Вирус блокирует Windows, требует отправить SMS для разблокировки системы. «Trojan.Winlock.3300» Методы!

Здравствуйте! Сегодня сидел и думал, чтобы такого интересного написать, на свой новый блог! И по какой-то «неопределенной закономерности» — случайности, на мой домашний ноутбук проник вирус (Trojan.Winlock), блокирующий Windows, и требующий отправить 200 грн. на счет Webmoney с кошельком WMU383593510183.

Скорей всего данный вирус проник ко мне, через прокси-сервер CCProxy, так как интернет я раздаю, 4-ем своим друзьям именно через прокси!

В какой-то момент времени я даже вздохнул с облегчением, и подумал: вот так и пришел ко мне мой новый пост, в моем новом блоге! В голове я обдумывал, как я выйду из данной ситуации.

На тот момент я думал, что справлюсь с этим вирусом минут за 15, но не тут, то было, зайти в безопасный режим и добраться до реестра, к сожалению не удалось. Но все же, если это удастся, Вам необходимо сделать следующее.

Советы к статье

  1. На сегодняшний день, блокирующих Windows вирусов, достаточно много и все они разные, поэтому рекомендую проверить каждый из способов! (мне в свое время помог каждый из способов).
  2. Если вирус-вымогатель «Trojan.Winlock.3300» требует отправить деньги на счет Webmoney! Сразу переходите к способу №4 (нажимаем, сюда — переходим к статье), если не помог переходим к другой статье (нажимаем, здесь), если и этот вариант не помог, переходим к способу №5 (он ниже, в этом посте).

Способ №1! (Если баннер появился до загрузки рабочего стола, экран заблокирован)

  1. Нажмите комбинацию клавиш Ctrl+Shift+Esc и держите, пока не начнёт мигать диспетчер задач.
  2. Не отпуская клавиш Ctrl+Shift+Esc, мышкой кликните на диспетчере задач «Cнять задачу».
  3. В диспетчере задач нажмите «новая задача» и введите «regedit».
  4. Перейдите в раздел HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → WindowsNT → CurrentVersion → Winlogon.
  5. Перейдите на правую панель редактора реестра и проверьте два параметра: «Shell» и «Userinit»:
    • значением параметра «Shell» должно быть «Explorer.exe»;
    • параметр «Userinit»«C:WINDOWS\system32\userinit.exe,» (обязательно в конце запятая).
  6. Если параметры «Shell» и «Userinit» в порядке, найдите раздел HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → WindowsNT → CurrentVersion → Image File Execution Options и разверните его. Если в нем присутствует подраздел «explorer.exe», удалите его.
  7. Перезагрузите компьютер.
  8. Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой от Dr.Web'а Cureit.
  9. В случае неудачи проделайте этот способ в безопасном режиме.

Есть еще один, самый простой способ, которым я никогда не пользуюсь, потому что мне он ни разу не помог, но проверить стоит, может именно Вам он поможет. Назовем его способ №1.1.

Способ №1.1 (самый простой способ для случая, когда Windows загружается и на экране появляется баннер)

Заходим на сайт разработчика антивирусного программного обеспечения Лаборатория Касперского и воспользоваться формой для получения ключа разблокировки. Аналогичную операцию можно проделать, перейдя на сайт компании Доктор Веб. После того, как баннер исчезнет с рабочего стола, обязательно проверьте компьютер на вирусы.

Когда я понял, что данные способы не прокатят, сразу же вспомнил о втором способе, который ранее очень часто выручал меня.

Способ №2 (когда Windows, не грузится в безопасном режиме)

В ситуации, когда требуется удалить баннер с рабочего стола, а операционная система не грузится, ни в обычном, ни в безопасном режиме, лучшим вариантом будет еще один компьютер. Если таковой имеется, делаем все как в способе №1!

Если же такого компьютера нет под рукой или где-нибудь рядом у соседа, необходимо взять LiveCD скачать LiveCD от Dr.Web, скачать LiveCD от Лаборатории Касперского, загрузившись с которого вы всегда сможете проверить свой компьютер на вирусы. Почти все антивирусные программы с последними обновлениями лечат компьютер от баннера на рабочем столе.

Данный вариант тоже не оправдал моих надежд, после чего я решил воспользоваться еще одним способом, известным мне!

Способ №3 (утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями)

Способ заключается в следующем, Вам необходимо воспользоваться утилитой Kaspersky WindowsUnlocker, для борьбы с программами-вымогателями, вся инструкция описана на страничке их сайта, ссылочку которой я привел чуть выше!

Если данный способ не заработал, как в моем случае, скорей всего из-за старой базы, данной утилиты, переходим к способу №4.

Способ №4 (вирус блокирует загрузку Windows, и просит отправить на Webmoney кошелек 150-200 грн. «Trojan.Winlock.3300»). ERD Commander

Так как статья по удалении баннера с рабочего стола с помощью ERD Commander, когда компьютер не грузится в безопасном режиме, получилась довольно таки объемной. Я решил написать ее в отдельном посте (нажимаем, сюда — переходим на статью).

