РазБлокировка Windows

[dexter]

Благодарим dRuId'a за предоставленный материал.

 

 

Некоторые варианты разблокировки и последующего восстановления работоспособности компьютера.

 

1. Получение кода разблокировки

 

Вариант1: http://support.kaspe...ruses/deblocker

 

Вариант2: http://www.drweb.com...r/index/?lng=ru

 

Вариант3: Воспользоваться утилитой eKavGenerator

 

2. вирус с сообщением от Get Accelerator

 

Для удаления типичного представителяTrojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

 

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

QuarantineFile('%WinDir%dmgr134.sys','');

QuarantineFile('%System32%{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1 D3CB}.dll','');

DeleteFile('%System32%{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB }.dll');

DeleteFile('%WinDir%dmgr134.sys');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

 

Операционная система перезагрузится.

 

http://virusinfo.inf...ead.php?t=65773

 

3. вирус с сообщением от uFast Download Manager

 

Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

 

var

SP: string;

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','SoftwareMicroso ftWindowsCurrentVersionExplorerShell Folders','Startup');

QuarantineFile(SP+'zavupd32.exe','');

QuarantineFile('%UserProfile%applic~1ufastd~1propet~1.exe ','');

DeleteFile('%UserProfile%applic~1ufastd~1propet~1.exe');

DeleteFile(SP+'zavupd32.exe');

BC_ImportALL;

ExecuteSysClean;

ExecuteRepair(11);

BC_Activate;

RebootWindows(true);

end.

 

Операционная система перезагрузится.

 

Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:

1. В диспетчере устройств Windows удалите сетевой адаптер

2. Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.

 

http://virusinfo.inf...ead.php?t=65773

 

4. Удаление порно-окна "Вы получили бесплатный доступ к сайту".

 

Для его удаления делаем следующие действия. Запускаем утилиту AVZ. Наверху в меню включаем "AVZGuard -> Включить AVZGuard". После этого запускаем "Сервис -> Диспетчер процессов", находим процесс "plugin.exe" и завершаем процесс. После этого через "Мой компьютер" находим в папке "Program Files" файл "plugin.exe" и удаляем его.

 

5. Восстановление работоспособности компьютера после удаления вируса с блокировкой сети.

 

Воспользуйтесь утилитой WinsockxpFix. Запустите утилиту, нажмите кнопку "Fix" и соглашайтесь со всем вплоть до перезагрузки компьютера.

 

Воспользуйтесь утилитой AVZ. Запустите AVZ, наверху в меню выберите "Файл -> Восстановление системы", отметьте все пункты и нажмите кнопку "Выполнить отмеченные операции". Перезагрузитесь. Помогает разблокировать "Диспетчер задач" и убирает многие последствия удаления вирусов.

 

Удалите сетевую карту и заново поставьте драйвера. Есть шанс, что сеть и интернет заработают.

Изменено 2 Октября 2013 пользователем dexter

[Googlik]

Берете диск с ос ставите,ставите все программы,обновление,оптимизируете ос,дефрагментируете и делаете с помощью Acronis образ диска с ОС .При любом варианте ОС Уже готова,устанавливается ~10мин

[Александр Запольских]

Ржал до слез :rofl:/> . ...

 

 

 

 

(Особенно для простых смертных) "Запустите утилиту" на компе где весь экран один сплошной банер:)/> Или где в Winlogon`е вместо Shell - explorer.exe прописано какой нить C:/document&settings/вася_пупкин_по_defoltu/akstis_prokaznik.exe . Ну-ну)

 

Для удаления ЛЮБОГО банера Вам потребуется ERD commander (загрузочный дисочек) и ловкость рук. И как говорится никакого машенства.

 

Грузимся с сидюка. Запускаем редактор реестра...(дальше по памяти, ибо запускать лень:)/> +Localчето там +Software + Microsoft + Windows NT + CurentVersion + WinLogon (мышкой ТЫК)

 

 

 

 

далее 1. Параметр Shell должно быть explorer.exe если любая другая хрень удаляйте и пишите нужное.

 

Чуть ниже должна быть строчка (С:\windows\system32\userinit.exe,) если какая нибудь другая хрень ВМЕСТО или после запятой Удаляйте нахрен(Обратите внимание на написание USERINIT, часто в всякаое говно шифруется и пишется как USRINIT. Запомните путь удаляемого говна, это вам еще пригодится.После проделанной операции ребутаемся, не забыв извлечь загрузочник, наслаждаемся виндой без банера и удаляем все то ГОВНО по уже запомненным путям, которое было прописано в реестре.

