Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...

[VR]

Для получения кода заходим на специальную страницу на сайте или страницу и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile

---

Разблокировка системы через загрузку в Безопасном режиме

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

Шаг 22. Перезагрузите компьютер в обычном режиме.

---

Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

7. В окне с информацией об успешном завершении записи нажмите ОК.

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер

---

Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:

#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.

---

Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

[Mallossy]

C:\WINDOWS\system32\drivers\etc\hosts. если специально вписать vkontakte.ru заблокируестся контакт?

[VR]

C:\WINDOWS\system32\drivers\etc\hosts. если специально вписать vkontakte.ru заблокируестся контакт?

да заблокируется

[Mallossy]

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x 

напишите пажалуйста код с блокировкой контакта

[VR]

127.0.0.1 www.vkontakte.ru
127.0.0.1 vkontakte.ru
127.0.0.1 www.vk.com
127.0.0.1 vk.com

и так далее домены контакта

Добавлено спустя 1 минуту 2 секунды:

Хотя эта блокировка обходится элементарно, если нужно надежно заблочить социальные сети то ставь на комп веб-фильтры или родительский котроль

[Mallossy]

Спасибо! Не мне так, чтобы лишний раз вконтакт незаходили.

[Райский булочник]

Блокировка компа с просьбой закинуть деньги на номер Билайн: 89654028198

может есть у кого рабочий код? коды с анлокеров не работают.

[SARS]

Блокировка компа с просьбой закинуть деньги на номер Билайн: 89654028198

может есть у кого рабочий код? коды с анлокеров не работают.

+1

Приятель поймал подобное.Прогнал каспером - не помогло.

[VR]

SARS

Все эти коды пробовали

%10923810%
мушкет
~2058205~
(30958374)
$73747589$
^77723094^
!48950345!
?10298012?
8234762127064
152033736975
14125244950931752
597829841179994
18613014572548
41418950975864
61880424110787
2423094455761
681896525
чупакабра
трататушечки
курвинаро
4509372642263
193411158182
3564331482
62132318957
14566
53846
6813331
428767
31492450
757311
2127163
герболай
456899692
21136663
11717222
26780875
24939644
25727667
516999
11233660
52426933
61341158
11058459
52135954
3237870
9209342
7719090a
21945154
43406510
7719090
312470
15694716
81153174
62717848
72881455
76636014
93960763
93296568
52693734
32478945
61060851
22152003
LJqWVsNr
87321941
63210692
41538854
+9999999
5000499544
403956320
04957625564
555666777333
лето на дворе
8013328883
965832471
арбузяка
я не [ой]
килиманжаро
герметично
вазасцветами
гидромашина
невалид
меломорэ
кукурекушки
тратататака
нихуясебебля
психоебанат
нетнетнетда
диссекрето
хероводород
хреновище
пергамент
баранкин
явшокебля
говнище
говнобачище
гугудука
партизано
гореодмин
мухоцэкотухо
говнобак
беллисиммо
гауджаг
сыробериежка
геликоптер
херухуйа
барахата
тримотобляха
картофан
караматабука
беззакуси
зинунина
беспонтовщина
голодовка
селедочка
долбоящер
инферно
вильгельм
автоматизация
манипулятор
боржоми
горилка
гнилозуб
казибожка (внимание: перед словом пробел)
наживка
червячек
килька
пирожок
гудрончик
галактика
трататушки
головяшка
перелет
гуркуль
барабан
велосипед
бубльгум
трахома
кулебяка
драндулет
лесопед
потомучто
белиссимо
кассета
скотч
бегемот
билетов нет
киргуда
кандагар
бумбокс
любознательность
дирижабль
телевизер
терасса
нофелет
тарабум
герой дня
спектакль
белеберда
перегар
гуливер
кукушка
гардина
квазимодо
герасим
солнышко
мотоблок
геродот
козявочка
штиблеты
козявка
жопа бля
беломор
кокошник
мультифрукт
дуремар
а мы не пьем
гуталин
семерочка
фисташка
нажми на газ
не тормози
отдых на природе
сметанка
гондурас
привет [ой]ы
биокефир
пошли в баню
гуси лебеди
нет гомосекам
привет июнь
найди себе бабу
сковорода
21122012
4iXeF1H4JSXk8S8
oaLPmZiSR9itBxgV8z
oB974CwJV4F5N5QbW03s
SWAcktZV
mhAGMFvp
MhCOPdNa
CWaRqsWF
UTasjzDE
TgJylSYl
SJFudelf
jdvVZaUN
vldgFnFq
NUcRvZQr
yXcrhFuv
UhnamFWV
mmrAZvNw
NzzMoMgy
WXIFNOVG
uKkCrUio
BzKGfRAm
kMYUncjq
pbudgDgl
LpIfluQf
AnGyVMyG
MkzQMDro
YPIbIMYJ
cxFWHWkw

$20683054%

и еще

%10923810%
#5020543#
$20683054%
^77723094^
!8912034'
30958374
689621
1100002
10495726
~2058205~
1234561890122
21311003325
@34208923@
?10298012?
10020000003000
00000000
52200970176266177
12000003
~2058205~
херухуйа
$73747589$
100000020000300
10200000000000003
522855578
!48950345!
12345678

=403967434=

[Райский булочник]

помогла загрузка с live cd, чистка темпов и реестра.

