivirus (http://www.softogen.ru/security/antivirs/drweb-antivirus.html), либо Kaspersky Antivirus (http://www.softogen.ru/security/antivirs/kaspersky-antivirus.html).

это чтоб меньше по порносайтам лазили

А я такой на зайцах вчера словила,ничего-разобралась

Сервис деактивации блокеров Касперского: http://support.kaspersky.ru/viruses/deblocker (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fsupport.kaspersky. ru%2Fviruses%2Fdeblocker), такой есть и у DrWeb: http://www.drweb.com/unlocker/index/?lng=ru (http://nash-forum.itaec.ru/redirector.php?url=http%3A%2F%2Fwww.drweb.com%2Fun locker%2Findex%2F%3Flng%3Dru)

найти автора вируса и отвафлить его