Сегодня принесли еще один компьютер зараженный этой новомодной заразой. Включив питание на системнике и подождав пока загрузится хрюша (Windows XP) я увидел интересное окошко с предложением заплатить 300 рублей злумышленникам дабы компутер разблочить. Окошко немного отличалось от тех что я видел до этого и было красиво оформлено выдержками из УК (видимо для устрашения нерадивых пользователей желавших утянуть с инета очередную mp3’шку =))). Ну что ж.. начали лечить.. =)
После загрузки с live cd (любимый KUPR soft 2 Gb,. а конкретно Alkid cd из его комплекта)я первым делом натравил на винду утилиту autoruns (sysinternals.com) и почикал всякую левоту =) Также в системе был обнаружен новый пользователь с оригинальным именем aa. Его я позже снес, а пока добавил нового админа утилитой PasswordRenew. Перезагрузился, залогинился новым пользователем и.. снова "Компьютер заблокирован”. Ну ничего, снова загрузился с лайва и полез искать дальше.
Нашел любопытные вещи в ветке реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\. Там поправил значение ключей Shell = "Explorer.exe” и Userinit = "C:\Windows\system32\userinit.exe”. Снова перезагрузился и… опять "Компьютер заблокирован!” Да что же это такое то!
Опять полез с лайва и начал все досконально перепроверять. Попутно снес "программу для контакта” VPets(известный рассадник вирусов на который дофига людей ведется). А потом обнаружил что вC:\Windows\system32\userinit.exe обитает сама вирусня подменившая оригинальный файл. Пришлось вернуть его на место позаимствовав его из винды установленной на моем ноуте =) И лишь только после всех этих манипуляций винда запустилась без надоедливого окошка. Ждем что придумают вредные вирусописатели в следующий раз =)
Годный рецепт для лечения:
Загрузиться с live cd
Почистить автозагрузку (утилита autoruns от Марка Руссиновича), удалить новых созданных пользователей (ERD Commander, утилита PasswordRenew)
Проверить пути для ключей реестра в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Проверить explorer.exe и userinit.exe на предмет подмены
Компьютер Заблокирован Вирусом, Просит Отправить СМС, Пополнить Счёт или За Рассылку Спама
Если Ваш компьютер заблокирован, т.е. на рабочем столе появились ниже перечисленные изображения, то скорее всего, это не имеет отношения к тому, что Вы используете нелицензионное программное обеспечения. На этот раз компьютер заблокирован вирусом.
Здесь представлены наиболее часто встречающиеся варианты окон, когда компьютер заблокирован.
Что нужно сделать, когда Ваш компьютер заблокирован?
Во первых, не отправлять смс! Код Вам все равно никакой не пришлют. А счет на оплату услуг сотового оператора пришлют, и довольно скоро. Врятли Вам удастся доказать, что смс отправилсосед злоумышленник, или Вы это сделали не по своей воле.
Во вторых. Подобных вирусов несколько. И ведут они себя по разному. Первые экземпляры вируса, компьютер заблокирован,самоуничтожались спустя некоторое время. Пользователь не успевал как следует испугаться, как вирус пропадал, так же быстро как и появлялся. Следующие версии уже не самоуничтожались. От них избавлялись, вводя заветный код, который можно было получить на сервере DrWeb. Однако, время идет, и вирус компьютер заблокирован, становится все кровожаднее. Сейчас, в большинстве случаев, никакие коды не помогают.
Самый лучший выход из ситуации, когдакомпьютер заблокирован, который мы Вам настоятельно рекомендуем, это воспользоваться комплектом Анти-Баннер. В этом случае, Вы с большой долей уверенности сохраните Ваши данные.
Однако, если Вы уверенный пользователь, и готовы рискнуть Вашими документами, фотографиями и музыкой, для Вас небольшая инструкция на случай, когда компьютер заблокирован.
В этой статье снял видео, на котором показано как можно снять баннеры с рабочего стола компьютера на конкретном примере.
Знакомый на ноутбуке поймал вирус (баннер), который выдает следующее содержание:
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона МТС 8-911-291-76-49 begin_of_the_skype_highlighting8-911-291-76-49end_of_the_skype_highlighting, и т.д.
Этот вирус подменяет собой оболочку Windows (explorer), ну и как обычно, блокирует диспетчер задач, залипание клавиш (5 раз подряд нажать shift) и пр.
Для борьбы с вирусом я использовал так называемый Live CD – диск, с которого можно загрузить операционную систему Windows без участия жестких дисков, подключить «зараженный» реестр и в ручную удалить ссылки на вирус и восстановить стандартные значения.
Смотрим видео как избавиться от вируса, который просит пополнить счет.
