Вирус вымогатель: Ваша Windows заблокирована... Отправьте СМС...Заблокирован vkontakte...

[VR]

Для получения кода заходим на специальную страницу на сайте или страницу и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки.

Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile

---

Разблокировка системы через загрузку в Безопасном режиме

В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра.

Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера.

В безопасном режиме загружаются:

- минимальный (базовый) набор драйверов;

- стандартные системные службы.

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК

Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК

Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 21. Нажмите клавишу Enter на клавиатуре.

Шаг 22. Перезагрузите компьютер в обычном режиме.

---

Разблокировка системы с помощью Kaspersky WindowsUnlocker

Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10).

Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб)

Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы).

Запись образа утилиты USB-носитель.

1. Подключите USB-носитель к компьютеру.

*110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно.

2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского

3. Запустите файл rescue2usb.exe

4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор...

5.Выберите из списка нужный USB-носитель.

6. Нажмите кнопку СТАРТ и дождитесь завершения записи.

7. В окне с информацией об успешном завершении записи нажмите ОК.

8. В параметрах BIOS на закладке Boot задайте загрузочный диск

9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive.

10. Если вы записали образ на USB-носитель, выберите Removable Devices.

11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру.

12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu.

13. Нажмите на любую клавишу.

14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER.

15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим

16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре.

17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре.

Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root.

18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk,

19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов.

20. Запусти проверку нажав Выполнить проверку объектов.

21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия:

22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor.

23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер

---

Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.)

У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким:

#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999

При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше).

Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет.

Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath.

- в правой нижней части экрана нажмите кнопку Пуск

- выберите пункт Выполнить

- в окне Запуск программы в поле Открыть введите regedit

- нажмите на кнопку ОК

- в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

-должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние

- нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить

- в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс

- нажмите на кнопку ОК

Способ №2. Очистка Hosts с помощью HiJackThis

Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно:

Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked":

Появится такой запрос:

Нажимаем "Да". И перезагружаем компьютер

Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты

Восстановить вручную таблицу статических маршрутов.

1. В левой нижней части экрана нажмите на кнопку Пуск.

2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка

3. В окне командной строки введите команду route -f

4. На клавиатуре нажмите на клавишу Enter.

---

Дешифровка файлов после шифровальщика

Утилита RectorDecryptor

Последнее обновление: 10 апреля 2014 г. //VR

[VR]

Remiorom

делай логи http://ulanovka.ru/forum/viewtopic.php?t=54237

[би]

Я всё это перепробовал, а вконтакт всё равно зайти не могу(((

что делать???

[VR]

Делать логи, как написано тут

[hibastos]

*23 Помоги с таким банером

http://ulanovka.ru/uploads/old_images/users/34675/DSC03130.JPG

[VR]

hibastos

первое сообщение в теме читали

[CoolNero]

hibastos http://forum.kaspersky.com/index.php?showtopic=205375&st=60,этот вирус вроде userinit.exe подменяет.

[Vsadnik665]

Как проверить, какие системные файлы были заменены вирусом WinLock?

Вылезал баннер - оплатите штраф по такому то номеру 8911726****. Номер меняется при нажатии ctrl + alt + delete.

Загрузился с Hiren's BootCD 13.1 - мини XP, в реестре заменил значение shell на explorer.exe, удалил файл, что там указан, в Windows/system32 поменял userinit.exe, taskmgr.exe. Как узнать какие еще системные файлы были заменены? (винда грузится без проблем)

с того же диска (Hiren's BootCD), AVZ не нашел ничего, утилита DrWeb CureIt - срок действия лицензии истек. Я так понимаю надо новый CureIt качать?

[VR]

Vsadnik665

теперь я так понимаю винда в обычном режиме грузится, если да то делай логи AVZ

[Alex-PC]

Новый банер, вылазит не на рабочем столе, а ДО ЗАГРУЗКИ Виндоуса, может кто сталкивался с таким дайте совет как убрать просит денег в размере 500 рублей на номер 89037091119.

ps Реестр в разделе winlogon смотрел там все нормально! утилиты от касперского и drweb не чем не помогли. папки пользователей просмотрел все, тоже ни кого не нашел!

[deface]

В корневой папке Браузера посмотрите левые файлы.

[BARDAN]

Чо за хрень ?

This IP is being shared among many domains.

To view the domain you are looking for, simply enter the domain name in the location bar of your web browser.

[Вконтактер]

Доброго Времени суток!

Ничего не предвещало беды,но тут бац!

Просит отправить 400рублей на номер МТС 8-918-202-75-08

Вылезло такое на обычном сайте(не на порно)

Прошу,помогите пожалуйста *31

Заранее спасибо!

[Jericho]

Читай первую страницу,мне в свое время помогло!

[Вконтактер]

А если винду переустановить,поможет?

[пионер]

Вконтактер

переустанавливай, как сделал я сегодня

[Jericho]

Зачем переустанавливать?

Как разблокировать систему?

Чтобы разблокировать систему, выполните следующие действия:

Шаг 1. перезагрузите компьютер в Безопасном режиме:

- В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка.

- Нажмите кнопку F8 до того, как появится логотип Windows.

- Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt).

- Нажмите клавишу Enter на клавиатуре.