 

Дополнение почти всегда все эти говно-банеры скрытые файлы в скрытых папках, чтобы увидеть эти файлы и папки: Сервис-Свойства папки- Вид...листаем в самый низ Показывать скрытые файлы и паки и т.д.

 

Если ничче не помогает кричим THIS IS SPARTA!!! И несем в АРГО.

 

Ах да чуть не забыл: для самых лоховских банеров достаточно загрузится в безопаснике (по F8) Пуск-Выполнить - Msconfig - Автозагрузка - и убрать все галки че не знаете или сомневаетесь.

 

Удачи.

[ku3nez]

Миниатюрная утилита для удаления порно или любых других рекламных окон с просьбой отправить смс на такой то номер, иначе система работать не будет...

 

Небольшая история: Принесли мне както компьютер на ремонт. В котором при запуске появлялась большая женская %гениталия% на весь 19 дюймовый экран, которая просила отправить смс с текстом таким то на номер такойто. Поиск вирусов через Livecd эту самую %её% не убрал. Интернет к слову из за вируса накрылся %ею% и попасть на любой форум для советов или хотя бы в яндекс нельзя было. Но я зашел в сеть со своего компа и наткнулся на сайт http://news.drweb.com/show/?i=304. В самом низу сайта есть генератор ответных кодов для таких вот вирусов. Вводишь код этой %гениталии% и она испаряется. Но это если у вас тырнэт не заблокируется вирусом. А если таки заблокируется? Переустанавливай винду ибо убрать такие вирусы пока сложно, не имея под рукой хитрых антивирей на livecd. И я написал огроменную программу на целых 15 килобайт в которой собраны все те же самые ответы, что и на упомянутом сайте. Собственно програмку для упокоения этих вирусов я и выкладываю.

 

Сайт производителя

 

Прямой линк на программу )

[Boroda]

Если ничче не помогает кричим THIS IS SPARTA!!! И несем в АРГО.

Не обязательно... Скачиваем у соседа/друга/в ОТС бесплатную утилиту CureIt от докторов, грузим ERD и запускаем под ним утилиту.

Если не помогло - качаем аналогичную утилиту кошмарского: свои трояны они лечат великолепно....

[ХмелеFF]

У меня заблокировался комп и вылезала порнуха с предложением снять ее посредству смс с кодом, в противном случае я должен был любоваться ей 40 дней. Переставил системную дату на 40 дней вперед и она исчезла. Потом вернул дату назад и все.(это как вариант, если пишут, что блокировка действует какоето время)

[Александр Запольских]

Да КурИт это долго и нудно:)/> Проще ручками.

 

Если у вас банер в обозревателе (типа Помощник интернет безопастности) делаем следующие.

 

Открываем мой компьютер Сервис- Свойства папки-Вид _ отображать скрытые файлы и папки. Далее идем в Windows/system32/drivers/etc ищем файлик hosts (если их два и один из них скрытый - скрытый удаляем) файл hosts открываем с помощью блокнота :

127.0.0.1 localhost ниже этой строчки не должно быть ничего.

 

 

Всё.

 

В самых запущенный случаях проверьте реестр:

 

Пуск-выполнить-regedit

 

Hkey_current_user\software\microsoft\windows\currentversion\internet settings\ и дважды щелкнуть по ней

 

если справа будут ключи proxyserver и proxyoverride - их очистить.

[Negative]

Избавление от нового Winlock`ера

 

Источник: http://habrahabr.ru/blogs/virus/112482/

 

Вчера мне довелось выковыривать новый Winlock`ер с компьютера коллеги-дизайнера.

Увидев знакомый развод с просьбой отослать смс на номер 3116, я отправился на сайт DrWeb за кодом разблокировки. Но увы — локер оказался новый. Быстро на форумах толком ничего найти не удалось. Решил что будет проще выковырять его вручную.

 

Локер оказался довольно примитивный.

В безопасном режиме локер также загружался. Следовательно, автозагрузка как место его запуска отпала.

Локер закрывал собой весь экран и перекрывал открываемые, горячими клавишами, окна.