1) Загружаетесь с Live CD

2) Чистите папки: Temp, Local Settings,Temporary INternet files. и Windows Prefetch, если такая есть.

3) открывайте редактор реестра(Пуск-Выполнить-regedit)

Нажимайте на ветку HKEY_LOCAL_MACHINE, далее Файл-Загрузить куст, идите по маршруту:

C:\Windows\system32\config\software(просто файл)

вводите любое имя куста.

В этой ветке идите по маршруту:

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

в ветке Shell прописан адрес к вирусу, типа "xxx_porno", меняем на "Explorer.exe"

Так же проверьте ветку Userinit, там в адресе должно быть: "C: WINDOWS/system32/ userinit.exe," если после запятой еще что то есть, удаляйте.

4) Обязательно в конце нужно нажать на куст, который загрузили и зайти Файл-Выгрузить куст.

перезагружайте комп и все должно работать. проверьте сканером потом.

[Дэн]

ппц, и почему я раньше сюда не заглядывал

Сегодня система заблокировалась: "Закиньте 400 рублей и мы вышлем код разблокировки"

ага, как же, уже побежал.. *08

Пришлось переустанавливать винду(

[Unreal]

Что мне делать не могу зайти на майл и гугл вылазит это и в контакт зайти не могу это вылазит

[VR]

Unreal

Снимать штаны и бегать...

Или прочитать первый пост в теме и сделать логи.

[Chester]

при попытке авторизироваться вылазит:

hosts чист, на вирусы проверку делал кис2011

погуглил ниче особо не нашел, хеелп

Добавлено спустя 2 минуты 33 секунды:

еще при попытке регистрации.

хотя если верить счетчику ...

[VR]

делай логи

[sensei]

у меня вылез банер. я сначала его закрыл но потом он размножился. а в конце компьютер выключился. Когда я запускаю компьютер биос запускается но дальше хода нет...

Добавлено спустя 15 секунд:

что делать

[Vol89]

При загрузке системы выходит баннер якобы от Adult.com, но его можно закрыть, несколько раз система проверялась на вирусы (CureIT и Nod32 v4), абсолютно ничего нет.

---

После перезапуска опять запускается.

---

Условие:

Отправить на такой-то номер 300 рублей и блаблабла.

[VR]

Vol89

Делай логи по этим правилам http://ulanovka.ru/forum/viewtopic.php?t=54237

[Hannibal]

Vol89

восстановление системы...

[Balin]

Вот, "трахаюсь" ) (Детям до 18 запрещено вскрывать спойлер)

главное - комп не заблокирован...

[VR]

Balin

Вот должно помочь http://ulanovka.ru/forum/viewtopic.php?p=1208161#1208161 если не выйдет то делай логи AVZ

[Balin]

http://ulanovka.ru/forum/viewtopic.php?p=1208161#1208161 - боюсь, что комп заблокируется...(когда закрою firefox, комп пхд заблокируется)

http://qru.ru/1wp или http://qru.ru/1wq - не помогло

что делать? глюки начались.

[VR]

блин я выше написал что делать

[Balin]

не могу логи сделать

Добавлено спустя 19 минут 49 секунд:

нод, куреит с авастом молчат... (((

не могу удалить временные файлы: Пуск->Старндартые->Служебные>Очистка дисков не работает, висит... )

комп не заблокировался - в Firefox'e Инструменты->Дополнения->Расширения удалил все, но не помогло - баннер висит в отдельном окне, но не блокирует комп...наверное, пока не закрою окно...

запустил process Explorer:

вроде ничего лишнего...

смотрю реестр, все норм

нада бы посмотреть, что хочет достучаться до инета.... а, нада отрубиться от инета..... Ппц, токо скайп с торрентом домогаются инета, больше ничего (((

[Vol89]

То что приведено на скрине, это просто глюк, обнови и картинки загрузятся.

[VR]

не могу логи сделать

В чем именно проблема?

в Firefox'e Инструменты->Дополнения->Расширения удалил все, но не помогло

так же надо посмотреть Плагины