Перейти к содержанию
  • 0

Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...


VR

Вопрос

Для получения кода заходим на специальную страницу на сайте sms8.jpg или страницу sms9.jpg и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile


Разблокировка системы через загрузку в Безопасном режиме

18-1.jpg

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

20-1.jpg

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

493_3.jpg

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

21-1.jpg

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

22-1.jpg

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

23-1.jpg

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

24-1.jpg

Шаг 22. Перезагрузите компьютер в обычном режиме.


Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

krd_4154_1_ru.png

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

krd_4154_2_ru.png

7. В окне с информацией об успешном завершении записи нажмите ОК.

krd_4154_3_ru.png

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы Кkrd_8005_03_ru.png в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

krd_7991_01_ru.png

krd_8004_01_en.png

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы Кkrd_8005_03_ru.png в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

005.png

002.png

001.png

003.png

004.png

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер


Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:


#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

hijack.jpg

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

FAQ11.png

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.


Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

У этого вируса есть маленький ньюанс ... ОН НЕ ВИРУС и антивирусами не детектируется :)

Это просто программа где то в автозагрузке ... и ее просто нужно удалить

Ссылка на комментарий
  • 0

В России эпидемия Trojan.Winlock. Заражены миллионы пользователей

24.01.2010, г. Москва

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

Служба информации

компании «Доктор Веб»

Ссылка на комментарий
  • 0

все получмлось зашел на сайт доктора веба, там я выбрал номер и текст сообщение и он дал мне код разблокировки, вел потом синия экран появился, перезагрузился, и пац нету, щас проверяю на вирусы

Ссылка на комментарий
  • 0

помогите что сним делать, я уже устал боротся сними, каких только за неделю банеров не повидал с некоторыми научлися справляться :( долбаные студенты задрали по спама да порносайтам лазить.

может ли файрвол блокировать вир?

1553.jpg

Ссылка на комментарий
  • 0

baks

Попробуйте код P1688OH

Если не подойдет может еще эти


6619226311
7721337422
8832448533
9943559644
1154661755
2265772866
3376883977
4487994188
5598115299

Или вот эти 544625144 (или 544624144).

Если нечего не поможет то скачивай LiveCD и проверяй винт

Ссылка на комментарий
  • 0

ох, у меня такое было, ничего вообще не смогла сделать. В конце отправила смс и за 300 рублей избавилась((( Один знакомый посоветовал установить прогу Процесс Киллер, я после наладки сразу скачала. там сочетанием 3 клавиш при любой блокировке вылазит окно, в котором видны последние процессы, и процесс заражения можно удалить на компе. Не знаю, поможет ли, но отзывы на сайтах о ней хорошие. Ещё на сайт доктора веба зайдите, там код можно подобрать.

Ссылка на комментарий
  • 0

Да перустановка винды это самый категоричный но и самый действенный способ. :rock::rock:

Пытался бороться многими способами, все что написано в советах 90процентов точняк не попрет *(( *25

например инет врубить будет не так просто :wall::wall: (запустил через првую кнопку и *запуск от имени*)

Даже в инете при любом упоминанаии *баннер*вирус*антивирус*internet sequrity*и тд и тп браузер просто вылетал *(

ехе программы практически все не выполняются( программа заново начинает "проверять")

Да еще у мня дисковод сломался(я им не пользовался год, думал и дальше не понадобится) :throw: *94

PS. его можно вырубить чтоб не мешал обзору(надо в строке код прописать любой набор цифр и тыкать на активацию до исчезновения) но только до запуска какой нидь проги

НО я зато мог вконтатке посидеть :rock:

Ссылка на комментарий
  • 0

Ох, сегодня эту гадость подцепил! Да еще какую - клавиша Windows не работает, Alt-Ctrl-Delete тоже, перезагрузка не помогает. Вообще никак не мог компом управлять. В итоге после двухчасового лазанья в инете через мобилку нашел-таки код! Вирус куда-то исчез, оставив на память скрин экрана. Каспер ни фига не нашел...

П.с. Отправлял смс, но слава Богу, средств на счету было недостаточно. После звонка к оператору узнал, что с меня бы сняли 300 руб.

Ссылка на комментарий
  • 0

опупеть как этот вирус мутирует... У меня было "виндовс нелецензирован бла-бла". Я здесь прочел советы - и по советам Dedulya сделал как надо. Благо безопасный режим работал нормально.. Плюс еще посоветовал бы не пользоваться мозиллой фаерфокс если у вас старая версия её. У меня именно мозилла как-то подцепила вирус, даже каспер не уследил. Если любите этот браузер, то нужно как минимум самый новый искать в инете. А так, я даже читал ,что фаерфокс самый незащищенный и небезопасный браузер.

Ссылка на комментарий
  • 0

ага агагагагаа хаааха ... дааа .....приколы ....меньше по порно сайтам лазить надо

(или научитесь настраивать браузер и антивир )

вот прога

поверьте помогает

загружаете на флэш накопитель Dr.Web CureIt! 5.00.13.02150 от 05.03.10 00:33

http: //soft . sibnet.ru/soft/?id=18562 бежите СЛОМЯ ГОЛОВУ домой

запускаете на безопасном режиме с флешки прогу (антивир ) (НАЖМИТЕ F8 ПЕРЕД загрузкой (ОС) windows )....ждёте окончания проверки ... ииииииииии ВОАЛЯ МАЭСТРО ..... :excited::rock:

ЕСЛИ НЕ ПОМОГЛО НО ЭТО В 4 % :dontknow: , ТО СНОСИТЕ (НАХ) ОС...

Ссылка на комментарий
  • 0

тоже рекламный баннер вылез один раз)))

я просто в безопасном загрузился, отключил вирус в автозапуске, посмотрел где он лежит, "натравил" каспера на ту папку =)

и все исчезло)))

Ссылка на комментарий
  • 0

у меня вылазил баннер, что выход в сеть заблокирован, я вычислил его в безопасном режиме и удалил, а в сеть после перезагрузки все равно не входил, оказалось он успел сменить настройки в подключении локальной сети, в частности ip компа и шлюз, после правки все нормально)

Ссылка на комментарий
  • 0

1. Ничего сносить не надо.

2. Разблокировать ПК методами http://boltunishka.berserki.ru/archives/459

3. Лечить антивирусом. Лучше снять винт и проверить на другом ПК. Если другого ПК нет, то в безопасном режиме.

4. Не работайте с привилегиями администратора, тогда вероятность поймать всякую дрянь значительно снижается. Установленный антивир не панацея.

Если сделать сначала п.3 , а потом п.2 головняк обеспечен.

Ссылка на комментарий
  • 0

А ручками пробовали, ключи им скармливать - это неадекват..

WIN+U
Экранная клавиатура
Посетить Сайт microsoft
Далее запускаем cmd
И запускаем что угодно с параметрами -ul

Насчет последнее строчи не уверен, мне хватило простого far'a

Вымогать заменял индикатор раскладки клавиатуры.

Ссылка на комментарий
  • 0

Люди помогите после каждого exe файла выдает ошибку

Приложение или библиотека C:\Windows\system32\rkrvcgubu.dll не является образом программы Windows NT. Проверьте назначение установочного диска.

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...