# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Порнобаннер заблокировал компьютер (Winlocker)

## perkus

Что-то из рода _Trojan.Winlock_.

Предположительно произошло заражение c сайта: было сообщение "о зараженности" одной страниц ресурса не средставами _Avira AntiVir Premium_, а скорее средствами браузера _SW Iron_ или его аддона _AD Block_. На остальные страницы "зараженного" ресурса предупреждения не было, да и с этой (в свое время спокойно делалась закладка) раньше было все нормально. Поэтому предупреждение было расценено как ложное срабатывание.

Проблемы начались после выключения/включения компьютера. Блокировка работы _Windows_, баннер с голыми бабами, требование честно оплатить 300 руб. через терминал оплаты и прочее разводилово. Попытка загрузиться в защищенном режиме -_ BSOD_.

Лечение:
1. С помощью загрузки с болванки _Win XP PE_, при редактировании реестра были обнаружены записи, ссылающиеся на зловредный модуль:

_HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell_ - значение _C:\Program Files\Common Files\Cursors\svhost.exe_ (нормальное значение *Explorer.exe*)
_HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\Shell_ - значение _C:\Program Files\Common Files\Cursors\svhost.exe_ (такого раздела быть не должно, поц подстраховался зачем-то по регистру)

2. Модуль для тестовой дизактивации былл изолирован в другое место. Удалены вручную все временные файлы учетных записей, ОС, кэш браузеров.
3. Нормальная загрузка ОС, нет прав для средств редактирования реестра _regedit_.
4. При помощи оснастки _gpedit.msc_ (странно что ей права оставили) права востановлены.

Других отклонений от нормы не установлено.

На машине проверено средствами _Avira AntiVir Premium_, на другой машине копия папки средствами _"Касперский Workstation 6"_ с актуальными обновлениями. При сканировании папки со зловредом ничего не обнаруживается.

Отослано на экспертизу в обе конторы.

*UPD Ответ от Касперского*

С сегодняшнего дня у Касперского его нарекли *Trojan-Ransom.Win32.Losya.cb*, в обновления обещали добавить.

*UPD2 Ответ от Avira*

В _Avira_ его нарекли *TR/Injector.EX*, причислили к классу *MALWARE*, в обновления обещали добавить. Вообще странная у них реакция на него, есть мнение что у них в Дойчланде угрозы другого рода.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## perkus

*Обновление*

Опять таже песня. Почти.

Теперь понятно как эта гадость прописывается.

1. Проник предположительно при помощи *HTML/Crypted.Gen* (отсюда _httр://pic2profit.сom/img/wtp.js_)
2. Запускается из Темпа профиля _C:\Documents and Settings\<Профиль>\Local Settings\Temp\jar_cache387288650716660209.tmp_
3. Живет теперь в _С:\Program Files\Common Files\Offline Web Pages\svhost.exe_ (Называется теперь *TR/Ransom.Losya.cj*)
4. Проник вчера, активизировался утром после перезагрузки, при первой прогонке _Avira'ой_ не обнаружился, позже, видать после авто-обновлений свежих, - да.

Поц не спит, поц совершенствуется.
*Шоб ему пусто было.*

----------