Способ №5 (вирус блокирует загрузку Windows, и просит отправить на Webmoney кошелек 150-200 грн. «Trojan.Winlock.3300»). LiveCD by Alkid

virus

Загружаемся с LiveCD, качаем здесь (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com) и с помощью команды regedit в ««Пуск» далее «Выполнить» и в строке пишем «regedit» (без кавычек), после чего нам необходимо попасть сюда:

HKEY_LOCAL_MACHINE → SOFTWARE → MicrosoftWindowsNT → CurrentVersion → Winlogon

после чего находим файл «Shell» в которой по всей видимости примерно следующее:

C:Documents and Settings → All Users → Application → Data → 22СС6С32.exe

  1. Идем на сайт virustotal.com, и анализируем данный файл.
  2. *** Если нет возможности проанализировать файл и узнать антивирусную программу, сканируем одноразовым антивирусом DrWeb-ом (Cureit) (запускаем полное сканирование системного диска).

В результате мы видим, что вирус заменил собой такие системные файлы:

  • «С://WINDOWS/System32/userinit.exe» (отвечает за процесс загрузки системы).
  • «С://WINDOWS/System32/taskmgr.exe» (диспетчер задач Windows).

Вирус Winlock.3300 заменил системные файлы

После того как антивирус удалил все эти файлы, Ваша операционная система не загрузиться, так как системные файлы уничтожены, поэтому поэтому дальнейшее, что мы с Вами сделаем, это восстановим оригинальные файлы  «userinit.exe», и «taskmgr.exe» на место.

Для этого устанавливаем диск Windows. Находим на нём файлы-архивы «userinit.ex_» и «taskmgr.ex_», далее распаковуем из них оригинальные файлы и ложим на место уничтоженных сначала вирусом, а за тем нашим антивирусом.

Вирус Winlock.3300 заменил системные файлы

Только теперь можно считать, что угрозу мы предотвратили и Windows загрузится.

Совет на будущее (самый последний способ-совет, если не помогли другие способы борьбы с вирусами блокирующими Windows)

Как делать откат операционной системы (ОС) Windows, с помощью Ghost?

Если что-то случилось с вашей операционной системой, толи это вирус, толи что-то другое, всегда держите под рукой сборочку LiveCD (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com) (по ссылочке, Вы перейдете на скачку моей сборочки, с утилитой Symantec Ghost 11.5, с уже подгруженными SATA драйверами, для ноутбуков и ПК, с новыми жесткими дисками)

Как данная сборка LiveCD вам поможет?

  • Для начала вам необходимо скачать образ загрузочного диска (нажимаем, сюда: LetitBit.net) или (нажимаем, сюда: DepositFiles.com).
  • Записать LiveCD на носитель CD-R или USB.
  • Установить заново Windows, поставить Драйвера (если необходимо), после чего установить минимум необходимого Софта, если же лень устанавливать систему заново, можете сделать резервную копию (клонирование), операционной системы Windows, той которая у вас уже установлена и которую позже вы захотите откатить Что значит — сделать клонирование данной ОС, программой GHOST? Чтобы вы понимали, по времени это занимает от 15, до 20 минут (в течении которых Вы беззаботно пьете чай).
  • Записать на носитель или же оставить на жестком диске.

Как сделать клонирование, Backup (ОС), программой GHOST? Как сделать откат, Restore (ОС), программой GHOST?

И так подведем итог, отметим плюсы данного метода.

После того, как что-то случилось с вашим любимым Windows!

  • вы не бегаете в панике в поиске драйверов;
  • вы не думаете, что вам лень переустанавливать винду и сильно не расстраиваетесь по этому поводу;
  • восстановить Windows, с набором программ, и необходимых драйверов займет у Вас каких-то 15 – 20 минут, и нет нужды искать где-то или качать где-то Windows!

Вот и все, что думаете по поводу статьи? Помогла она Вам?

Похожие заметки
Последние заметки
Если вам понравилась статья, вы можете подписаться на RSS или e-mail рассылку. Для получения обновлений по электронной почте, введите ваш e-mail адрес в эту форму (доставка от SmartResponder):

90 комментариев

  1. Анастасия,
    1

    Спасибо за ценный пост! Сегодня была заражена вирусом, который требовал отправить 200 гривен, на счет Webmoney. Это кстати какой-то новый вирус скорей всего, так как раньше просил отправить смс и все эти методы помогали, а вот этот новый, не как не могла его побороть, помог только 3-ий способ! Большое Вам спасибо.

  2. Евгений Москаленко,
    2

    Мда! Вирус действительно скорей всего новый, несколько моих друзей тоже пострадали от него, многим помогает метод «утилитой Kaspersky WindowsUnlocker», но мне он почему-то не помог.

  3. Николай,
    3

    Большое спасибо за пост, долго пытался решить проблему, помог 4 способ.

  4. hum,
    4

    Помогло восстановление системы c установочного диска Виндовс. Даже не думал что так просто будет, уже Лыв сиди в привод хотел вставить. Правда выбило типа тыры пыры — ошибка,но после перезагрузки все стало нормально. Для контроля поискал в реестре — ничего не обнаружил. Система Виндовс7максимальная. Цепонул вирус с извещения эл почты (подписка на Ютубе)

  5. Sergiy,
    5

    Дружише, спасибо!

