» Windows заблокирован!

подхватил заразу недавно,требующию оплатить смс чтоб разблокировать систему.думал всё труба дело,надо прощатся с тем что я скачал с инета и т.д. Но оказалось не всё так страшно,этот вирус херня.решил эту проблему так. с помощью портабельной операционной системы,вставил диск,гружусь,дальше всё просто,открыл диск С вошёл в програм файл,открыл утилиту AVZ иудалил эту хрень. если у вас нет таких прог в системе,в этомже режиме можно их скачать с инета,только надо заного настроить подключение.

обновился сервис от «Доктор Веб»
http://www.drweb.com/unlocker/index/

После лечения и удаления лже-антивируса вымогателя осталось окно при входе с единственной кнопкой Ок, размером с диспетчер задач пустое внутри один символ ввиде квадратика, топик есть с крестиком, но он не закрывает окна. CTRL+ALT+DEL - мигает задний фон и нечего не появляется при нажатии на ОК загрузка продолжается никаких признаков вируса не обнаруживается, те всё работает. AVZ ничего не находит как и другие антивирусы. Опция отключения окно при входе в систему AVZ не убирает его. Вообще оно не мешает,но должно все быть правильно.

IvANANvI

Цитата:

CTRL+ALT+DEL - мигает задний фон и нечего не появляется при нажатии на ОК загрузка продолжается никаких признаков вируса не обнаруживается, те всё работает. AVZ ничего не находит как и другие антивирусы.

А AVZ -> меню Файл -> Восстановление системы, поставить галки на все пункты, кроме 15 и 18, и кликнуть на "Выполнить отмеченные операции" ситуацию не меняет?

Еще анлокер, теперь от ESET
http://esetnod32.ru/support/winlock.php

И еще от Др.Веба PDA версия
http://www.drweb.com/unlocker/mobile/

Neon2
Не помогает. С этого и начал.

Billtm, а шапку прочесть?

Neon2
не было там, я только внес

IvANANvI, тогда скачай Universal Virus Sniffer, распакуй его в отдельную папку. Запусти start.exe, поставь галочки на "Выгружать..." и "Замораживать...", и кликни на "Запустить под текущим пользователем", а как запустится, выложи скрин его окна.

Vigorous, оперативно, тогда, Billtm, сорри и спасибо.

Я лично вообще забросил давно эти тупые пляски с деблокерами и подбором кодов. Загрузка с LiveCD, прогон свежим куритом с флэшки, потом в реестр - удалять ключи на запуск. Если курит не видит - то в реестр удалять ключи (мест, где они могут располагаться не так уж много). Если вирус "нагадил" - то скрипты восстановления системы из AVZ еще ни разу не подводили. Пресловутый eKAV 2 ("антивирус Internet Security") вылечил именно без применения курита (он его тупо не видел). Потом через несколько дней прогнал снова и файловые потоки NTFS, где пряталась эта гадость, курит почистил.

Neon2 счас уже не смогу (понравилась все-таки утилитка ) комп не мой, оставил им так как есть. Может со временем DrWeb найдет. Uvs я запускал все, что нашла все прибил без заморозки правда, в основном нашла ключи без файлов ибо их я вычистил руками ранее.

Uvs натравил по сетке на комп с eav(интернет секурити) - нифига не пашет - пишет ошибка связи с сервером. На самом компе пробовал запускать - толку ноль- смс окошко остается. Ндя не то ето семен семеныч.Старый добрый авз рулит

Если дает запускать программы (AVZ в том числе) то зачем изобретать велосипед, подключаясь по сети.

Добавлено:
8353 текст 7488004
подошел код сгенериованный ransomhide.exe для текста 7488002.
Вылечил прямо по телефону

Цитата:

Телефон = "8355, текст VZ BIR" Код:

mashka90 2

Цитата:

Телефон = "8355, текст VZ BIR" Код:

8991634226
или
qqXl2586

Aleks78
Да это полностью поднято с сайта DrWeb. Ничего нового. На сайте это уже давно.

Полезная ссылка для разгребания последствий от подобной напасти.

Компания «Доктор Веб» сообщила о серьезном обновлении утилиты Dr.Web CureIt!, предназначенной для антивирусной проверки и лечения компьютеров, в том числе, с установленным антивирусом другого производителя. В обновленной версии реализованы средства для эффективной борьбы с троянцами-вымогателями семейства Trojan.Winlock.
Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования. Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock.
Обновленная бета-версия Dr.Web CureIt! предназначена для работы на компьютерах под управлением операционных систем Windows 2000 и выше (32- и 64-битные версии). Скачать бета-версию утилиты можно отсюда.

Цитата:

Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования.

