Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!

Модерирует : KLASS, IFkO

KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

   

berta0

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Сервисы деактивации вымогателей-блокеров:
 
http://www.drweb.com/unlocker/index/
http://www.esetnod32.ru/.support/winlock/
http://virusinfo.info/deblocker/
http://support.kaspersky.ru/viruses/deblocker
http://news.drweb.com/show/?i=304&c=9&p=0
http://www.drweb.com/unlocker/mobile/
http://forum.drweb.com/index.php?showtopic=287460
 

Цитата:
Для получения кода разблокировки вам необходимо указать:
- номер телефона, на который вам предлагают отправить СМС;  
- текст сообщения, которое требуют отправить на этот номер.

 
 
Если не работает сеть/интернет после удаления вируса
Как убрать окно вируса в фон
Средства для борьбы с этими вирусами
Метод запуска браузера от Гостя
Получение кода разблокировки по телефону и жалоба на короткий номер с просьбой отправить смс
Видео, демонстрирующее заражение системы Винлоком


Вирус(ы) в Windows XP,Vista,7. Проблемы. Решения.


Инструменты:
 
  Universal Virus Sniffer -краткая инструкция- (uVS предназначен для упрощения процесса борьбы с неизвестными вирусами/троянами/руткитами как непосредственно в заражённом Windows, так и для лечения неактивных и удалённых систем).
  Антивирусная утилита AVZ (помогает исправить последствия деятельности зловредов).
  Метод от tahirg (Загрузочный ERD Commander).
  Метод от folta Хитрость с клавишей Shift
  Bootice Работа с MBR и различными файлами для загрузки OS.
  Kaspersky WindowsUnlocker (LiveCD Kaspersky Rescue Disk).
  AntiWinLockerLiveCD Специальный LiveCD для разблокировки.
  new! AntiSMS Быстрая автоматическая разблокировка компьютера, загрузочный диск - 30 МБ.
 
 


  Чистые системные файлы Windows, которые заражают блокеры: скачать

Всего записей: 16 | Зарегистр. 07-03-2009 | Отправлено: 14:46 08-04-2009 | Исправлено: Nilslis, 17:16 13-02-2016
north_crow

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
viur

Цитата:
Из антивирусников установлен Symantec Endpoint, который обновляется каждый день

у меня у приятеля стоит симантек - обновляется постояно, но это дряни в упор не видит
я касперу 3 разновидности уже посылал этого виря - дык через 20 минут он уже был в базе!
ЗЫ офф... ставте симантек - и компьютер у вас будет чистым. т.к. он вирей не видит
 
Добавлено:
Velimir
это не очередная разновидность - это была первая волна смс вымогательства
лечилось элементарно - отключением непонятных надстроек в IE...
ну и для верности очисткой кэша темпов и непонятных файлов в корне профиля

Всего записей: 172 | Зарегистр. 04-12-2002 | Отправлено: 08:39 29-04-2009
Dimedrolum

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хороший такой вирус
Чуваку написавшему респект за идею но надо дорабатывать его.
 
Следующая разновидность должна подменять MBR на свой или шифровать, и при включении компьютера, до загрузки ОС, можно будет вывести окно с аутентификацией по смс )

Всего записей: 22 | Зарегистр. 30-10-2003 | Отправлено: 10:24 29-04-2009
YaRaYa

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Мой комп не видел никакие съёмные носители, сам собой отрубался каждые минут пять..., такая же хрень с смс-кой на чёрно-красном фоне вылазила... Пробовала винду переустановить-не загружалась даже... в общем что-попало было...
А один хороший человек с форума-01pump, прямо онлайн, скриптами всех вирусов у меня в компе прибил, Windows отладил...
РЕСПЕКТ И УВАЖУХА! Величайшая благодарность...

Всего записей: 1 | Зарегистр. 27-04-2009 | Отправлено: 17:02 29-04-2009 | Исправлено: YaRaYa, 19:12 29-04-2009
iluwin85

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
здравствуйте!
Почитал тему, но у меня вообще новая вещь Windows не блокируется, а вот блокируются браузеры, на клиентских машинах стоят 3 браузера: IE? OPERA и Firefox. и во всех трех стоит заставка
"ВАШ БРАУЗЕР ЗАБЛОКИРОВАН!
Отправьте смсм на номер ...."
набираешь в адресной строке любой адрес, заставка остается.
 
 
Почистил папки
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files
C:\Documents and Settings\admin\Local Settings\Temp
C:\Documents and Settings\admin\Cookies
Попытался в браузере IE в Свойствах обозревателя во вкладке Программы в Надстройках отключил ненужные элементы, но ничего не помогло. Может кто встречался с такой заразой.  
 
Буду благодарен за помощь

Всего записей: 43 | Зарегистр. 05-04-2007 | Отправлено: 17:51 29-04-2009
Vigorous



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
iluwin85
это совсем другая тема:
Ошибка браузера

Всего записей: 5200 | Зарегистр. 23-06-2005 | Отправлено: 18:14 29-04-2009
Neon2

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iluwin85, прочти в этой теме мой пост выше или загляни в тему "Ошибка браузера !?".

Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 18:15 29-04-2009
174bpm



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот пример того, откуда зараза лезет: tubecollection2009.com/xplaymovie.php?id=40052
на страничке стоит gif, изображающий встроенное флэш-видео (проигрыватель). Эта гифка является ссылкой на файл softwarefortubeview.40052.exe
 
файлик по версии virustotal: свеженький
 
является ли он (б)локером или просто работает с ним в связке неизвестно, но сегодня все вирусы распространяются именно так + autorun.inf

Всего записей: 885 | Зарегистр. 12-01-2006 | Отправлено: 18:32 04-05-2009
nek1d

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня кажется новая версия трояна. Черный экран и написано отправтье смс и т.д. подхватил перейдя по ссылке кончающейся на .php Зашел через безопасный режим, вначале понаходил в разных директориях .ехе и .dll а потом при полной проверке CureIt обнаружил вот что:
D:\System Volume Information\_restore{6B67121F-90E0-46F8-BEAB-051BD6CFC381}\RP145\A0027498.exe инфицирован Trojan.MulDrop.6474 - удален
D:\System Volume Information\_restore{6B67121F-90E0-46F8-BEAB-051BD6CFC381}\RP145\A0027499.inf инфицирован Win32.HLLW.Autoruner.1408 - удален
не поверите в этой папке таких же троянов было около 800
Также был удален cmdow.exe что-то вроде Tool.Hide.Window Кароче еще было штук 7 разных .ехе и еще много .dll
До сих пор появляется эта хрень, помогите!

Всего записей: 1 | Зарегистр. 16-05-2009 | Отправлено: 13:38 16-05-2009 | Исправлено: nek1d, 14:22 16-05-2009
andrew1692

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nek1d
загрузиться с live cd c cure it  и проверить комп
далее штатным антивирем и в конце запустить sfc /scannow

Всего записей: 1980 | Зарегистр. 31-10-2008 | Отправлено: 14:30 16-05-2009 | Исправлено: andrew1692, 14:30 16-05-2009
HDD



Platinum Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
nek1d

Цитата:
не поверите в этой папке таких же троянов было около 800

Поверим. Отключай перед проверкой службу восстановления.

----------
Мир есть Текст
The Show Must Go On
Карта раздела «Microsoft Windows»

Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 04:53 20-05-2009
GritoPilau

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подобный вирус поразил и меня.
Серый экран со станадртным текстом типа от фирмы ООО "Какой то там Security" и смс с кодом на номер 1711
Вылечился загрузкой с безопасный режим и удалением файла:
%systemdir%\system32\portmap.exe
так же файлик прилепился по тому же пути sdra64.exe
в списке программ Startup этот вирь добавил ярлык на скачивание самого себя по дурости удалял сразу не смотря куда ведет а на второй машине ярлык как раз указывал на директорию в которой он расположен
нужно отключиться от сети и прошерстить реестр везде где встречается этот файл удалить.
на другом компе уже не мудрстовал а пошел по пути который любезно описал NeliyZar с экранной лупой используя утилиты от systernals -  Process Explorer и Autorun поубивал portmap.exe и т.д. по стандартной схеме.
 