    Я уже всё перерыл, почистил руками, отправил заразу на сайт дрвеба на проверку, узнал кто поселился. Казалось бы всё, но после ребута опять сначала. А дело за малым — вот про это упустил:

    ... вирус заменил собой такие системные файлы:

    «С://WINDOWS/System32/userinit.exe» (Отвечает за процесс загрузки системы),

    «С://WINDOWS/System32/taskmgr.exe» (Диспетчер задач Windows)

    А CureIt с WinPE стартовать не захотел :(

    П.С. нашел статью по запросу «winlock 3300 22сс6с32»

  6. Евгений Москаленко,
    6

    Всегда пожалуйста Сергей. Сам страдал от этого вируса, но у меня даже безопасный режим не загружался, решил проблему с помощью 4 способа! :)

  7. Sergiy,
    7

    безопасный тоже не работал — всё через winpe

  8. Диллинджер,
    8

    сегодня обнаружил на ноутбуке «сюрприз» требующий пополнить счёт вэбмани. Слава богу смог запустить ось в безопасном режиме. Через поиск нашёл какой-то подозрительный файл «95.exe» и удалил его. Перезагрузил и о чудо! система работает!!! Сейчас антивирусов проверяю систему и чищу регистр.

  9. hum,
    9

    Опять попал на такую тему (хз — вроде по порносайтах не лажу :) ) . Вылетело окно на четверть экрана — курсор в пределах этого окна и никуда больше. Нажал CTRL+ALT+DEL (слава богу сработало). Выход из системы. Сменить пользователя. Опять зашел под своим же Юзером — ОКНА НЕТ ВСЕ РАБОТАЕТ. Я сразу откат системы на более раннюю точку сохранения и все. Щас все ок.

    p.s. не всегда данный способ канает,к сожалению, но иногда срабатывает,так как и банальное восстановление системы с диска

  10. Евгений Москаленко,
    10

    Это да, смотря какие баннеры, есть которые не дают зажать сочетание клавиш CTRL+ALT+DEL. Но все хорошо, что хорошо кончается. :)

  11. иван,
    11

    у меня проблема по серьезней, виндовс заблокирован и не дает загружаться даже диску, обычно сносил винду что бы долго не парится, а на етот раз не выходит. Просит 630грн на номер 380684832878.что делать?

  12. Евгений Москаленко,
    12

    Вы про CD-Rom? Как правило такого быть не должно, скорей всего у вас просто что-то не так с CD-Rom-ом, у меня как-то такое было, я им не пользовался, а когда винда упала решил сделать откат. Вставляю диск, и ничего, поехал поменял сидиром и все нормально...

  13. Руслан,
    13

    Есть еще один не хитрый способ. У меня вчера тоже такая зараза просочилась на комп, клавиатуру блокирует, в безопасном режиме тоже ничего не дает сделать, все выше перечисленное не помогло.

    Выход нашел: загрузился в безопасном режиме с поддержкой командной строки, потом с командной строки запустил explorer, он на удивление загрузился и без вируса. Ну а дальше Пуск->Пргораммы->Стандартные->Служебные->Восстановление системы и на два дня назад откатил и все заработало. Стоит ИксПи. Вирус просил отправить 300 грн на wmu кошелек.

  14. Ну не всегда можно откатится, не всегда пускает в среду!(

  15. Алексей,
    15

    Всем доброго времени суток. спасибо за статью, не всю правда прочитал.

    Была та же фигня с блокировкой винды, перепробовал много всякого, помоголо очень простое решение сразу после приветствия (после загрузки винды) вирусня еще не успела запустится я запускаю ярлык «мой компьютер» и тут же диспетчер задач, спустя пару секунд после этого запускается вирусня и блокирует винду, но alt + tab работает и я перехожу в диспетчер задач и снимаю задачи с неизвестных мне приложений (которые были запущены администратором).

    Этот вирус оказался под названием 114.ехе, после того как я его закрыл через диспетчер задач (винда разблокировалась), нашел его поиском в document and settings ..., а второй в system 32, удалил оба и очистил корзину, потом прогнал на антивирус и ВСЕ!

  16. Ghost,
    16

    У меня такая же ситуация, как у hum! Только при нажатии этих трёх клавиш окошко, где есть возможность снять задачу или сменить пользователя сразу же исчезает и я ничего не успеваю нажать! Помогите, пожалуйста, я в этом вообще не разбираюсь...

    Это у меня на ноуте такая проблема...Сейчас сижу с компа...Даже не могу найти способа, который бы помог...

  17. Ghost,
    17

    Ещё когда это окошко выскакивает, то там написано, что программа, которая работает (вирус) называется zero1...Возможно от него избавиться как-то?((

  18. Ну дак все эти способы должны помочь, либо этот метод, либо эти два:

    1. evgmoskalenko.com/virusy/... -trojan-awl.html

    2. evgmoskalenko.com/virusy/... -trojan-erd.html

    Успехов!

  19. hum,
    19

    Появились программы антивинлокеры AntiSMS 2.3.0 и програмный пакет Stop SMS Live CD («SS» 32) v.2.6.15 — вроде, говорят, помогает неслабо, но сам пока не пробовал — жду случая ))). Кто нибудь пробовал? Просьба отписать. И сам отпишусь как протестирую.

  20. Неа не пробовали, отпишитесь пожалуйста, когда протестируете, если протестируете!) Я уже подумываю заразить какой-то ПК, чтобы проверить данный способ...)

