Перейти к содержанию
  • 0

Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...


VR

Вопрос

Для получения кода заходим на специальную страницу на сайте sms8.jpg или страницу sms9.jpg и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile


Разблокировка системы через загрузку в Безопасном режиме

18-1.jpg

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

20-1.jpg

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

493_3.jpg

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

21-1.jpg

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

22-1.jpg

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

23-1.jpg

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

24-1.jpg

Шаг 22. Перезагрузите компьютер в обычном режиме.


Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

krd_4154_1_ru.png

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

krd_4154_2_ru.png

7. В окне с информацией об успешном завершении записи нажмите ОК.

krd_4154_3_ru.png

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы Кkrd_8005_03_ru.png в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

krd_7991_01_ru.png

krd_8004_01_en.png

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы Кkrd_8005_03_ru.png в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

005.png

002.png

001.png

003.png

004.png

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер


Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:


#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

hijack.jpg

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

FAQ11.png

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.


Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

VR Да я пробовал с официального сайта скачивать и программу и образ все так же.Флэшка в FAT32.Раньше пробовал вроде все работало.На диск если записать то все работает.

Ссылка на комментарий
  • 0

я буквально вчера записывал на флешку и все загрузилось без проблем. возможно дело именно в флешке, попробуй записать на другую флеху

Ссылка на комментарий
  • 0

Форматнул флеху в FAT32 через HPUSBFW,записал на нее Kaspersky WindowsUnlocker.Стал грузиться,только при звпуске графического режима вышла ошибка.

Dracut Warning: dracut: FATAL: Failed to mount block device of live image

Dracut Warning: dracut: Refusing to continue

Видимо не может загрузиться

Ссылка на комментарий
  • 0

Ily@

тоже не хотел вначале грузить графический режим(запускал с диска), перезагрузился и вошел в текстовом, и только потом, после работы анлокера получилось загрузить графический режим( генту o_O )

Ссылка на комментарий
  • 0
Раза 3 было такое с компом....... На весь экран, мол виндоус заблокирован, и надо смску (Бесплатную) послать по номеру))))) Всегда помогала ловкость рук, во время ctrl+alt+del, проводник, создание второй учетной записи, перезагрузка, удаление первой учетки, проверка на вирусы). Со второй учетки блокиратор не вылазил.

+1

Только я по-другому с баннером разобрался. я рррреееезззкооо нажал при загрузке винды ктрл+алт+дел и быстро завершил процес nvcvc32.exe

*05

с третьего раза получилось

а дальше уже КИС 2012 разбушлатился и вздёрнул вирусню :rock:

Ссылка на комментарий
  • 0

Порно баннер сидит на флешке в 8 гб. Можно ли что нибудь с ней сделать и очистить ее? Проблема в том, что когда подрубаешь эту флешку к компу, то комп сразу заражается этим баннером. Как безопасно это сделать с более менее чистым компом?

Ссылка на комментарий
  • 0

Если заходить на сайт тивикома через поисковик (яндекс или гугл), то вылазит сообщение антиспам яндекс или гугл и отправить нормер телефона. Ясно, что это развод, но у меня вопрос это у меня с браузером проблема или у них сайт ломанули?

Ссылка на комментарий
  • 0

Вопрос по первой инструкции: Разблокировка системы через загрузку в Безопасном режиме:

Ситуация такая - в безопасном не грузится - синий экран. В обычном режиме - баннер.

1) как запустить reg-файл?

2) если все-таки в безопасном не получится загрузить, и, например, есть AlkidLiveCD с встроенным ERD Commander'ом.

Последняя инструкция не помогла - с userinit все в порядке.

По первой инструкции - в реестре нет ветки HKEY_CURRENT_USER.

Как правильно действовать? (без AVZ, самому по-быстренькому разобраться и убить вирус)

Ссылка на комментарий
  • 0

Загрузиться с ливСД и подменить файлы реестра из папки System Volume Information, взяв файлы примерно недельной давности (чтобы наверняка).

Думаю самый простой способ в данной ситуации.

Ссылка на комментарий
  • 0

Залез Вконтакте-не открывается никак. Просит номер телефона для активации.Понятно ,это развод. Самостоятельно разблокировал с помощью:

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.

Все нормально в течение двух дней. Сегодня зашел,а там

404 Page Not Found

The page you requested was not found.

Пытался тем же путем проделать работу,что и раньше. Не получается.

Пытался через

C:\WINDOWS\system32\drivers\etc\hosts.
Открываю файл hosts,а вместо стандртного текста там окно с программами: Опера,Майкрософт ворд,медиа,проигрыватель и т.д

Подскажите,плиз.

Ссылка на комментарий
  • 0
Открываю файл hosts,а вместо стандртного текста там окно с программами: Опера,Майкрософт ворд,медиа,проигрыватель и т.д

выбрать там любой тектовый редактар (например блокнот) и нажать открыть.

А вообще вот тема если сам не разбереся.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...