新しいWinlockを取り除く

昨日、偶然にも設計同僚のコンピューターから新しいWinlockを見つけました。

番号3116にSMSを送信するように頼むおなじみの詐欺を見た後、ロック解除コードを求めてDrWeb Webサイトにアクセスしました。 しかし悲しいかな、ロッカーは新しいことが判明しました。 フォーラムですぐに本当に何も見つけることができませんでした。 手動で選択する方が簡単だと判断しました。



ロッカーはかなり原始的であることが判明しました。

セーフモードでは、ロッカーも読み込まれます。 その結果、起動の場所としてのオートロードはなくなりました。

ロッカーは画面全体を覆い、ホットキーで開かれたウィンドウをブロックしました。

ただし、Ctrl + Shift + Escを押し続けると、タスクマネージャーが非常に短い時間ロッカーの上でちらつきます。 どうやらセーフモードでのんびりした仕事のため。 通常の起動ではうまくいきませんでした。

タスクで1つのプロセスnvcvc32を大胆にハングさせました。

また、非常に簡単にロードされました-コマンドラインウィンドウは非常に速く開閉し、ロッカーウィンドウに置き換えられました。 手の軽さは、このボックスをロードする前にXに突き刺すのに役立ちました。 だから私はきれいなデスクトップを得た。 エクスプローラーが読み込まれませんでした。

それでは、すべてが原始的なシナリオに基づいています。 このnvcvc32.exeをwindowsフォルダーから削除しました。

ブートローダーを見つけるために残った。

explorer.exeが起動されている場所のレジストリを検索し、 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Winlogon \ Shellに表示されます 。

このパラメーターでは、windowsフォルダーにもある特定のrundll.batの起動は、explorer.exeに起因していました。



それを削除して再起動した後、ロッカーは他の何にも似ていませんでした。



今日、それはすでにTrojan.Winlock.2925という名前でDrWeb サイトに現れています。



Windows XPが感染マシンにインストールされました（ネイティブ、これはラップトップです）。