  21. hum,
    21

    Когда протестирую — обязятельно))) Если протестирую — маловероятно :D. Последний раз пытался задавить зверя замаскированого под Скаймонк. У человека начал тупить инет. И всплывало кратко какое то окошко — так было около недели. Потом позвонил мне. Думал щас прогоню скриптом AVZ и все путем, были такие рецидивы не раз. Вижу в процесах висит типа Скаймонк — говорят не ставили, и удалить не можем. Пробовал зайти через безопаску — не пускает. Вылетает и все. Ну думаю щас тупо грохну. Токо удалил — банер на весь экран -уплатите 800 грн. После чего никакой софт, включая вышеупомянутый, всеразличные лыв сиди , антивирусные лыв сиди, чистка , восстановление реестра и прочие пляски с бубном результата не дали. После 3 часов гемороя перебил Винду

  22. А ERD способ использовали? evgmoskalenko.com/virusy/... -trojan-erd.html

  23. hum,
    23

    В первую очередь. Ни в какую. В безопасный войти тоже не получилось, даже когда банер еще не появился. Обычно стандартными методами как то выруливал. Не хотелось ОС переустанавливать — месяц как поставил. Перепробовал все методы какие знаю. Смотрел автозагрузку, винлогон,шелл,юзеринит — все нормально — без изменений. Где то ж он прописался. Но счас уже сказать тяжело. Если б комп у меня дома стоял, думаю разрулил бы, а так... прищлось рубить с плеча.

  24. hum,
    24

    Пробовал Stop SMS Live CD («SS» 32) v.2.6.15 и AntiSMS 2.3.0 который собственно включен в вышеупомянутый пакет. Четко. 10 минут и система работает.

  25. hum,
    25

    Сегодня два случая винлокера было в обеих просили по 850 грн

    В одном из случаев Нод когда расчехлился чуть чуть — выдал: 06.07.2012 17:32:26 Модуль сканирования файлов, исполняемых при запуске системы загрузочный сектор MBR-сектор физического диска 0 Win32/MBRlock.C троянская программа Ошибка при очистке, (там у меня косяк один немного с флешкой вышел, в результате чего банер в один раз не загрузился ))) )

  26. Анатолий,
    26

    Требовали перевести на U кошелек 820 грн. Подключил винт к другому компу и запустил утилиту DoctorWeb z4czytnd. Все. Сейчас пришла мысль, а что если положить не 820, а 1 грн, думаю, что чек будет одинаковый. Но скорее всего код не поможет независимо от суммы.

  27. Евгений Москаленко,
    27

    Ну там фишка в том, что там и чека как такового скорей всего не будет. Не будет ничего!) Просто перечислите деньги кому-то на счет и все...(

  28. Андрей,
    28

    Способ №3 помог! Делал, как на показано на видео.

    Спасибо!

  29. Андрей,
    29

    Способ №3 помог! Делал, как показано на видео.

    Спасибо!

  30. Евгений Москаленко,
    30

    О!!! Это очень хорошо, как правило помогали другие способы. Но и этот значит способ не менее сильный) Он мне когда-то тоже помог...

  31. Рома,
    31

    Меньше по порно-сайтам лазить нужно — и вирусов не будет. Хахахахахахах))))

  32. Евгений Москаленко,
    32

    Это кстати не всегда так!) Я поймал такой вирусняк, когда фильмец качал с шары какой-то...)

  33. Марина,
    33

    Рома, ты не прав. Я вот хотела книжку с сайта скачать, зашла на сайт книжек, дальше сам загрузился какой-то порносайт в соседней вкладке. И тут же ноут автоматом начал перегружаться и по включении появился банер с требованием отправить 1500 грн на кошелек, иначе комп не разблокируется. Гребаные уроды те кто это делает, чтоб им мало места было.

    Я только юзер, но пока искала что делать, узнала что такое биос, безопасный режим, загрузочное меню, столько нового, так что теперь кое в чем разбираюсь.

    Оно заблокировало безопасный режим, командную строку, биос. Перезагружаюсь,жму F1 F2 F8 F11 F12 — сперва ноут сильно пищал и был только чисто черный экран- первые раза 3, а потом стал грузиться сразу этот банер при нажатии любой клавиши F.

    В общем, удалось загрузиться с ЛивСД Др.Веб, не смотря на пищание, спасибо автору на этом сайте, нашла тут описание как загружаться с лив СД. Чистит пока, там посмотрю.

  34. Марина,
    34

    Ну вот, Др.Веб закончил, нашел 4 вируса, удалила. Выключила ноут на ночь, утром включаю -он начинает грузиться, тут же выключается сам и снова сам включается — и тот же банер. Помогите, что делать?

  35. Евгений Москаленко,
    35

    Ну так просто от него не избавишься загрузкой LiveCD, а потом проверкой на ДР.ВЕБ. Вы кстати каким др.Вебом проверяли? Одноразовым? Или тот который в ЛайвСиди?

  36. Марина,
    36

    Евгений, проверяла тем что на ЛивСД.

    Скачала с сайта Др.Веб вот отсюда ссылка образ. Записала диск, загрузилась с него.

    Дальше выбрала режим DrWeb-LiveCD (Default). Выбрала «сканер» и проверила весь компьютер.

