» Windows заблокирован!

Aleks78
bredonosec
358
Решил попробовать вашу теорию. На ветке [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] в разрешениях у всех пользователей убрал права на редактирование этой ветки. При перезагрузке выдало BSOD:




Как я понял этот вариант не действителен. Хорошо что я пробовал это на виртуалке

udaffchik
на виртуалке всё может быть, ещё можно использовать проги ограничивающие изменение реестра (hips, firewall и др.) RegRun Security Suite Platinum - рекомендую.
для опытов с реестром - "Справочник от OSzone.net"

udaffchik

Цитата:

Решил попробовать вашу теорию. На ветке [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] в разрешениях у всех пользователей убрал права на редактирование этой ветки. При перезагрузке выдало BSOD:

А теперь попробуй с отнятыми правами снова их восстановить!
Не получилось? Тогда это вечный BSOD...

Цитата:

Хорошо что я пробовал это на виртуалке

Действительно хорошо!!!

hohkn

Цитата:

Не получилось?

Да нет же почему получилось. Зашел через лайв сд, ERD Commander, правка реестра, и там восстановил.

«МегаФон» ввел бесплатный номер для разблокировки Windows

Компания «МегаФон» и российский разработчик средств информационной безопасности «Доктор Веб» объявили о запуске совместного проекта по противодействию эпидемии троянцев-вымогателей семейства Trojan.Winlock, блокирующих ОС Windows на компьютерах пользователей. Теперь для разблокировки своего компьютера абонентам «МегаФона» достаточно отправить бесплатное SMS на специальный номер.

Trojan.Winlock — семейство вредоносных программ-вымогателей, блокирующих или затрудняющих работу с ОС Windows. Теперь абоненты, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows.

«Совместный проект с „Доктор Веб“ — это очередной шаг „МегаФона“ в рамках глобальной кампании по противодействию мошенничеству. Мы уверены, что только активные и скоординированные усилия всех заинтересованных сторон и внедрение передовых технологий способны решить эту значимую проблему и минимизировать ущерб от незаконных действий мошенников», — говорит Сергей Хренов, Начальник Департамента по борьбе с мошенничеством ОАО «МегаФон».

«Мы считаем очень важным подключение компании „МегаФон“ к активной борьбе с компьютерными преступлениями. Уже давно стало понятно, что усилий только антивирусных компаний в деле противодействия преступной модели, основанной на троянских программах типа Winlock, явно недостаточно. Совместными действиями с оператором мобильной связи мы обязательно добьемся позитивных результатов, поставив барьер на пути троянских программ и нейтрализовав механизмы монетизации мошеннических схем», — отмечает Борис Шаров, генеральный директор компании «Доктор Веб».

Модификации вредоносных программ семейства Trojan.Winlock получили широкое распространение в России с конца 2009 года. Начало 2011-го ознаменовалось новой волной троянцев-вымогателей. Сейчас жертвой злоумышленников может стать любой пользователь подключенного к Интернету компьютера. Многие абоненты, пострадавшие от троянца-вымогателя, идут на поводу у вирусописателей, отправляя SMS на дорогостоящие номера с premium-тарификацией для разблокировки ОС Windows, теряя значительные суммы денежных средств и не восстанавливая при этом работоспособность своего компьютера.

Цитата:

если вы абонент билайна то отправте 79602566501 на номер 3116, если абонент мегафона то 600 на номер 84444

ни один код разблокировки ни от касперского, ни от доктора веба не помог. При попытке запустить безопасный режим вылетал синий экран. Помог способ описанный пользователем SiOffO в ответах гугл, большой ему респект
Цитирую:
"SiOffO 14.02.2011 21:39:46
Есть гениально простой метод) правда не ко всем этим заразам подходит)
Если вызывается поверх вируса меню пуск или еще каким способом реально запустить обычный ворд, то введите в нем любой символ и тыкните на системнике кнопку выключения. Винда начнет выключатся и завершит все фоновые программы, в том числе вирус. а вот ворд так просто не сдастся, он не даст выключить комп без дополнительного подтверждения. там то мы и нажимаем отмену. и вуаля, мы в винде без вируса. Дальше дело в шляпе, удаляйте вирус в ручную, антивирусником, утилитами всякими... куда фантазия пойдет короче=) "

Сейчас локеры уже просто кодом не снимаются, только выковыривать.

murka_anka
этот гениальный способ висит в шапке пять тыщщщ лет

p/s/ мда, исчо хто то наивно исчет коды

358
Ну так раньше все было по честному с кодами а вот сейчас...

Aleks78 (15:10 20-02-2011)
Цитата:

по честному

ага, у волшебника Сулеймана, всё по честному - без обмана
вот интересно будет по началу, когда какой нить умник придумает баннер, который всплывает при перезагрузке\выключении компа (не при запуске!) со страшилками, что мол всё отформатирую\уничтожу если бабла не даш! хорошая картина

p/s/ сегодня убил баннер на семёрке(!!!), зловред прописался на D xxx.video, всё гут, но после перезагрузки ноут стал зависать при запуске ОСи, похоже слетает загрузчик MBR
p/p/s баннер в xp - адрес закачки оперы - xxx.video17504.avi. - подменяет Shell (причём как минимум 2 раза) - нужно смотреть автозагрузку и тут же чистить реестр, и прочее(

Борьба с блокировщиками Windows и sms-вымогателями: универсальная методика
Как избавиться от порно-информера?