Однако зажав Ctrl+Shift+Esc удалось вызвать мерцание диспетчера задач поверх локера на очень короткие промежутки времени. Видимо из за неторопливости работы в безопасном режиме. При обычной загрузке так не вышло.

В задачах нагло висел один единственный процесс nvcvc32.

Грузился он тоже довольно небрежно — открывалось окно командной строки и очень быстро закрывалось, заменяясь на окно локера. Ловкость рук помогла ткнуть в крестик этого окна до его загрузки. Так я получил чистый рабочий стол. Explorer не загрузился.

Ну а дальше всё по примитивному сценарию. Из папки windows удалил этот nvcvc32.exe.

Оставалось найти загрузчик.

Поиск по реестру места где запускается explorer.exe Вывел на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\Shell.

В этот параметр к explorer.exe был приписан запуск некого rundll.bat, который также лежал в папке windows.

 

После удаления его и перезагрузки о локере больше ничего не напоминало.

 

Сегодня он уже появился сайте DrWeb под именем Trojan.Winlock.2925.

 

На инфицированной машине был установлен Windows XP (родной, это ноутбук).

[Алексей]

Пуск-выполнить-regedit

 

Hkey_current_user\software\microsoft\windows\currentversion\internet settings\ и дважды щелкнуть по ней

 

если справа будут ключи proxyserver и proxyoverride - их очистить.

 

 

 

А про HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00х\Services\Tcpip\Parameters\PersistentRoutes, в которых тоже должно быть пусто? Как раз там и забиваются (и лочатся, соответственно) все айпи популярных ресурсов.

 

 

 

 

 

2Negative Ты наверное имел в виду HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ Shell ?

[ku3nez]

ну, немного статистики

 

 

Блокировщики Windows - выгодный бизнес

 

Антивирусная компания TrendMicro получила доступ к серверам группы злоумышленников, заражавших ПК одним из самых модных видов зловредных программ — винлокерами. На основе данных с сервера стало возможно сделать выводы об оборотах винлокерского бизнеса в России.

 

Винлокеры (блокеры) — класс зловредных программ, блокирующих доступ пользователя к операционной системе и требующих для продолжения работы перевода денег через SMS.

 

Изучаемый специалистами TrendMicro троян WORM_RIXOBOT.A распространялся через порносайт, хотя, подчеркивают исследователи, он может заражать ПК и другими путями. В декабре 2010 г. на российские компьютеры он был скачан около 137 тыс. раз.

 

На сервере, к которому получили доступ сотрудники TrendMicro, можно было отследить поступление средств на 60 телефонных номеров, используемых для сбора доходов.

 

Изучив данные сервера, эксперты пришли к выводу, что за «последние пять недель» киберпреступники заработали 901 тыс. руб. ($29,5 тыс.). При этом одна разблокировка компьютера стоила 360 руб., а «услугой» разлочки за это время воспользовались 2500 человек, то есть чуть менее 2% владельцев зараженных ПК.

 

Ситуацию, описанную TrendMicro, можно считать характерной. Старший вирусный аналитик «Лаборатории Касперского» Иван Татарников говорит, что одним из главных каналов распространения блокирующих вредоносных программ являются порносайты. Наряду с этим винлокеры распространяются через файлообменники и P2P-сети под видом полезного контента, через «сайты-приманки», рекламирующие несуществующие товары и классическим для вирусов путем на сменных носителях.

 

«Лаборатории Касперского» неизвестно точное число ПК, зараженных блокерами, но есть оценка на основе посещаемости сервиса для разблокировки компьютера «Лаборатории». В среднем к бесплатным сервисам-деблокерам для ПК и для мобильных устройств обращаются 30 тыс. уникальных пользователей в день. За 2010 г. было зарегистрировано 12 млн обращений.

 

Исходя из предположения, что платную SMS за разблокировку (в среднем 400 руб.) отправляет каждая сотая жертва винлокеров, оборот бизнеса злоумышленников составляет около 48 млн руб. в год. Однако, оговаривается эксперт, судя по данным опросов, за разблокировку своих зараженных ПК готова заплатить гораздо большая часть пользователей.

 

И действительно, судя по сообщению TrendMicro, получившего доступ к серверу злоумышленников, число доверчивых пользователей достигает 2%, что автоматически повышает оценку выручки винлокеров как минимум до 100 млн руб. в год.

 

При этом винлокерство остается преимущественно российским бизнесом. Хотя существуют американские и немецкие версии (а недавно появилась и чешская), написаны они, скорее всего русскоязычными пользователями.

 

(С)subscribe

Изменено 26 Января 2011 пользователем ku3nez

[Александр Запольских]

остается преимущественно российским бизнесом.

(С)subscribe

Люди у нас видимо самые доверчивые. И свято верят что на чеке терминала будет код:)/>

[ilyaplot]

Был у меня один удачливый клиент, когда у него банер этот вылез, висел какой то процесс, винда при выключении спросила "принудительное завершение". Он нажал отмену, а процесс баннера убился =) Простой запуск антивируса, прогон и все готово. Редко так везет =)

Изменено 27 Января 2011 пользователем ilyaplot

[Boroda]

Избавление от нового Winlock`ера

 

Странная статейка... Похоже про ERD он и не слышал...

[Александр Запольских]

Тоже ничччё нового в этом локкере не углядел)

[Александр Запольских]

На днях наткнулся на банер, который всеми возможными ухищрениями описанными выше убрать не получилось.

 

 

 

 

Безопасник выдавал синий экран, ЕРД не видел установленной ВинХП.

 

Лечится так: грузимся с XPE или любой другой хрени где можно получить достум к файлам на компе. Заходим в C:/Windows/Repair, копируем содержимое папки в C:/Windows/System32/Config с заменой файлов.

 

Единственный минус - большинство программ после такой операции придется переустановить.

[ku3nez]

На днях наткнулся на банер, который всеми возможными ухищрениями описанными выше убрать не получилось.

 

 

 

 

Безопасник выдавал синий экран, ЕРД не видел установленной ВинХП.

 

Лечится так: грузимся с XPE или любой другой хрени где можно получить достум к файлам на компе. Заходим в C:/Windows/Repair, копируем содержимое папки в C:/Windows/System32/Config с заменой файлов.

 

Единственный минус - большинство программ после такой операции придется переустановить.

 

 

по идее достаточно SOFTWARE, SOFTWARE.SAV и SOFTWARE.LOG скопировать, ибо "банеры" хранятся по пути HKEY_LOCAL_MACHINE\SOFTWARE\..../

 

Моя ссылка

[ku3nez]

ххх: у меня настолько старый комп, что он уже даже вирусы не тянет

ххх: попросил меня кореш вылезти в инет. ну я ему дал. в итоге он словил мне баннер.

ххх: и этот баннер так загрузил мой комп, что завис, и венда предложила мне его закрыть, как зависшее приложение...

 

Башорг

[ilyaplot]

Хотелось бы дополнить. Если был выбран совет http://forum.khotkovo.net/index.php/topic/85-%d1%80%d0%b0%d0%b7%d0%b1%d0%bb%d0%be%d0%ba%d0%b8%d1%80%d0%be%d0%b2%d0%ba%d0%b0-windows/page__view__findpost__p__4248 , то утсановите все драйверы, настройте фаерволл, если решили и его установить. Как же много звонков от абонентов, которые не знают о существовании драйверов....

Изменено 5 Апреля 2011 пользователем ilyaplot

[Slaven]

Да КурИт это долго и нудно:)/> Проще ручками.

 

Если у вас банер в обозревателе (типа Помощник интернет безопастности) делаем следующие.

 

Открываем мой компьютер Сервис- Свойства папки-Вид _ отображать скрытые файлы и папки. Далее идем в Windows/system32/drivers/etc ищем файлик hosts (если их два и один из них скрытый - скрытый удаляем) файл hosts открываем с помощью блокнота :

127.0.0.1       localhost ниже этой строчки не должно быть ничего.

 

 

Всё.

 

В самых запущенный случаях проверьте реестр:

 

Пуск-выполнить-regedit

 

Hkey_current_user\software\microsoft\windows\currentversion\internet settings\ и дважды щелкнуть по ней

 

если справа будут ключи proxyserver и proxyoverride - их очистить.

 

 

Попытался поступить указанным способом, но после редакции указанного файла не даётся его сохранить. В чём может быть дело. не подскажите?

[Vladislav_A]

Slaven

Попытался поступить указанным способом, но после редакции указанного файла не даётся его сохранить

Какого именно файла? Hosts?- снимите атрибуты "read only" и "system".

Возможно вирус в данный момент загружен в память и блокирует доступ к файлу или, на оборот, антивирусник блокирует изменения.