» Windows заблокирован!

JulianaC
Ставьте. Если после перезагрузки в систрее появится "звезда героя" (когда появится - поймёте, о чём я) - в этой теме написано, как это вылечить.

gjf
У меня голова пошла кругом и я если честно просто не поняла, что и как надо будет сделать...

Я же дал совет, а так

Цитата:

При обновлении винда спрашивает: установить автомат. проверку подлинности видоус?

Получите номер рас.
Я же предупреждал.

Цитата:

"ВДРУК" возникшей проблеме

И ещё раз предупреждаю и советую

Цитата:

Удалите нафиг это старьё

ибо

Цитата:

много глюков

и простым обновлением НЕ поможете.
А по вопросам установки почитайте в ЭТОЙ теме (и не важно что про ноуты). Или в сдесь

Ходил сегодня на вызов, изгонял вымогателя...

Заражение: юзер собственноручно скачивает файл под именем типа vip_porno_24008.avi.exe с иконкой медиаплеера и запускают его, думая, что это заветное порно. После запуска зверёк открывает гейский сайт в браузере и блокирует момантально экран, а не ждёт перезагрузки. Вымогает денег на мобилу, на разных машинах разные номера телефонов и разные суммы.
Функционал: делает скриншот и ставит его как окно поверх всех, а потом уже своё окошко с текстом, таким образом у юзера создаётся впечатление, что неработают ярлыки и кнопки на рабочем столе.
идёт в реестр
ключ - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
параметр - DisableTaskMgr значение - 1 (оключает диспетчер задач)
ключ -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр - Shell значение - полный путь к файлу зверька из того места где впервые запустили\vip_porno_24008.avi.exe (обеспечивает себе автозапуск и одновременно убивает explorer)
ключ - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
там имеется два ключа Minimal и Network, он их переименовывает добавляя в конце _ (убивается запуск в безопасном режиме)
Там ещё гдето шарится, но лень вникать было...
Лечение: Загрузиться с LiveCD и Открыть редактор реестра, выбрать например раздел HKEY_LOCAL_MACHINE, потом меню Файл\ Загрузить куст... указать путь к файлу C:\Windows\System32\config\SOFTWARE заражённой системы, обозвать как угодно, и перейти в нём на ключ - Microsoft\Windows NT\CurrentVersion\Winlogon параметр - Shell перебить на explorer.exe и Файл\ Выгрузить куст...
Перезагрузка...
Оживает система, потом в AVZ выполнить Файл\ Восстановление системы.
з.ы.
Более чёткий скриншот с виртуалки: _http://img257.imageshack.us/img257/6937/78137727.png
код разблокировки распечатается на чеке. Бугага!!!
тело: vip_porno_24008.avi.rar

Некоторые баннеры пытаются сесть в систему с предложением обновить именно адоб флаш плауер.
Нефиг обновлять неизвестно откуда - избежите массу проблем.
Кстати!
Если Вы видите окно с сообщением типа "Установить новый .... " и кнопки "Да"
или "Нет" -просто закрывайте страницу/браузер. Нажатие кнопки "Нет" не спасает (хрень ставится все равно).


Добавлено:
ynbIpb
Спасибо.
Ввод 12 значного кода убирает баннер.
Сам троян сидит в rs.

А вот что делать, если и в безопасный не грузится? Ничего вообще запустить не могу. Лайвсд доктора веба ничего не находит.

reanimator
А точнее. В безопасном баннер тоже виден? или просто система не загружается?
Лайв сд в помощь! (отличные решения есть на форуме)

DonDD
Невозможно в безопасный загрузится. Начинает грузится, потом на секунду бсод и перезагрузка. Вроде сейчас что-то получилось. Успел нажать выключение до полной загрузки - баннер пропал и появилась возможность запустить что-то ещё, кроме лайва доктора. Пока авз прогоняю.

Цитата:

Ввод 12 значного кода убирает баннер.
Сам троян сидит в rs.

В моём случае не убирается (сейчас проверил на виртуалке, вводил любые 12 цифр), вероятно в нём вообще не заложено функционала разблокировки. Я не ищу лёгких путей, люблю убирать вручную, к тому на вызове надо показать как тяжело и трудно убирать зловреда, чтобы оплаченая сумма оправдывала себя))
Что значит "сидит в rs" ?


Цитата:

А вот что делать, если и в безопасный не грузится?

Необходимо загрузиться с LiveCD, который поддерживает работу с реестром и заглянуть в ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot заражённой машины, если там удалены ключи Minimal и Network, то их надо взять гденибудь и восстановить, тогда уже можно работать из безопасного режима с AVZ
или пройтись по популярным веткам загрузки троянов и почистить ручками.

ynbIpb
Когда грузился с лайв сд, такой ветки не было вообще. Видимо по этому безопасный и был заблокирован. В общем ничего. Удалось победить эту заразу.

gjf (12:24 21-05-2010)
Цитата:

вот эту версию AVZ

в этой версии обновление баз?
хотя...я выполнил обновление через Файл-Стандартные скрипты...правда не знаю насколько так действительно верно...сохраняется ли база обновлений после перезапуска?


KOMSOMOLEC1 (23:27 23-05-2010)
Цитата:

номер: 8-800-555-01-02

Цитата:

Также, Вы можете пожаловаться оператору, которому принадлежат короткие номера - 3649, 4460, 5537, 1171, 5014, 1161, 1899, 5013, 1151, 1141, 1131, 1121
Сайт компании – http://www.a1agregator.ru/
Служба абонентской поддержки:
8-800-100-73-37 (Звонок из России бесплатный);
38-044-581-57-14 (Звонок из Украины бесплатный).
8 800 555 01 02 (ТОЛЬКО по России бесплатно с городского телефона)
Для приема обращения информации по выявлению СПАМ-рассылок выделен номер круглосуточной горячей линии:
(495)643 99 94
(495)363-14-27(доб.555)
Звоните, называйте название блокиратора, код, который вам выдаёт и получаете разблокировочный код.

подсмотрел здесь

я последнее время по номеру ищу провайдера и звоню в техподдержку, там сразу говорят код разблокировки, спрашивают не дослушав какой код и сообщают код разблокировки

358
Нет, та версия не обновляется.

gjf (22:35 10-06-2010)
Цитата:

версия не обновляется

...я когда после скрипта обновил (с флешки), появилась папка "Base" в корне...удалил её, а сабж стал в роли ярлыка...и не запустился...может он обновляется?...или что то меняется в настройках?...хотя на страховку скопировал обычную версию AVZ - которая работала...
Добавлено:
..."изгонял" "демонов" на номер +964...помогает только загрузка с LiveCD...советую сразу проверять/исправлять реестр...времени не хватило/машина убитая...;(
Добавлено:
Как избавиться от навязчивого баннера, требующего отправить SMS
Разновидность вируса, который просит отправить СМС. Как удалить?
Windows заблокирован. Для разблокировки про отправить смс. что делать? Хелп

..подобные "живые" форумы по проблеме

Свежие зверьки
http://slil.ru/29328542
http://slil.ru/29328545

пароль на архивы 12345

Последнее время с ответами на запросы от всяких яндекс денег и номеров сотовых стало туго, поэтому проще всего на данный момент загрузившись с флешки восстановить реестр с точек восстановления, если конечно они есть, обычно бывают... а потом уже искать и лечить...

Цитата:

Чтобы случайно не запустить браузер от админа делаем следущее (описание для Win7):
Нажимаем правой кнопкой мыши (ПКМ) на *.exe файла браузера (в нашем случае это opera.exe),
Свойства\ Безопасность\ Группы или пользователи Изменить... \ Группы или пользователи Добавить...
Пишем текущего юзера с правами админа из под которого сидите, Проверить имена \ и OK
Выделяем нашего юзера в списке, внизу отмечаем птику Полный доступ Разрешить, а потом Чтение и выполнение Запретить. ОК и ОК.
С Internet Explorer могут быть проблемы.

Достаточно поставить пользовательский стиль с красным цветом фона страниц.
И забить какой-нибудь несуществующий прокси.

358


Цитата:

KOMSOMOLEC1 (23:27 23-05-2010)
Цитата:
номер: 8-800-555-01-02

Цитата:

Цитата:
Также, Вы можете пожаловаться оператору, которому принадлежат короткие номера - 3649, 4460, 5537, 1171, 5014, 1161, 1899, 5013, 1151, 1141, 1131, 1121
Сайт компании – http://www.a1agregator.ru/
Служба абонентской поддержки:
8-800-100-73-37 (Звонок из России бесплатный);
38-044-581-57-14 (Звонок из Украины бесплатный).
8 800 555 01 02 (ТОЛЬКО по России бесплатно с городского телефона)
Для приема обращения информации по выявлению СПАМ-рассылок выделен номер круглосуточной горячей линии:
(495)643 99 94
(495)363-14-27(доб.555)
Звоните, называйте название блокиратора, код, который вам выдаёт и получаете разблокировочный код.

Пролоббируйте, пожалуйста, добавление этой инфы в шапку. а то народ тут изголяется, по сайтам антивиров лазит, прогами сканирует, многим, ведь, нужно избавление от этой фигни срочно.
Пусть в шапке будет инфа с телефонами, люди спасибо скажут.

