Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...

[VR]

Для получения кода заходим на специальную страницу на сайте или страницу и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile

---

Разблокировка системы через загрузку в Безопасном режиме

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

Шаг 22. Перезагрузите компьютер в обычном режиме.

---

Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

7. В окне с информацией об успешном завершении записи нажмите ОК.

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер

---

Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:

#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.

---

Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

[Balin]

плагины все отключил - о, нету банера...

[VR]

теперь нужно найти вредоносный плагин и удалить его

[Balin]

Чем его искать? Как его найти? и где?

[dibar]

Интересная методика бороться с вирусами "вконтакте", которые не лечатся редактированием файла hosts.

Да-да! далеко не все побеждаются этим методом!)

Открываем реестр.

Ветка: HKEY_LOCAL_MACHINE

далее - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Вот тут НИЧЕГО не должно быть!)

Допускается - по умолчанию.

Это роутер, замена хосту!)

Сколько уже людей сломало копья об хостс, и так ничего не добилось)

[Аленкин]

а можно простой командой net flush reset

[VR]

или проще всего удалить статические маршруты командой route -f

[PiroMan]

Здравствуйте!

Прищёл с такой проблемой

Сходил к другу с внешним винтом, подцепил вирус, вылез баннер, переустановил систему(парится не охота было)

Так вот - "Как удалить этот вирус с внешнего харда, чтоб он не перебрался на комп?"

И еще вопрос - "Какой антивирус лучше всего помогает от подобных проблем?"

Когда всё произошло стоял NOD32.

[Hannibal]

PiroMan

проверь сканером Доктор вэб или Касперским (сканером)!

мне помогло.

не надо свой винт куда попалы втыкать

ну и зря систему снёс!

[PiroMan]

Кстати весь прикол был в том, что ни одна клавиша на компе не работала (и live cd не у меня был)

[VR]

Hannibal

К выше сказанному добавлю отключить автозагрузку со всех носителей информации и вручную удалить если останется после проверки антивирусом autorun и тело самого вируса.

И еще вопрос - "Какой антивирус лучше всего помогает от подобных проблем?"

Не один антивирус не дает 100% защиты, лучшая защита это голова

[PiroMan]

Hannibal

VR

Спасибо большое!

Также для убедительности касперычем проверил (нашел трояна еще одного!)

На форумах пишут что рекламные баннеры на флэшках создают папку RECYCLE (мб кому пригодится)

[wyzape]

помогите пожалуйста, у меня банер вылез с просьбой закинуть на МТС 400 руб, а я никак не могу войти в безопасный режим, вот думаю может на моей USB-шной клаве другая кнопка, на ноуте вообще не работается блин, подскажите пожет есть код у кого, те что вверху не подходят, на все сил не хватило(((((

[_andy_]

wyzape

Сегодня у знакомых убирал такой баннер, через безопасный режим бесполезно - тоже блочит.

Загрузился с лайв-диска и удалил его прогой Троян ремовер, после винда не хотела загружаться, пришлось восстанавливать.

[wyzape]

Wicket

вообще не обрадовали((( и диска нет чтоб винду сносить

Люди!!! что делать-то???? помощь нужна!!!!!

[Factor]

wyzape, что требуется сделать? SMS отправить? если да, то на какой номер и какой текст SMS?

[Аленкин]

Wicket этот ремувер грохнул сам вирус, а реестр кто будет править? в этой теме всё разжевано, как править и где править.

[VR]

wyzape

Напиши номер телефона а так же будет полезно если выложишь скрин или фото этого банера

[_andy_]

Аленкин Кучу файлов он грохнул этот вирус, не только реестр! После удаления этого порнобаннера, винда не загружалась, только черный экран с курсором и всё!

Стандартными способами не получилось восстановить винду и спец. прогами тоже.

Номер я полностью не помню, начинается так 8 983 435 ****.

[Dar_Dorzhiev]

СПАСИИИБОООО!!!!БОЛЬШОЕ,....)))файл hosts был изменен "г*ды",,..чуть чуть винду не скинул СЕМЕРКУ))))просто стер данные которые добавили и помогло...

[wyzape]

все переустановила сегодня, комп почистила, прямо как новенький заработал))) моему счастью нет предела.

правда теперь ноут не работает, вроде загружается а дальше ничего не открывается, думаю тоже придется переустанавливать, вот только не умею на ноутбуках

VR

скрин к сожалению поздно, а номер был 89153774513, кстати когда чистила порнобанер был с файлообменника, видимо когда что то загружала, как всегда за ненадобностью(((

[Vol89]

Отличная инструкция как убрать баннер, новый появился - там же есть ссылки как включить, редактирование реестра и запуск рабочего стола.

[Alker]

Отличная инструкция как убрать баннер, новый появился - там же есть ссылки как включить, редактирование реестра и запуск рабочего стола.

Сегодня моя ученица принесла компьютер именно с этим блокировщиком экрана. ОС Windows XP.

В момент загрузки приветствия нажал CTRL+ALT+DELETE для вызова диспетчера задач и затем сразу удержал CTRL+ESC (возможно кому-то больше повезет с сочетанием CTRL+SHIFT+ESC, тут сноровка нужна). Далее в проявившемся диспетчере задач завершил процесс nvcvc32.exe.

Получил доступ к рабочему столу, в gpedit.msc разблокировал реестр, ну и тут вирусу пришел конец. Остается только догадываться, как восьмиклассница набрела на баннер и куда смотрели ее родители. Кстати, она отправляла смс, но никакого ответа не получила.

[PiroMan]

Alker

Эти баннеры могли принести друзья, а еще при открытии некоторых сайтов с софтом, играми открываются порно сайты (ну эти у меня файрвол блочит)

[Alker]

PiroMan

Это понятно, вопрос был риторический.

Когда при серфинге блокируется браузер, пользователи чаще соглашаются пройти по ссылке, тем самым подписывая себе приговор и значительно реже догадываются в диспетчере задач просто убить iexplore.exe.

Думаю, родители могут побеспокоиться о своих чадах заблаговременно, прописав DNS-ки от Netpolice. Подробнее здесь: http://www.netpolice.ru/filters/dns-filter/connect/

Данный фильтр на скорость открытия web-страниц, а так же на ping в online-играх не влияет, а вот проблема с опасными ресурсами может быть решена.

[PiroMan]

Alker

Ага это когда вылазит надпись "Вы действительно покидаете этот сайт" нажимают "ДА"(кстати в последнее время редко её встречаю)