Хм, возникает несколько вопросов...Если мы запускаем этот беттаКуреит под WinPE то какой смысл имеет режим самозащиты? Если же непосредственно хотим в рабочей ОС, то как раз часто невозможно добраться до чего либо из-за мешающего блокирующего окна. Ну хорошо. Допустим есть способ запустить Cureit непосредственно после старта ОС.( К примеру поместив программу в папку Автозагрузка). Так а в чем преимущество работы сканера именно в ОС перед тем же BartPE ? Не улавливаю что-то...

tshudini

Цитата:

Если мы запускаем этот беттаКуреит под WinPE то какой смысл имеет режим самозащиты?

Никакого.

Цитата:

в чем преимущество работы сканера именно в ОС перед тем же BartPE ?

В том, что некоторым людям гораздо легче работать в ОС, не вникая (многие даже не знают, что такое BartPE). Естественно, этот способ применим исключительно в тех случаях, когда сохранилась возможность запускать exe файлы.

Вчера гонял чертей. Комп заходит в инет, после чего на экране начинают бегать черти и выскакивает предупреждение, что через 20 минут система будет уничтожена. Предлагает отправить СМС. Вирь создает папку и живет в ней: C:\SysFiles\aHH5KrZCjLfYk2i.dll. Естественно, прописывается в реестр на автозагрузку. Кроме того, создает файл: C:\Documents and Settings\All Users\Application Data\userlib.dll. Создает кучу ссылок на него в реестре на автозагрузку. Убрал с помощью Autoruns.

hohkn, это разные звери.
в C:\SysFiles\ - живёт баннер браузерный в частности в оперу внедряется через пользовательские яваскрипты. Заражение происходит, когда юзер непосредственно сам запускает предложенный ему яваскрипт.
а в C:\Documents and Settings\All Users\Application Data\userlib.dll - обычный винлокер. Заражение происходит запуском EXE файла самим юзером. В основном встречаются на порниках в виде типа плагина, плеера для просмотра роликов.
Вывод - хозяин компа большой любитель бесплатного порно.

ynbIpb
Уж это точно. Особенно - халява, плиз! Только эта зараза ему еще и системные файлы поцокала слегка. Если кому интересно, выкладываю эту заразу Черти.rar Пароль на архив 222

Есть машина с Windows XP SP3, которая инфицирована Trojan.Winlock. В мини-Windows'е, запущенном из загрузочного Hiren's Boot CD 10.1 удалось выполнить антивирусную проверку актуальной по дате утилитой CureIt, в результате которой был обнаружен и вылечен Trojan.Winlock.1053. Но, как оказалось, вылечен не полностью. После перезагрузки окна с смс уже нет, но загружается лиш фоновый рисунок профиля пользователя и всё - система висит и дальше не грузится. Диспетчер задач запускается только под уч. записью Администратор. Проверка выполнялась также повторно CureIt'ом и Касперским, в результате - чисто.

Подскажите, пожалуйста, где этот троян наследил в реестре, как убрать следы вручную? Спасибо.

Krusificio, скачиваешь и распаковываешь на жёсткий диск AVZ, потом загружаешься с харда и через Диспетчер задач запускаешь его и меню Файл - Восстановление системы.

Сегодня ходил на вызов. Чувак поймал что-то новенькое. Зверёк делает скриншот и напяливает его как фон, прописывает себя в shell вместо экплорера, блокирует диспетчер задач и вымогает как всегда смску)). Окошко маленькое по середине. Естественно при старте системы оболочка не загружается и всё выглядит как зависший комп, но маленькое окно посередине функционирует.


Как убить: При включении компа жмём F8, выбираем Безопасный режим с поддержкой командной строки, в консоли пишем explorer и уже можно спокойно лазить по компу, добераемся до редактора реестра, там открываем
ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр: Shell
и палим путь где лежит тело, бежим туда, убиваем тело. Исправляем параметр Shell на explorer.exe
И никаких антивирусов не надо. Или можно через AVZ пофикстить, за одно разблокируется доспетчер задач.

Virustotal: 4/40 (10%) свежак совсем
69adc1e107f7f7d035d7baf04342e1ca.avi.rar (pass: infected)
кому не лень разошлите аверам.

--------------- updated ----------------
Норм обменник, нажать: FREE, потом DOWNLOAD FILE

ynbIpb

Цитата:

Virustotal: 4/40 (10%) свежак совсем
69adc1e107f7f7d035d7baf04342e1ca.avi.rar (pass: infected)
кому не лень разошлите аверам.

Залил бы на нормальный файлообменник.

ynbIpb
каспер видит
вебу отослал
у меня на виртуалке вообще выщелкнул параметр Shell то бишь няма его в реестре

Новость в тему - http://www.profile.ru/items/?item=29674