Частенько ко мне приходят с плачем, размазывая сопли по чумазым щекам вендузятнеги, подхватившие популярную заразу, коя блокирует компы сей школоты напрочь и пишет на экране обидные слова: Ваш ПК, компьютер, Windows заблокирован, за просмотр порнофильмов с участием несовершеннолетних, просмотр фильмов с зоофилией и гомосеками. Для разблокировки Вам необходимо выполнить следующие действия. В любом терминале оплаты сотовой связи, пополните номер такой то... Иначе угрожает чем то вроде: Если в течении 12 часов с момента появления данного сообщения, не будет введен код - все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ, дом сгорит, жена уйдёт. Попытка переустановить систему приведет к нарушениям работы компьютера и полового члена. Вендузятнег в ужасе - вдруг мама или начальство узнает, чем занимается пользователь данного компьютера, каков основной круг его интересов и пристрастий. Плакать перестаем - и к делу.
1. При загрузке компа тычем на кнопку F8 пока не появится список выбора вариантов загрузки венды. 2. Выбираем режим загрузки - Безопасный, с поддержкой командной строки 3. В командной строке вводим regedit.exe - запускаем редактор реестра 4. В редакторе следуем по папкам таким маршрутом: HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows NT->CurrentVersion->Winlogon. Теперь в окне справа ищем параметр "shell". Стукаем по нему правой кнопкой мыши и выбираем редактировать. Вместо необходимого значения - explorer.exe там был прописан длинный путь в одну из подпапок папки Temporary Internet Files, непосредственно указывающий на собственно тело врага, который подменяет собой Проводник. Запоминаем этот адрес, копируем его в буфер обмена(это когда правой кнопкой мышки тырцаешь "копировать" по выделенному фрагменту текста), а в поле вводим то, что надо, то есть - explorer.exe (если там и стоит explorer.exe - полностью удаляем параметр shell - ***совет из комментариев) 5. Закрываем редактор реестра. 6. Из командной строки запускаем Проводник (пишем в ней: explorer.exe) 7. В адресную строку вставляем из буфера обмена тот самый путь, что был прописан в реестре, НО! стереть в самом конце адреса имя вредителя(нечто вроде "xxx_video_цифры.avi.exe" или например "flash_plaer.exe") , чтобы открылась только папка, его содержащая, жмем "Перейти". 8. Чтобы долго его не искать - полностью очищаем всю папку. Всё.
Закрываем эксплорер, перезагружаемся - всё работает. На всякий случай ищем по всему компу подобные файлы или файлы с подозрительным окончанием avi.exe и грохаем их. Если у вас все получилось, в знак благодарности можете разок-другой поклацать по рекламкам, этим Вы - не слишком утруждая себя, пособите нам обрести вожделенные средства на интернет и на молочишко детишкам). И скопируй себе этот текст, вендузятнег. Распечатай. Рано или поздно он тебе пригодится...
Описанный выше троян обычно расположен в папке Temporary Internet Files (это папка кэша браузера)
Есть ещё версия подобной заразы. Она сидит в папке браузера, например для Мозиллы - в его папке: C:\Program Files\Mozilla Firefox и имеет вид файла с длинным названием из цифр, нечто вроде: 0.23456565534642.exe, имеет размер около 350 кБ, запускаться может откуда угодно, например так же - из реестра. В принципе мест расположения и названий этой вирусни может быть сколько угодно, так что...
Разработчики трояна Winlock продолжают изобретать новые схемы распространения своего детища. Похоже на то, что зарабатывать денежку разработчики этого софта будут еще очень долго, несмотря на постоянно ведущуюся борьбу с троянцом. Пока что выигрывает троянец, не в последнюю очередь, благодаря изобретательности своих создателей. Так вот, сейчас, по сообщению экспертов компании «Доктор Веб», придуман новый способ распространения заразы, блокирующей ОС Windows — комментарии в ЖЖ. Нажав на комментарий, пользователь попадает на фотохостинг, а оттуда уже перенаправляется на еще один ресурс, с «клубничкой», где вместо девочек пользователь получает троянца в виде exe-файла.
Понятно, что основная целевая аудитория Winlock, распространяющегося через ЖЖ — русскоязычные пользователи, коих здесь большинство. Это одна из первых попыток хакеров начать распространение трояна Winlock через социальные сети, поскольку до сих пор зловредное ПО распространялось через различные развлекательные ресурсы, вроде сайтов с той самой «клубничкой» или поддельные файлообменники.
Берегите себя, ребятишки, не клюйте на что попало, а лучше уйдите из соц.сетей, станьте анонимами, не доверяйте интернетам ничего личного...
Опция Просмотра Скрытых Файлов Сервера Оффлайн базы Зеркала обновлений NOD32 и Eset Smart Security Trojan.Winlock.19 удалить порноинформер Защитить Флэш-карту вирус автозапуска processinfo Conflicker Kido DDoS Autorun Инструкции по удалению продуктов Symantec Dr.Web KAV KIS Windows 7 активация оптимизация восстановление
сосед злоумышленник, или Вы это сделали не по своей воле.