- В списке операционных систем выберите систему, в которую требуется выполнить вход.

- Нажмите клавишу Enter на клавиатуре.

- Дождитесь появления окна cmd.exe (окно командной строки) на экране.

pic

Что делать, если компьютер загружается только в обычном режиме?

Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия:

скачайте архив safeboot.zip.

распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip)

в зависимости от операционной системы запустите reg-файл:

-для ОС Windows 2000 файл реестра SafeBootWin200.reg;

-для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg;

-для ОС Windows XP файл реестра SafeBootWinXP.reg;

-для ОС Windows Vista файл реестра SafebootVista.reg;

-для ОС Windows 7 файл реестра Safeboot7.reg;

нажмите кнопку ДА в окне Редактор реестра.

Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре.

Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме.

В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No).

Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run)

Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit.

Шаг 6. Нажмите на кнопку ОК .

pic

Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить .

Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса).

Шаг 10. Закройте окно Изменение строкового параметра.

Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить .

pic

Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да .

Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM.

Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить .

Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да.

pic

Шаг 16. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее.

Шаг 17. Нажмите клавишу Enter на клавиатуре.

pic

Шаг 18. Перезагрузите компьютер в обычном режиме.

Мне реально помогло,а случай был такой же как у тебя!

[Freedom]

Слушай, а у тебя перед этой картинкой java 6 не выскакивал?

Я такую фигню 5 раз цеплял...

[VR]

пробовал выполнить то что а первом сообщении?

[Вконтактер]

Не получается,с виндой поможет?

[_andy_]

Читай первую страницу,мне в свое время помогло!

Уже не поможет, т.к. сейчас они стали более продуманнее...

Этот винлок убивает или подменяет системные файлы, вчастности userinit.exe

• 1. Нужно загрузиться с ЛайвСД, подключиться к удаленному реестру - поправить ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, проверить ключи Shell и Userinit.
  Shell - explorer.exe,
  Userinit - C:\WINDOWS\system32\userinit.exe,
  Если до и после что то дописанно,то это и есть путь до исполняемого файла. Aplication Data/ и.т.д....
  Исправь как выше и запомни путь куда эта зараза прописалась, потом удалишь.
  Ещё конечно можно посмотреть ключи Run и Host, но это другая тема
  2. Лезем через TotalCommander в папку System32 излечиваемой системы. Там ищем userinit.exe, смотрим на дату создания файла. Если дата от 2004-го года и ранее - всё нормально. Если свежая - удаляем.
  Проверяем наличие здоровой копии в папке System32/DllCashe. Если она там ещё есть - повезло, копируем в System32 с заменой поддельного файла. Если нету - лезем в содержимое ЛайвСД в папку i386/System32 и берём там нужный нам файл. ВНИМАНИЕ - ЭТО ДЕЙСТВИЕ ПРИМЕНИМО ТОЛЬКО К WINDOWS XP. Для систем, следующих поколений придётся искать файл необходимой версии в других местах. Можно вообще накидать в папку на флешке userinit'ы от основных систем на такие случаи.

[VR]

Коллективно была выработана следующая инструкция для пользователей:

I этап (выполняется на чистой от вирусов машине)

1. Скачайте на компьютере, с которого сейчас пишете, образ ERD Commander (для Windows XP - версия 2005 (5.0), для Vista - версия 2007 (6.0), для Windows 7 - версия 2009 (6.5)).

Ссылки ищите в Google, например.

2. Если на зараженной машине отсутствует CD/DVD привод, создайте из этого образа загрузочную флешку (как это сделать ищите самостоятельно в Интернете).

В противном случае записываете образ на болванку, например, с помощью Nero

II этап (выполняется на заблокированной машине)

1. Зайти в BIOS и поставить в качестве первого устройства (First Boot Device или что-то подобное) загрузки CD-привод (если записывали на болванку) или USB-HDD (для загрузочной флешки)

2. Вставляете диск в привод (или подключаете флешку) и загружаетесь

При загрузке Вы должны указать диск, на который установлена заблокированная система

3. Пуск - Выполнить - erdregedit (можно попробовать Пуск - System Tools - Registry Editor)

4. Посмотрите в реестре:

ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

userinit

параметр

shell

Значения этих параметров напишите в своем сообщении

Отсебя добавлю у нас есть следующая раздача ERD Commander http://ulanovka.ru/forum/viewtopic.php?t=174833

[mihailaka666]

Второй раз сегодня столкнулся с данным вирусом, второй раз путь решения тот - же:

1. Загружаюсь в безопасном режиме с поддержкой сетевых драйверов.

2. Скачиваю http://www.freedrweb.com/cureit/?lng=ru вот эту штуку

3. Проверяю на вирусы

4. Вируса как не было.

Главное скачать последнюю версию. Еще есть одна мелочь которую я заметил, на XP в безопасном режиме можно пользоваться компьютером, на Vista нихера, думаю на семерке та же трабла, скорее всего http://www.freedrweb.com/livecd/ помогает 100%.

[Вконтактер]

mihailaka666

А как зайти в безопасный режим?

[mihailaka666]

F8 при загрузке тыкай истерично

[пионер]

mihailaka666

почему баннер даже в безопасном режиме не даёт возможности ничего делать