Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
realy31, то что прописано в Shell это отвлекающий манёвр, если его исправить зверёк всёравно запустится. он подменил собой userinit.exe надо впихнуть оригинальный от твоего сервиспака.
Я уже описывал его тут

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 09:10 06-06-2011
realy31

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ynbIpb  
Спс, из-за чехарды с ERD и LiveCD забыл о твоем посте. Вечером буду править.

Всего записей: 38 | Зарегистр. 18-05-2008 | Отправлено: 15:09 06-06-2011
GHJNNB

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Выполнил все рекомендации, банер пропал, но в реестре в Shell cmd.exe/k start cmd.exe
Подскажите почему?
Огромная благодарность всем реальным помощникам на форуме. СПАСИБО.  

Всего записей: 1 | Зарегистр. 06-06-2011 | Отправлено: 22:00 06-06-2011
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
tahirg

Цитата:
погляди ветку реестра  
 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options  
 наверняка там есть имячко твоего антивиря  

Спасибо! Оказывается, довольно простое решение проблемы!!!

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 07:19 07-06-2011
Sonya1003

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте,я  залезла  C:\Documents and Settings\All Users\Application Data и удалила 2 файла со странными иконками,которые были созданы во время заражения.Также нашла переименованный userinit.exe(он назывался 03014D3F.exe),восстановила ему имя, удалила подделку, taskmgr.exe не нашла,но нашла его замену и тоже удалила. У подделок были те же даты создания и иконки, что и в Application Data.
C:\WINDOWS\system32\dllcache\ тоже не нашла.
Само окошко,сообщающее о заблокированном компе пропало,но рабочий стол так и не появился. На работу с папками он дает некоторое время,после чего все закрывает и приходится заново все открывать.
LiveCD у меня нет. Что делать?

Всего записей: 2 | Зарегистр. 07-06-2011 | Отправлено: 12:43 07-06-2011
Sish



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sonya1003

Цитата:
LiveCD у меня нет. Что делать?

Сачать его, к примеру, отсюда.

Всего записей: 25335 | Зарегистр. 09-06-2004 | Отправлено: 12:55 07-06-2011
tahirg



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sonya1003
или вот другой метод

Всего записей: 1970 | Зарегистр. 23-03-2003 | Отправлено: 13:09 07-06-2011 | Исправлено: tahirg, 13:11 07-06-2011
papados



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
заметил тоже,что последние версии блокера,которые пугают ответственностью за педофилию,"портят USERINIT.EXE  причем оба и в dllcache тоже,так что смотрим дату модификации.Все три раза что столкнулся с этим,получилось откатить ,shell вообще отсутствовал,нарисовал вручную.ERD все же использовать надо наверно,не зря же его инопланетяне людям дали.

Всего записей: 150 | Зарегистр. 09-01-2007 | Отправлено: 15:52 07-06-2011
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Sonya1003
Если не с чего загрузиться то попробуй выбрать режим загрузки с поддержкой командной строки, а там уже набрать explorer.exe и запустить. После загрузки смотри ключи реестра указанные tahirg, либо AVZ и другие утилиты. (см. эту тему внимательнее)

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 18:09 07-06-2011
Sonya1003

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо,попробую.А не проще винду переустановить?Или вирус может остаться и на других жестких?

Всего записей: 2 | Зарегистр. 07-06-2011 | Отправлено: 18:37 07-06-2011
hohkn



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Sonya1003

Цитата:
А не проще винду переустановить?Или вирус может остаться и на других жестких?

И как часто собираешься переустанавливать? У меня некоторые раза по три в месяц умудряются локер ловить. На других жестких вирус как правило не прописывается, обычно только на системном диске.

Всего записей: 232 | Зарегистр. 05-06-2009 | Отправлено: 18:57 07-06-2011
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Sonya1003
Если бы было легче, то половины тем на форуме было бы не нужно. Даже имея свежий бэкап системы ввиде образа, с разворачиванием за 5 минут, никто бы не стал использовать против подобных вирусов.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 23:26 07-06-2011 | Исправлено: IvANANvI, 23:27 07-06-2011
seggah

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
как вы ловите подобные вирусы, вот что интересно.

Всего записей: 75 | Зарегистр. 08-11-2005 | Отправлено: 13:32 08-06-2011
BennyBlanco



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите какие системные файлы (например userinit.exe) подменяют собой вин локеры?
 
Добавлено:
Win XP SP3

Всего записей: 1992 | Зарегистр. 17-09-2009 | Отправлено: 11:59 09-06-2011
Skif_off

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
BennyBlanco, в шапке:
  Чистые системные файлы Windows, которые заражают блокеры: скачать  
 
но чаще правят ключи в реестре: Userinit/Shell в HKLM и/или HKCU.
не считая банальной автозагрузки

Всего записей: 6462 | Зарегистр. 28-01-2008 | Отправлено: 12:09 09-06-2011 | Исправлено: Skif_off, 12:09 09-06-2011
BennyBlanco



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Skif_off
Всего три файла?
explorer.exe
taskmgr.exe
userinit.exe
-------------------------
winlogon.exe например они не трогают?

Всего записей: 1992 | Зарегистр. 17-09-2009 | Отправлено: 12:25 09-06-2011
alon73

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
На первый взгляд ситуация банальная, подцепил троян вымогатель... выключил комп. Когда снова включил, то никак не мог войти в винду, постоянно выкидывает в окно (режим) выбора пользователя при входе - и так до бесконечности... при загрузке в безопасном режиме и т.д. то же самое... все файла, которые часто инфицируются - чистые, скопированы из другой работоспособной установки ОС, все шпионы и трояны вычислены и удалены...  
 Что и где заставляет систему постоянно выдавать такой запрос?

Всего записей: 3 | Зарегистр. 09-06-2011 | Отправлено: 13:05 09-06-2011
ynbIpb



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Что и где заставляет систему постоянно выдавать такой запрос?

Скорее всего за это отвечает userinit.exe, но раз вы говорите, что он точно оригинален, значит повреждена запись в реестре о нём.
проверьте через LiveCD:  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр Userinit

Всего записей: 1645 | Зарегистр. 01-05-2006 | Отправлено: 13:09 09-06-2011
Neon2

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alon73
Цитата:
все файла, которые часто инфицируются - чистые, скопированы из другой работоспособной установки  
winlogon.exe и logonui.exe тоже?
 

Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 13:11 09-06-2011
alon73

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
да, эти файлы тоже хорошие... основную идею понял, liveCD и реестр, попробую...

Всего записей: 3 | Зарегистр. 09-06-2011 | Отправлено: 13:15 09-06-2011
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru