» Windows заблокирован!

Начни с этого: http://forum.kaspersky.com/index.php?showtopic=199377

предлагаю всем у кого такие проблемы глянуть сюда (уже 4 раза выручала флешка и програ на этом сайте)
Здесь:
http://krasgmu.net/publ/2-1-0-64

(это не спам - реально спасает!)

пару раз ловил такие банеры, как установи себе антивирус symantec - сразу чисто!

Новый вирусок, только сегодня добавили в каспер. Trojan.win32.vbkrypt.cicz
Файл с названием system32.exe. Лежал в system32/drivers
Ключ в winlogon - вместо
.../system32/userinit.exe,
/system32/drivers/system32.exe
Нашел его дней пять назад.
Размер где-то 79 к. Правда, сегодня у того же юзера всплыл он же, размер другой- 150 к. Просит отправить деньгу через терминал оплаты, ваш виндовз нелицензионный, попытка перестановки приведет к уничтожению данных.
Новое поколение вирей вымогателей .
Лечение - загрузка livecd, правка winlogon в реестре, удаление тела.

встретился с проблемой :
"Уважаемый пользователь сети Интернет, Ваш ip-адрес 78.27.129.145 был заблокирован системой © ISSN
при входе на контакт, и еще чтотото. а с оперы -вообще на всех сайтах.

перечитал все ваши форумы, с вот такими глазами на скрипты о__О
люди, не работающие с таким родом действия буду вас, мягко говоря, вспоминать лихим словом.
как я выкрутился из этой неполадки - тупо поставил касперский, и дальше он сам себе сканировал. все работает))

Seregka13
Вы наверное всё таки ошиблись веткой вам в надо в http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=260. Т.к. если бы у вас был Windows заблокирован, то каспирского (упаси от этого монстра) вы бы вряд ли сумели поставили.

если не можешь выйти в инет, скорее всего нужно почистить файл hosts

Блин люди чего вы изобретаете велосипед? Вот инструкция как бороться с этой гадостью http://www.nibbl.ru/setevaya-bezopasnost-windows/windows-zablokirovan/ уже за вас давно все сделали и описали.

petyp
К сожалению - это лишь один из вариантов лечения, чаще как правило встречаются более сложные случаи.

IvANANvI
Почитайте пост на предыдущей странице от CVN5510

Dimchikru
Вы имели ввиду этот пост (http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=1400#15) со ссылка на форум касперского.

Я знаю про программу UVS и указал на её использование еще здесь: http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=660#21.

Седня ночью компьютер отказался работать выдав такую фигню:

Добрые люди помогите) Что сделать с этой фигней не переустанавливая виндовс?

Krist_Went, грузиться с LiveCD и, посмотрев как изменены ключи автозагрузки, удалить блокер по прописанному пути и вернуть стандартные значения.

Krist_Went
Было такое у меня, несколько страниц назад помогали ищите.
Вам Neon2 правильно сказал грузиться, смотреть реестр и файл hosts

setwolk
И на будущее запретить изменение этой ветки реестра.

Ребут спасёт.

ndch
а вы пробовали запретить изменение ветки реестра скажем с shell?

Krist_Went
в теме жевано и пережовано как убирать эти самые окна((( всего лиim надо сделать трудное и прочитать пяток страниц.

Neon2
можете поподробней объяснить?) я наконец-то сделала livecd. И чрез CCleaner посмотрела автозагрузку, вродь там ничего не изменилось. Мб чрез реестр нид посмотреть, иль как то подругому? Сорь за нубские вопросы конешн.

Krist_Went ваш CCleaner подключает удалённый реестр?
вот в помощь


Цитата:

я наверно долго сам приходил к этому мнению...
у людей запарка с блокерами, да выщёлкиваются они в два клика
1-обязательно держать на болванке Erd Commander

ERD Commander 2005 под Windows XP
ERD Commander под Windows Vista и Seven

выбираем под вашу ось
2-грузимся с него, указываем к какой винде подключиться, запускаем тамошний редактор реестра
проверьте ветки реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
В этой ветке находятся файлы которые загружаются вместе с запуском ОС. Всё что вам незнакомо
1 - запомните\запишите их пути
2 - войдите в My Computer и поиском найдите все подозрительные файлы, удалите их
3 - очистите значения параметров реестра от этих записей

проверте параметры реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
"Userinit"="C:\\WINDOWS\\System32\\userinit.exe,"
Родная запись выглядит только так. Если вы увидели, что есть дописанные значения типа "Userinit"="C:\\WINDOWS\\System32\\userinit.exe, блабла.exe"

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
тут тоже бывают прописываются зловреды, правда лично я не встречал такие случаи
1 - запомните\запишите это
2 - поиском найдите эти файлы, удалите
3 - восстановите значения параметров до родных

Очистите содержимое папок Temp и Tmp. До кучи можно удалить папки из System Volume Information

всё, далее к оркестру подключается любой свежий антивирь
сканим по полной, шерсть выстригая
и готово

tahirg
огромное спасибо за помощь. ща опробую.
Не подскажите ли еще может ли быть на компьютере 2 файла userinit.exe?
Они у мя в:
1. С:/Windows/system32/userinit.exe
2. С:/Windows/system32/dllcache/userinit.exe

Krist_Went
у меня только в систем32

Krist_Went
В dllcache этот файл лучше удалите.
Можно даже всю эту папку очистить без ущерба системе.
Ещё почистите \Documents and Settings\<имя_юзера>\Local Settings\Temp и Temporary Internet Files - у меня именно там тело вируса сидело.
Путь запуска был дописан в shell после explorer.exe (см. пост tahirg выше).
Ну и System Volume Information - тоже их излюбленное место.

gapoo

Цитата:

Ну и System Volume Information - тоже их излюбленное место.

Ну, вообще-то, чтобы зверюга туда залезла нужно либо переопределить аттрибуты безопасности NTFS для этого каталога (по умолчанию только система имеет туда доступ), либо чтобы жук работал в контексте безопасности локальной системы. Не исключено, конечно, но маловероятно...

Огромное спасибо всем за помощь)
Все почистила и windows терь наконец-то работает, счатье то какое)

подхватил вирус на весь экран пишет поплнить счет liqpay кто-нибуть встречал такой

volf12
просить они могут что угодно, метод избавления чуть выше от меня
добавил в шапку, чтобы было перед глазами

tahirg

Цитата:

добавил в шапку, чтобы было перед глазами

Забыли про ветку
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Ещё способ убрать Винлок, хотя наверно это уже было... Зажимаем Ctrl+Alt+Del, начинает мерцать диспетчер. Убиваем левые процессы. Далее файл-выполнить-regedit. Через экспорт параметров запускаем C\windows\explorer.exe. Удаляем вирус.

NaxAlex

Цитата:

а вы пробовали запретить изменение ветки реестра скажем с shell?

Да, после этого винлокер, любителя скачивать порно, найденным с помощью яндекса не сильно беспокоит.
Ребут и ждёт обновления баз каспера.

Господа, а существуют примерные прогнозы, когда эта волна винлокеров станет неактуальной? Ведь она как современный "крякер интернета", на который в прошлос сотни тысяч наивных юзеров накалывались.

sevikk
Думаю что тогда же, когда рестор из бекапа станет обыденностью среди "населения".
До винлокеров тоже были "вымогатели", но не винлокеры.