    Это все. Я думала, что если вирус найти и удалить, этого достаточно. Оказывается нет(.

  37. Евгений Москаленко,
    37

    Ну я если честно не пробовал вариант такой с ихним ЛайфСиди — ДокторВебовским. Я использую свой ЛайфСиди, скачать можно тут — evgmoskalenko.com/soft/alkid-livecd.html. Загружаюсь с него и использую одноразовый антивирусник, самой последней версии.

    Сразу объясню почему!) Тратится вечно на обновленные версии ихнего ЛайфСиди (на диски), не очень хочется, а свой всегда под рукой. Остается только скачать одноразовый антивирусник и закинуть на флешку, да и версия у него точно последняя!)

    Такие Баннеры так просто не убираются. Это надо сами файлы реанимировать, а вот потом уже прогонять Антивирусниками, причем я бы посоветовал парочкой разных!

  38. Марина,
    38

    Сперва ЛивСд Др.Веб — нашел 4 вируса

    второе — АнтиВинлокер — как описано вот здесь evgmoskalenko.com/virusy/... -trojan-awl.html, которым были восстановлены файлы + вручную удалила подозрительный файл x2z8.exe (точно совпадал по дате и времени с появлением проблемы)

    и сразу после него — Рискдиск10 Касперского, который нашел сразу троянов в системных файлах.

    После чего -ура! заработало))

  39. РРР,
    39

    Мне Вот такое написало. Через ф8 зайти в биос не могу- так как блокировка на весь екран появляется через секунду после надписи Самсунг и такой синенькой линеечки загрузки внизу экрана(секунды через 3 после нажатия кнопки запуска). Это вирус или меня реально заблокировал администратор? И как его вылечить если вирус

    Я там чегото много наклацала по рекламе. даже вроде как-то скачать чтото нажала. Потом хотела открыть что же это такое мне скачало непонятное -файл 18 килобайт — ну никак видео не могло быть. И видимо после этого такая фигня и случилась. Компьютор резко затормозил — ничего переключить и выключить не смогла. Потм как то странно выключился — я думала перезагруззка и появилось таке сообщение. Я бы еще фото сюда поставила — но не знаю как.

    Вирусов на самом компе наверно уже много, так как антивирусник не обновляла уже более полугода — он у меня вообще пробный был Аваст.

    Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементам педофилии, детского порно и гей порно. Для снятия блокировки вам необходимо оплатить штраф в размере 1500 гривен. Для этого в любом терминале оплаты пополните счет WEBMONEY U38067 @номер напоминает номер мобильного= там еще 7 цифр имеется@9057645" на указанную выше сумму. В случае оплаты суммы рравной штрафу, либо превышающей ее, на фискальном чеке в терминале, вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все мтериалы содержащие елементы насилия и педофилии. В случае отказа от оплаты, все данные на Вашем персональном компьютере будут безвозвратно уничтожены. И снизу в левом углу желтыми буквами Enter code: и мигающий курсорчик красный _

    Текст весь либо: темно розовый либо красный.

    Это сегодня ночью мне такое произошло — где-то около двенадцати. На сколько максимум времени нужно расчитывать по леччению и т.д. чтобы мне в компьютере с информацией ничего не случилось?

    И еще -как ни старалась — не смогла вынуть батарею (- испугалась что нотик сломаю) — это тоже изза вируса

  40. Евгений Москаленко,
    40

    Ссори, что так поздно отвечаю, переезд был. Это Вирус и Вам необходимо проделать все что написано выше, попробовать все способы! Редко у кого получается воспользоватся тремя клавишами...

  41. Korbino,
    41

    Уважаемая РРР,

    я столкнулся с такой же проблемой на 1500 грн :)

    Помогло следующее;

    1. Вставил диск с виндой (у меня ХР home edition)

    2. Запустил режим восстановления

    3. Ввел поочередно две комманды:

    fixboot

    fixmbr

    и можна еще третью:

    chkdsk

    --------

    После перегрузки ПК все заработало:)

  42. РРР,
    42

    Большое спасибо Вам, M.E.S и Korbino!!!!!

    А если я сделаю так как Вы посоветовали Korbino, то информация, которая была на моем компьютере, на диске С включительно, останется? или ее нужно специальными програмами как то с неработающего нотика списать и залить потом снова?

    И еще вопрос: к Администратору M.E.S и пользователю Korbino

    у меня дисковода там нету, есть только разъемы для флеш накопителей. В связи с этим: КАК ПРАВИЛЬНО записать Доктор Веб или ВебКюре на флешку, чтобы оно производило автоматическую загрузку лечащей программы еще до загрузки системы(то есть чтобы успело включить лечащую программу еще до появления Сообщения вируса-вымогателя)?

    Р.С.

    У меня Виндоус ХР пиратская версия — скопированная — даже не знаю у кого через третьи лица, так как тетя брала сначала себе у своих знакомых, а потом и на мой нотик установила, но стаким вирусом мы еще не сталкивались, да и не хотелось бы ее вмешивать, так как с трояном блокиратором вконтакте-все таки сама разобралась.

    Что можете посоветовать, насчет винды, в этом случае?

    А я смогу все что вы Марине советовали(сообщение от 29.08) и она сама использовала(сообщение 2.09.2012) на одну флешку записать(там 2Гб) ? Или оно не будет знать чем сначала лечить и нужно поетапнодействовать: Записала одно — вылечила — записала 2е- вылечила, и так далее...?

