Trojan Winlock (1830381427174 на 3381).

Posted by Reason89 | Posted in

   Вчера попросили удалить порнобанер с компьютера, 3 красивые изображения на красном фоне просили отправить сообщение на номер 3381 с текстом 1830381427174. И уверяли, что будет это стоить всего каких то 20 рублей. 
   Первым делом переписав номер телефона и код, решил посмотреть в интернете коды разблокировки.
Ссылок по этому поводу много:
Но как оказалось, все они выдают одинаковые коды разблокировки, которые в моем случае не помогали. При попытке загрузится в безопасном режиме, я увидел все то же самое, но уже в увеличенном размере. В итоге оставалось грузиться лишь с LiveCD. Как выяснилось позже, на компьютере  оперативной памяти было всего 256мб, из-за этого загрузить полнофункциональный LiveCD не было возможности. Повезло, что у меня с собой был скоростной загрузочный диск, который предлагает при загрузке различные свои модификации Micro(128мб), Mini(196мб), Lan(256мб), Media(256мб).
   Загрузившись, столкнулся с проблемой, что программа autoruns не работает с системным реестром. А лишь с реестром, который находится в приводе. Уделив несколько минут поиску, узнал, что буквально на днях вышла 10 версия, в которую включена эта возможность. Запустив ее, и сразу проверив в реестре параметр userinit в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, обнаружил, что через пробел прописан путь к темповской папке, в которой и находился весь корень зла.
   Интересно одно, наши доблестные антивирусы еще не встречались с этой заразой, или же тут напросто отключена функция удаления!?
   П.С. Пишу, потому как в интернете нет ни одной строчки по этому номеру.



Comments (0)

Отправить комментарий