Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...

[VR]

Для получения кода заходим на специальную страницу на сайте или страницу и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile

---

Разблокировка системы через загрузку в Безопасном режиме

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

Шаг 22. Перезагрузите компьютер в обычном режиме.

---

Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

7. В окне с информацией об успешном завершении записи нажмите ОК.

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер

---

Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:

#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.

---

Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

[VR]

Удаления различных порно- баннеров в браузерах.

Для начала необходимо удалить временные файлы браузера для этого скачайте утилиту

Запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Запускаем Opera, проходим в меню "Инструменты -> Настройки". Теперь выбираем на вкладке "дополнительно" раздел "содержимое" и щелкаем по кнопочке "Настроить Java Script".

Откроется форма с этими самыми настройками, на ней будет ряд чекбоксов (такие штуки, куда можно галочки ставить), а внизу будет поле подписанное "Папка пользовательских файлов Java Script". В этом поле как раз таки и написано, в какой папочке хранится порно-баннер. Стираем этот путь, предварительно его запомнив, нажимаем во всех открытых диалоговых окнах ОК и после находим и удаляем директорию со зловредом.

Открываем Mozilla Firefox, выбираем пункт меню "Инструменты -> Дополнения". Далее выбираем пункт обозначенный значком пазла - "расширения". Теперь нужно поочередно по одному отключаем расширения и перезапускаем наш браузер. Таким образом перебираем надстройки пока не найдем то расширение, которое запускало порно-баннер. Как только оно найдется, удаляем его, нажатием кнопочки удалить.

Если отключение расширений не помогает, то переходим на вкладку Плагины и отключаем их по очереди до обнаружение вредоносного плагина

В меню обозревателя Internet Explorer откройте окно Управление надстройками из меню обозревателя «Сервис→ Надстройки→ Включение и отключение надстроек»

в окне Управление надстройками перечислены все установленные и активные надстройки, среди которых следует выявить вредоносную. Для этого обратите внимание на все надстройки, у которых в графе Издатель либо ничего не указано, либо есть строка (Не проверено) – их следует проверить в первую очередь.

в графе Файл проверьте расширения файлов таких подозрительных надстроек. Отключите подозрительные расширения, нажав кнопку Отключить.

перезапустите Internet Explorer и убедитесь, что всплывающее окно исчезло.

Если описанная процедура не помогла, то возможно, причина в другом расширении, и чтобы его выявить, последовательно отключите все расширения, проверяя результат.

[baks]

VR а как запустить программку если банер весит?

банер блокирует даже диспечер.

это на работе у деректора, подхвотил на порно сайтах сам признался

, и даже смску отправить успел 300рубликов содрали снего *pactalom

Добавлено спустя 32 минуты 30 секунд:

зашол в безопасном, все сделал не помогло.

[VR]

baks

Сервис деактивации блокиров пробывал получить код разблокировки http://qru.ru/1wp или http://qru.ru/1wq

Сделай логи АВЗ по этим правилам http://ulanovka.ru/forum/viewtopic.php?t=54237

И как называется банер скажи или сделай скрин.

[Sotik]

у меня ЕСЕТ нод 32! там что надо сделать чтоб убрать табличку?!??!?

[VR]

у меня ЕСЕТ нод 32! там что надо сделать чтоб убрать табличку?!??!?

Что за таблички? Эти рекомендации выполнял?

Сделай логи http://ulanovka.ru/forum/viewtopic.php?t=54237

[Sotik]

VR

у меня точно такие картинки как сверху только у меня ЕСЕТ 32 !!

а до этого вроде вирусов не было!! так как я антивирус всегда обновлял и скачивал доктора веба!!

вот сеня комп врубаю там эта фигня вылезла((((

Р.С. я в компах не шарю можно поподробней как решить эту проблему?!?!?

[kompclubmatrix]

юзай http://qru.ru/1wp или http://qru.ru/1wq

[VR]

у меня точно такие картинки как сверху только у меня ЕСЕТ 32 !!

на какой имено картинке, сделай скиншот

Вы полни эти правила http://ulanovka.ru/forum/viewtopic.php?t=54237

[рыжая]

На работе то же баннер подцепили неделю висел, помогла AnVir Task Manager. С помощью ее удалил

[Sotik]

VR

как ты выложил 2 скриншота точно такие же!!

ооо ниче не могу поделать !!! вааааааааа тупой вирус

вот с ноута сижу!

[MC_Dirchikov]

VR

напиши, что тут надо делать?

мне щас нужен комп

[VR]

как ты выложил 2 скриншота точно такие же!!

ооо ниче не могу поделать !!! вааааааааа тупой вирус

вот с ноута сижу!

Качай рекавери диск и проверяй свой винт

1 - http://ulanovka.ru/forum/download.php?id=58801 или этот

2 - http://ulanovka.ru/forum/download.php?id=55149

напиши, что тут надо делать?

Для начало попробуй вот эти коды разблокировки один из них должен подойти

3318226211
4429337322
5531448433
6642559544
7753661655
8864772766
9975883877
1186994988
2297115199

Если не выйдет то скачай рекавери диск и проверяй свой комп

[MC_Dirchikov]

VR

какая реакция будет если один из кодов правельный?

[VR]

какая реакция будет если один из кодов правельный?

банер должен убраться

Попробуйте код 3318226211 или 4429337322 или 5531448433 или 6642559544 или 7753661655 или 8864772766 или 9975883877 или 1186994988 или 2297115199

[MC_Dirchikov]

VR

да пару раз убрался перезагружал, и такая же фигня

Добавлено спустя 22 минуты:

кароче скачал этот дискнезнаю я что делать с ним

[VR]

да пару раз убрался перезагружал, и такая же фигня

Очень хорошо что убирается. После того как снова уберешь банер сразу запускай AVPTool и проверь свой комп

Кстати на твоем скрине плохо видно названия этого банера. Как он называется точно?

[MC_Dirchikov]

мля все перевробывал ни че не помогает

VR

я фоткал не могу запустить пеинт, Internet Security

[VR]

мля все перевробывал ни че не помогает

ты говорил что после ввода код банер убирается вот после этого сразу запускай AVPTool

кароче скачал этот дискнезнаю я что делать с ним

записывай на болванку, загружайся с него после загрузки с LiveCD обновляй базы и запускай проверку

[MC_Dirchikov]

VR

убирался, хочю установить, а потом опять этот банер появляется, есть еще способы?

[MC_Dirchikov]

а если вигдовс переустановлю поможет?

Добавлено спустя 30 минут 13 секунд:

а еще как я через рабочий стол не могу

[MC_Dirchikov]

VR

AVPTool запускаю а потом опять банер вылазиет

[Sotik]

а можно этот вирус удалить с помощью ДР веба одноразового?!?!

[VR]

AVPTool запускаю а потом опять банер вылазиет

тогда только через Rescue Disk

а можно этот вирус удалить с помощью ДР веба одноразового?!?!

Нет скорей всего не получится так что юзай Rescue Disk

[id_inferno]

Проблемка, как убрать баннер, который грит типа мол у вас незарегестрированная версия Винды???

[VR]

id_inferno

читай шапку темы