  43. Евгений Москаленко,
    43

    Попробуйте вот эту ссылочку — DrWeb LiveUSB если нет сидирома. Или можете Лайв Сиди, который я советовал выше записать на Флеш, но флешку надо сделать загрузочной, где-то в нете видел как она делается.

    Команда FIXBOOT записывает новый загрузочный сектор. Параметр FixMbr записывает в системный раздел основную загрузочную запись, этот параметр не перезаписывает существующую таблицу разделов. Данный параметр следует использовать для устранения проблем, связанных с повреждением основной загрузочной записи, или если необходимо удалить из основной загрузочной записи нестандартный код.

  44. Korbino,
    44

    Уважаемая,

    По поводу пиратской ХРюшки — буз разници. Эффект должен быть тот же, что и с лицензией.

    ---------

    По поводу отсутствия привода два варианта:

    1) Найти в инете как сделать загрузочную флешку а потом туда добавить образ винды (только он должен быть уже не сборочный ибо чаще всего там отсутствует консоль восстановления)

    2) Найти\одолжить юсбишный привод CD\DVD и уже туда вставить диск и загрузится с него.

    *при всем при этом — не забыть в биосе выставить приоритет загрузки (с USB дэвайсов первыми)...

    ----------

    По поводу данных — MES прав.

  45. РРР,
    45

    вчера: А что мне за Фиксбут писали?

    Я из той части сообщения не поняла ровнім счетом ничего: кроме части последнего предложения))) "

    Это значит, что после live usb я должна эту команду Выполнить?

    12.09.2012 14.42)))

    А яЛайв ЮеСБі запустила--------УРРРРРРРРРРРРРрАААААААААААа Теперь оно мнесистему сканирует. тільки что дальше делать не разобралась)))

    У меня там 4 файла не возможно отсканировать пишет:

    один архив, 3 не понятно откуда -не может получить атрибути файла c ошибкой нет такого файла или направления(только там не , а).

    Из этих 3х==2файла /lib/modules/2.6.30-drweb-6.0.0/build

    /lib/modules/2.6.30-drweb-6.0.0/source

    третий /root/.mozila/firefox/drweb.default/lock

    Что мне с ними сделать надо будет — найти и удалить?

    А если я удалю тот что мазила--мне настройки браузера сохраняться==а то у меня все пароли там, и не все из них я помню(((

    поврежденных и так далее пока не нашло — в процессе)))

    Какие мои дальнейшие шаги должны быть?

  46. Фотограф,
    46

    Kaspersky Windows Unlocker очень мощный и эффективный сканнер. А вот Dr.Web Live-CD — уже не тот...

  47. Евгений Москаленко,
    47

    Да мощный, но и Др.Веб тоже, как правило в последнее время пользуюсь только им!)

  48. алекс,
    48

    самый простой способ припопадании банера получить контроль над компом

    в биос переставить дату назад

  49. Евгений Москаленко,
    49

    Очень интересное решение!) Надо будет как-то попробовать, когда поймаю такой вирус.) В принципе логика в этом есть, но с другой стороны откатывай время, не откатывай он все равно будет проявляться в загрузке. В общем надо будет обязательно попробовать...

  50. AllZone,
    50

    Загрузить компьютер в безопасном режиме с вводом командной строки, когда загрузится в командной строке набрать regedit.

    В редакторе реестра открыть — «HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon», если там есть ключ «Shell» то удалить его (предварительно скопировав из него значение) *.exe это вставить в правка\найти и далее всё что найдёт с этим *.exe удалить — БУДЬТЕ ВНИМАТЕЛЬНЫ !!!! Далее проверить ключ реестра — «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» там есть ключ «Shell», его значение должно быть «Explorer.exe» вроде всё!!!

    После всех этих манипуляций перезагрузить комп. Не забудьте удалить вирусный файл который сперва нашли в разделе реестра — «HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell\*.exe»

    Рекомендую еще поставить antimalwarebytes и почистить комп — ссылка. Удачи!

  51. hum,
    51

    Загрузить компьютер в безопасном режиме с вводом командной строки, когда загру­зится в командной строке набрать regedit.

    О как!! А если в безопасный хрен зайдеш, потому что больше нифига кроме настроек биоса не работает? )))

    Кстати я выше писал о проге AntiSms. Че, прога не работает разве ? У меня банеры рубит на раз два)))

  52. Евгений Москаленко,
    52

    А не как не зайдешь, у некоторых получается сочетанием клавиш, а у некоторых нет) Прога работает, но разве Вас так угнетают баннеры? Вроде на моем блоге они нормально внедрены в дизайн)

  53. hum,
    53

    Не . Не угнетают)). Немного угнетают токо те, которые просят отправить смс, перевести N-ую сумму на такой то номер телефона или счет вебмани.)) Другие методы ,как убрать банер, конешно отрицать нельзя (случаи всякие бывают). Антисмсом уже кучу таких «просилок» снес. После чистки прошелся несколькими антивирами и в ручную пересмотрел. Чисто. Системы тоже нормально работают.

  54. Евгений Москаленко,
    54

    Не ну такие баннеры конечно нужно убирать, я если честно даже не знаю зачем их ставят, ведь на них особо не заработаешь, если учесть, что они раздражают посетителя!)