KOMSOMOLEC1
я шапку не правлю, может кто другой возьмётся

2 All как насчёт добавления в шапку
[more=получения кода разблокировки по телефону и жалоба на короткий номер с проcьбой отправить смс]
Цитата:

Также, Вы можете пожаловаться оператору, которому принадлежат короткие номера - 3649, 4460, 5537, 1171, 5014, 1161, 1899, 5013, 1151, 1141, 1131, 1121
Сайт компании – http://www.a1agregator.ru/
Служба абонентской поддержки:
8-800-100-73-37 (Звонок из России бесплатный);
38-044-581-57-14 (Звонок из Украины бесплатный).
8 800 555 01 02 (ТОЛЬКО по России бесплатно с городского телефона)
Для приема обращения информации по выявлению СПАМ-рассылок выделен номер круглосуточной горячей линии:
(495)643 99 94
(495)363-14-27(доб.555)
Звоните, называйте название блокиратора, код, который вам выдаёт и получаете разблокировочный код.

[/more]

Пора кажется заблокировать СМС блокираторов с номером 5121, т.к. он уже переплюнул по количеству вариантов тестового сообщения до недавнего времени популярного 8353 (этот же больше не используется мошенниками, значит есть меры).
Известно основное место заражения по номеру 5121 - это социальная сеть вконтакте.

Лечил свежего зверька тупо прописывается bldjad.exe в winlogon и копируется во все профили юзеров (плюс несколько тмпшек того же размера). Ничего кроме livecd не помогает клава пашет тока в окне банера, в безопасном тоже самое . Чистка ключа winlogon и удаление тела помогает.
Что интересно при проверке дома тела зверька каспер и нод на него не ругались ( базы были от 15, 2 дневной давности). На VM с каспером файло запустилось и заблокировало все. Правда по сети удалось удалить тело и ключ из реестра. После обновления баз каспер после удаления проги предлагал полное сканирование с обязательной перезагрузкой . Классификация по касперу trojan.generic
Может, добрые люди придумали способ, чтоб запустить что-нибудь поверх банера в таких случаях?

regist123 (12:44 18-06-2010)
Цитата:

как насчёт добавления в шапку

думаю нужно

IvANANvI (14:39 18-06-2010)
Цитата:

Пора кажется заблокировать СМС блокираторов

странно вообще что до сих пор не прикрыли эти номера, агрегатор известен, дело техники в принципе, и подобных баннеров по умолчанию станет меньше

slay1212 (15:05 18-06-2010)
Цитата:

способ, чтоб запустить что-нибудь поверх банера

действительно первая проблема "прикрыть" его,было бы не плохо обновлять варианты решения вопроса.
в шапкеконечно

Мой способ борьбы с "блокерами" (может кому не единожды поможет) :
N.B: Рассматривается только вариант когда блокер не полностью закрывает Рабочий стол(т.е. есть место где можно щелкнуть мышкой)

1. Установка Far Manager. Если не видите куда для продолжения нажать - жмем ALT+Space выбираем переместить и перемещаем где можно нажать. Так же любое приложение и окно можно переместить.

2. Запускаем Far, жмем F11 и выбираем "Список процессов" (диспетчер задач обычно либо выключен, либо сворачивается сразу в трей).

3. Ищем процесс который ЯВНО не от служб компьютера (если сомневаетесь - зайдите в процесс по F3 и посмотрите откуда файл грузится). Убедились, что файл "фуфловый" убиваем процесс кнопкой Shift+DEL, окошко банера должно убиться ))).

4. Скачиваем новые базы для антивируса и делаем полную проверку компа.

P.S: C таким способом - ни разу Live CD не использовал .

Цитата:

Компания «Доктор Веб» сообщает о начале предоставления бесплатной технической поддержки для всех пострадавших от действий вредоносных программ семейства Trojan.Winlock. Теперь пользователи могут оформить запрос о разблокировке и получить квалифицированную помощь непосредственно от специалистов компании.

https://support.drweb.com/new/free_unlocker/?lng=ru

scara6ey
Данный вариант работает если это все дают запустить. Обычно никакую программу, а фар в первую очередь запустить не удается.

IvANANvI
проверял с порнобаннером описанным чуть выше. При разрешении 1280*1024 можно или с рстола или панели б.запуска стартовать фар - сдвинуть окно - запустить диспетчер процессов и тп. Но после удаления тельца и ключа из реестра до перезагрузки работают только несколько (не все горячие клавиши). мышкой перейти к другому окну и щелкнуть не удается. После перезагрузки все ок. Ну а если во весь экран - то все только livecd или по сетке с др компа.

slay1212 если FAR дают запускать, то рекомендую воспользоваться ALT+ENTER (DOS графический режим). Тогда банера поверх не будет точно.

Вот здесь интересный способ, сам правда не проверял.