Перейти к содержанию
  • 0

Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...


VR

Вопрос

Для получения кода заходим на специальную страницу на сайте sms8.jpg или страницу sms9.jpg и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile


Разблокировка системы через загрузку в Безопасном режиме

18-1.jpg

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

20-1.jpg

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

493_3.jpg

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

21-1.jpg

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

22-1.jpg

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

23-1.jpg

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

24-1.jpg

Шаг 22. Перезагрузите компьютер в обычном режиме.


Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

krd_4154_1_ru.png

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

krd_4154_2_ru.png

7. В окне с информацией об успешном завершении записи нажмите ОК.

krd_4154_3_ru.png

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы Кkrd_8005_03_ru.png в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

krd_7991_01_ru.png

krd_8004_01_en.png

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы Кkrd_8005_03_ru.png в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

005.png

002.png

001.png

003.png

004.png

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер


Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:


#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

hijack.jpg

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

FAQ11.png

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.


Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

помогите как убрать ypsl6xp.exe надоедает каждый раз этим окном:

drweb.jpg

это стало появляться после того, как я установил Dr.Web CureIt! скачанная с http://www.freedrweb.com/cureit/

вроде бы ничего опасного эта утилита возможно подгружает как-то свой файл, но каспер реагирует отрицательно, грит какой-то руткит.

нажимаю завершить или добавить к исключениям. исчезает, через несколько секунд опять появляется.

Добавлено спустя 27 минут 52 секунды:

кажется решил проблему, больше не выскакивает, помогла Утилита удаления Dr.Web: 32 бит

http://www.freedrweb.com/aid_admin/

Ссылка на комментарий
  • 0

Хелп плизз ) поймал эту хрень в майле рекламу случайно нажал с порно

SMS.JPG

при такой фигне (инет норм работает и програмки) но диспечер перестал работать.

подбирал коды с разных сайтов не подошли WindowsLockRemover_2010.05.31. в этой проге тож не подошли.

Ссылка на комментарий
  • 0

у знакомого такая штука вылезла что нужно отправить смс на номер 5121 с содержанием 4579302. коды с касперского не подошли может кто знает что туда вписывать?

Ссылка на комментарий
  • 0
:) у меня был такой вирус) сразу заморозил все окна, ничего делать не давал) потом установил касперского десятого и он нашел этот вирус и deletenah
Ссылка на комментарий
  • 0

Сейчас дядя позвонил, просит помочь ему. Он отхватил вирус, там говорится, что надо закинуть 350 рублей на такой-то номер (билайн) и вести код, полученный в ответе. Посоветуйте пожалуйста что можно сделать, пока что Live CD не предлагать (это на крайний случай).

Ссылка на комментарий
  • 0

nashi_lydi

Это не у меня, а у моего дяди. Он сказал, что там сиреневый фон. Написано типа "в чеке вы найдете код, который необходимо вести в поле". Дальше поле и кнопка "Войти". Также указан сайт "неприличного названия".

Всё сделал, баннер хоть и блокировал Диспетчер, но мне как-то удалось его вызвать. Ну дальше дело техники и удалил вирус.

PS Опять же спасибо модеру VR

Ссылка на комментарий
  • 0

Подцепил вирус общество скрытых гомосексуалистов, просит деньги через терминал.

Общество скрытых гомосексуалистов – эпичный вирус.

Четверг, Июнь 24, 2010 12:52

Posted in category мануалы

No Comments

Сегодня утром пришёл ко мне юзер и принёс этот шедевр. Вирус Общество скрытых гомосексуалистов был удалён весьма быстро, где-то минут за 10 – 15. Исполняемый файл небольших размеров выводит на экран весьма красивый текст. Конечно никто не хочет быть уличён в интересе видео гомосексуального характера или получить (извините) членство в клубе анонимных геев. По этому каждый прежде всего спешит к ближайшему терминалу оплаты чтобы пополнить баланс злодея. Конечно же на чеке, если таковой будет вы не увидите никакого кода.

Этот вирус интересен ещё и тем, что в нём создатель отказался от “отправки СМС на короткий номер”, вместо этого предпочёл способ, когда оператор платежей СМС не сможет помочь вам с генерацией кода разблокировки. Этот факт в очередной раз доказывает, что различные “разблокировщики” это просто временное облегчение, морфий перед смертью.

В данном случае юзер даже принёс диск с пиратской операционкой, дабы я ему таковую переставил.

Конечно переустанавливать ничего не нужно. Достаточно запустить мой любимый ERD Commander и найти в реестре ключ.

HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

Значение Shell должно быть равно explorer.exe и только так!

Не ленитесь, проявите смекалку, внимательность и элементарные знания IT, и у вас всё получится. Практически все подобные вирусы удаляются крайне быстро и имеют схожую структуру.

ERD Commander где скачать?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...