  55. hum,
    55

    Это точно))) . Сам устанавливаю крайне редко ))))

  56. Евгений Москаленко,
    56

    У Вас есть сайт, на котором Вы ставите такие баннеры?)

  57. hum,
    57

    Сайты есть, но такие банеры на них ,слава богу, не ставлю )). Пользователи ПК сами ставят на свои компы периодически / регулярно )). А потом звонят мне и говорят: «Я ничего не делал, и на порносайты на которых такие банеры стоят не лазил, я включил комп, а оно появилось». Я сам бывало по началу попадал , то псевдорусификатор устанавливал )), то еще что нибудь подобное. Щас вроде как чуйка на вирусню выработалась — не попадается пока.)))

  58. Евгений Москаленко,
    58

    Ясненько! Главное качественный антивирусник ставить.) У меня NOD-32-ой стоит, еще иногда одноразовыми проверяю, вирус как правило не бывает!)

  59. hum,
    59

    Анологично НОД 32 антивирус в связке с фаерволом Comodo. Ну периодически дефендер сканирует. Нод ничем не хуже Каспера — груза хваленого, который вообще рубит все шо шевелится ))) Все равно бывает проскакивают. Полгода назад на Файлзилле пароли FTP забыл почистить — через пару дней сайт упал. Хорошо бекапы регулярно делаю. А сайт серьезной организации.

    Но это не из данной темы. Сорри за флуд ))

  60. Евгений Москаленко,
    60

    И такое бывает в нашей практике, та ниче!)

  61. gustaf25,
    61

    я заразился на этом сайте!

    mmohelper.ru

    как то странно долго страничка загружалась, а потом выскочило в полне обычное обновлелие адобе флеш плеера! я нажал принять через секунд 15 синий экран у угрозами и щетом для перевода денег

  62. Евгений Москаленко,
    62

    Вряд ли Вы заразились именно на этом сайте, так как там нет ничего подозрительного, но за сайтец спасибо, навеяло старыми добрыми временами про WOW, про моих персонажей 80-ого левела: «Мага», «Друида» и «Вора».

  63. Никита,
    63

    Класс мне 1 способ помог спс!

  64. ДаХа,
    64

    Спасибо огромное! Паучина рулит)))

  65. Серега,
    65

    Спасибо ОГРОМНОЕ!!!! помог первый способ!

  66. сергей м,
    66

    А мне нечего не помогает((( раньше люди ко мне обращались я удалял разные банеры, а теперь сам хапнул вирус который блокирует винчестер и любые вставленные флехи, до загрузки винды не доходит, а просьба послать 1000р на номер тел. появляеться как только вставляю загрузочный диск с виндой.((( ВОТ ТАКИЕ ПИРОГИ, СИЖУ ВТОРЫЕ СУТКИ((( ТЫРКАЮ ВСЕ СПОСОБЫ

  67. hum,
    67

    Жестко... Эволюция походу... А в Биос реально зайти? Для начала в Биос зайти (если получиться, но должно получиться) и посмотреть че там с 1 загрузочным девайсом.

  68. Nuttywriter,
    68

    статья шикарная :) сам такую ересь ни разу не ловил, но, на всякий случай, добавил ее в закладки :)

  69. hum,
    69

    Вчера грохнул еще локера . Все как по взрослому: «МВС України...згідно законів...за перегляд та розповсюдження...сплатити на вебмані...» Ярлыки,гербы)))) Фотки на форум можно вставлять? ))

  70. Артем,
    70

    А какой способ помог для удаления локера от МВС Украины? У меня тоже такой вылез.

  71. Скорей всего способ №4 или способ №5! :)

  72. hum,
    72

    МВСы,СБУ, и прочие банеры лично я удаляю Antisms'ом. Делов на 10 минут. Правда обязательно потм по системе пройтись вручную, куки, временные файлы поудалять, кеш браузеров почистить (от рецидива). Для контроля можно ДрВебом в паре с AVZ полирнуть. Это не реклама программы, а реально действующий метод.

  73. Сергей,
    73

    Интересный и довольно извесный вирус. Я сним не сталкивался (не дай бог), но слышал многое. Говорят, что его написал обычный школьник.

  74. Ikmj Ming,
    74

    А у меня 300 грн требовал и если в течении 12ти часов я не заплачу то подадут в суд. пришлось сносить винду. спасибо за ваш текст в следующий раз попробую)))))))))

  75. Сенич,
    75

    А мне вот в отличии от вас сильно не повезло. Высшая степень эволюции блин! Не даёт ничего сделать. Сразу после асус баннер. Клаву кердык, биос не открыть, ф8 не прёт... В общем завтра с друганом попробую переосить ноут или лайф сиди поставить. Ноут у нас в семье единственный, а вот тому кто эту прогу написал — ей богу черепушку бы проломил. В общем, хелп люди!!! (Сижу с телефона)

  76. Посмотри на моем блоге в поиске по запросу «вирусы» без кавычек, здесь есть еще несколько способов для сноса такого вируса.

  77. Сенич,
    77

    усё окей и мой вам совет — держите на компе 2 одинаковой винды я так делаю

  78. Евгений Москаленко,
    78

    Я тоже всегда держу две ОС. Только одна у меня Windows, вторая Linux Ubuntu. :)

  79. илья,
    79

    у меня такая проблема у меня винлокер просит деньги 2600 рублей в автозагрузках его нету

    а в реестре шелл и усеренит всё прописано как надо и в Image File Execution Options тоже шелла нету помогите я не знаю что делать в безопасный режим входит скачивал антивинлок но он не успевает открыться его банер ложит а в безопасном режиме не действует помогите плиз

  80. Думаю здесь все уже куда сложнее, наверное стоит переустановить Windows.

  81. Dumaxal,
    81

    Евгений помогите, сегодня пытался исправить ошибку с павно и зашёл на сайт с читами типо такого. Потом спустя короткое время выбил в соседней вкладке сайт или сайт визитка вообщем просто был синий фон и белый текст на нём писало что я просматривал порно детское или гей порно что мне нужно внести 1500 грн или через 12 часов это перейдет в суд (Буквально). Я испугался пытался выключить сайт но выбило окно (Перезагрузить сайт) (Остаться на сайте), я выключил браузер потом зашёл и все свои данные, кешы, пароли удалил в настройках истории (Пользуюсь Chrome) потом немного успокоился спустя время я решил узнать, правда ли этот сайт МВС и что передадут в суд. Потом через часа 2 или 3 у меня экран разделился на 2 части я вышел с системы оно осталось я был вынужден перезапускать компютер (Винда 7).

    Потом экран исправился прошло 2 часа и я решил глянуть в интернете правда ли это (Раньше была такая штука малый был, скачай голоса ВК проггу вип локер, ОС заблокировали за просмотр «платного порно» хотя не смотрел к счастью это был фэйк). Так вот это фэйк или настоящий сайт МВС и нужно ли платить 1500?

  82. Евгений Москаленко,
    82

    Ничего никуда платить не нужно, все это обман с целью наживы. Делают все это мошенники. Ничего не бойтесь и никуда ничего не платите, можете даже свободно и смело смотреть порно в интернете, если старше 18-ти лет конечно. :)

  83. Вова,
    83

    не знаю что мне делать

  84. Евгений Москаленко,
    84

    Вова.

    Все очень просто, делаешь то, что написано в статье. Если не помогло, читаешь комментарии, в них тоже очень много полезного. Как правило, после внимательного чтения статьи и комментариев, у всех все получается. :-)

    Успехов. Будут вопросы, обязательно пиши.

  85. Алёнка,
    85

    7 утра меня будит мать тоже попалась типа вам надо заплатить 1500 гривен типа это от мвд с перепугу меня розбудила бегала тут кричала типа как так что это такое очень сильно испугалась так как у меня поездка за границу намечается вот чуть инфаркт она не получила ,блин найти бы этих хакеров да повырывать им руки за такое спасибо большое вам )))нашла вовремя прочитала

  86. Евгений Москаленко,
    86

    Очень рад, что смог развенчать ваши с мамой страхи по данному поводу. Вы мне даже подняли настроение с самого утра, комментарий очень улыбнул. :-)

  87. Дмитрий,
    87

    Скачал медиаплеер на андроид для просмотра онлайн видео и появилась заставка о том что телефон заблокирован и нужно заплатить штраф...Не знаю что делать,не дает даже меню открыть.Телефон Престижио РАР5450 DUO.

    Подскажите как избавится!

  88. Danilla,
    88

    чтобы снять винлокер не надо что-то делать , надо просто нажать и удерживать кнопку питание на компе и включить его а , потом удалить винлокер.

  89. AmmyyAdmin,
    89

    К сожалению не каждую блокировку Windows можно снять подобными способами. Многие баннеры создаются без возможности снятия блокировки, удалить их описанными способами просто не возможно. Для этого нужно использовать специальные программы.

  90. Елена,
    90

    Добрый День. Мне по почте пришло письмо от бухгалтера, я его открыла и у меня на компе зашифровывались все файлы.

    После шифрования многие пользовательские файлы оказались переименованы в случайное имя с расширением .da_vinci_code.

    На рабочем столе появились обои с содержанием:

    «Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков»

    Содержание файла README.TXT

    "Ваши файлы были зашифрованы.

    Чтобы расшифровать их, Вам необходимо отправить код:

    2F04754A347F7D9704A6|0

    на электронный адрес RobertaMacDonald1994@gmail.com .

    Далее вы получите все необходимые инструкции.

    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

    Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае

    их изменения расшифровка станет невозможной ни при каких условиях.

    Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),

    воспользуйтесь формой обратной связи. Это можно сделать двумя способами:

    1) Скачайте и установите Tor Browser по ссылке:

    В адресной строке Tor Browser-а введите адрес:

    и нажмите Enter. Загрузится страница с формой обратной связи.

    2) В любом браузере перейдите по одному из адресов:

    "

    сегодня пришло еще одно письмо от Roberta MacDonald, я его не открывала но первые слова : Стоимость дешифровки 14000 рублей пришлите 1 файл бесплатно расшифровываю, дальше не видно...

    скажите можно ли что либо сделать в моем случае, если да то что? там документы по работе с 2013 года, и взять их неоткуда . помогите...

    стоит нод 32 ничего не выявил, посоветуйте что мне делать, у меня уже паника...

Оставить комментарий