Все эти подбороны кодов уже давно не работают . Смотри подробно описано как убрать банер http://kirzhak.livejournal.com/

fornemen, самопиар?

fornemen
Ничего нового там нет !

Сегодня принесли ноутбук с смс вымогателем,на контрол-альт-дел не реагирует и в безопасном режиме высвечиваеться!
номер 8-965-067-66-76 поля смс нет

Armis
Ну и ?

Armis
Обычного вида вымогатель, последних двух недель. Подходят коды у доктора вэба и каспера:
Одни из последних:
avothui0
70000004

В загрузке в ключах либо вместо диспетчера задач (taskmanager) либо эксплорера. Вида *xxx*avi*.exe, лежат прямо по месту скачивания.

Aleks78
?

IvANANvI
( ключи не подошли,прошерстил по ссылкам в интернете и на http://forum.kaspersky.com/index.php?showtopic=199377 нашёл Universal Virus Sniffer которая чудно как помогла (спасибо ей большое и автору)

UVS известная программа, не раз упоминалась здесь. Коль уж пошла загрузка с другого носителя, то вариантов лечения очень много.

Armis
Под такие локеры кодов нет, вернее они им не нужны.

Доброго времени суток, помогите плиззззззз!!
Проблема, естественно, смс-блокер!! На сайтах антивирусов нужного кода не нашёл, но на форуме Касперского, наткнулся на программку Universal Virus Sniffer http://forum.kaspersky.com/index.php?showtopic=199377
Сделал всё, как указано в руководстве, (записал образ на диск) но на определённом этапе возникла проблема, а именно переходя в "Тотал Командер" у меня отображаются в компьютере только 3-и диска: А(флопик), С, Х, CD-ROM не отображается и соответственно файлов, которые нужно запускать, взять неоткуда!! На форуме каспера подобной проблемы не нашёл, здесь перечитывать 69 страниц это ... !
Пожалуйста подскажите в чём может быть проблема или киньте ссылку на нужную страницу, раздел!!

Krasvord
в BIOS`е привод определяется? если нет.можно так

Krasvord, обратите внимание на диск X.

358
Рабочий стол заблокирован порно-блокером и соотв. в меню пуск зайти я не могу!!
Привод рабочий, потому что тотал командер (на скрине) я запускал из мини-системы расположенной на диске!
Диск Х это мини-система, в руководстве по работе с программой, форум Касперского, сказано что этот диск вообще трогать не надо!!

Krasvord (17:38 06-03-2011)
Цитата:

Диск Х

там же внутри и есть сама программа,Neon2 выше о том же говорит)
найдите там папку uVS и запустите start.exe

Цитата:

запустите start.exe

Если сборка на компакте, а uVS в чистом виде (не SFX с распаковкой на временном диске), он не запустится: нужен доступ на запись в своей папке.
Если в чистом виде, нужно скопировать на винчестер и запустить оттуда.
Но если программа интегрирована в систему, а система грузится в память, тогда проблем не будет.

Krasvord
А классического проводника в сборке нет?
uVS входит во многие сборки (правда, как правило, довольно старого образца - 3.12). Это если проблема в отсутствии драйверов для диска, а не в ТС.

358
В диске "Х" программы uVS нет ни в каком виде!!
Erekle
Цитата:

А классического проводника в сборке нет?

Не совсем понял о чём вы!! И как он может мне помочь?

Уважаемые доброй Ночи!
подскажите поймал порно банер просил отправить 500 рубл на номер МТС
у меня диск разбит на С( система блокирована на нем) и D
с Диска D зашел в комп и на диске С удалил в программах файл- xxx.video_avi
баннер исчез но рабочий стол ПУСТ ни одного ярлыка нет в нижней строке тоже
переустанавливал Винд дискС 2 Раза результата никакого нет
рабочий стол по прежнему пуст
подскажите как быть?с Ув Юрий
прошу писать подробно тк в компе чайник

Цитата:

Не совсем понял о чём вы!! И как он может мне помочь?

Другими словами - виден ли диск в Эксплорере.
В левой стороне выберите не Тотал, а Windows PE.

Цитата:

Другими словами - виден ли диск в Эксплорере.
В левой стороне выберите не Тотал, а Windows PE.

Диска не видно!!!!

Ладно. Во-первых, если вы искали на Х: uvs.exe, такого нет, программа стартует через start.exe.

Второе. Если в сборке есть выход в интернет, скачайте программу сами (ZIP-архив, 2 мб) на диск С: и запустите start.exe оттуда. Если сети нет, скачайте на другом компе и положите на С: (надеюсь, проблем с подсоединением флешки у сборки не будет). Это легче, чем качать целую (некривую) сборку.