З.Ы. Live CD с касперским эту хрень не увидел нод тоже не подавал признаков жизни  

Всего записей: 3 | Зарегистр. 10-01-2007 | Отправлено: 17:48 22-05-2009 | Исправлено: GritoPilau, 18:05 22-05-2009
andrew1692

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот что значит человек с любовью писал код

Всего записей: 1980 | Зарегистр. 31-10-2008 | Отправлено: 19:34 22-05-2009
kinglear



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
Подобный вирус поразил и меня.  
Серый экран со станадртным текстом типа от фирмы ООО "Какой то там Security" и смс с кодом на номер 1711  
Вылечился загрузкой с безопасный режим и удалением файла:  
%systemdir%\system32\portmap.exe  
так же файлик прилепился по тому же пути sdra64.exe  
в списке программ Startup этот вирь добавил ярлык на скачивание самого себя по дурости удалял сразу не смотря куда ведет а на второй машине ярлык как раз указывал на директорию в которой он расположен  
нужно отключиться от сети и прошерстить реестр везде где встречается этот файл удалить.  
на другом компе уже не мудрстовал а пошел по пути который любезно описал NeliyZar с экранной лупой используя утилиты от systernals -  Process Explorer и Autorun поубивал portmap.exe и т.д. по стандартной схеме.  

 
у меня повеселей - kaspersky lab antivirus online
и черный экран - просит отправить смс на 2895 за 150
говорит что надо лицензию на касперыча якобы купить, тк онлайн-касп обнаружил у меня вирус, который только эта лицензия и поможет вылечить...
таких файлов нет, так что сижу копаюсь, под hirens xp mini чего-то cureit не запускается, сейчас буду livecd drweb пробовать...
 
может кто знает как справится? когда я понял, что словил - вырубил всё лишнее через msconfig
однако при перезагрузке не помогло
и ещё - сразу вырубились alt-ctrl-del

Всего записей: 23 | Зарегистр. 06-03-2008 | Отправлено: 10:16 04-06-2009 | Исправлено: kinglear, 10:39 04-06-2009
01pump

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kinglear
Эту дрянь легко вычислить загрузившись в LiveCD (только не Drweb ) и запустив  под удаленным реестром (учеткой Администратор) утилитку avz (Исследование системы). Там по анализу этого протокола уже можно точно сказать кто где сидит . Решается за 40 минут

Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 11:17 04-06-2009
kinglear



Newbie
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
запустив  под удаленным реестром (учеткой Администратор)

можно поподробнее - как запустить удаленный реестр под livecd?
drweb ничего не нашел
avz ом попробую сейчас под livecd

Всего записей: 23 | Зарегистр. 06-03-2008 | Отправлено: 12:01 04-06-2009
01pump

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kinglear
На практике с нормальным LiveCD получается так
загрузился под LiveCD:
 Открываешь папку с avz в ней файл avz.exe Кликаешь по нему правой кнопкой мышки "Запустить с удаленным реестром". Далее предложат выбрать учетку реестра винды больной. Надо выбрать "Администратор". Запустится программа avz. (если не запустится -фигово надо другую LiveCD пробовать) В меню программы avz:Файл-Исследование системы. Откроется "Протокол со множеством птичек " В этом протоколе изменить "Только активные службы и драйверы " на "Все службы и драйверы". Внизу еще поставить птичку "Создать zip архив с протоколом". Запускаешь. По завершению можно просмотреть этот протокол.  
Если есть желание то этот zip архив кинь на файлообменник и ссылку сюда выложи. Поглядим
 
ЗЫ Еще можно так же лог в hijackthis прогнать и тоже выложить.

Всего записей: 500 | Зарегистр. 27-06-2008 | Отправлено: 12:23 04-06-2009
Venberg

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kinglear
У меня этот гад был в  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Заменил Shell со стандартного Explorer.exe на новый user32.exe
Поменял назад на Explorer.exe и убил user32.exe в system32
 
Вроде бы пока загружаюсь в систему нормально.

Всего записей: 29 | Зарегистр. 07-02-2003 | Отправлено: 18:31 08-06-2009
RIZIY



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А у меня веселее - лазил по сайтам, никого не трогал - выскочила эта хрень и денег требует...

----------
Новая МММО - Dragon's Prophet

Всего записей: 1735 | Зарегистр. 17-07-2006 | Отправлено: 12:14 13-06-2009
RIZIY



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Блин, какае-то новая разновидность - выскакивает не при старте системы, а через некоторое время, пока не могу найти/вывести. Запускал Панду-онлайн, сканит, успевает найти заражённый файл и выскакивает окно. Где/чем искать?  Просит СМС на номер "4460"

----------
Новая МММО - Dragon's Prophet

Всего записей: 1735 | Зарегистр. 17-07-2006 | Отправлено: 15:51 13-06-2009 | Исправлено: RIZIY, 16:09 13-06-2009
Neon2

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
RIZIY, тем же AVZ не пробовал?

Всего записей: 9559 | Зарегистр. 21-10-2005 | Отправлено: 16:21 13-06-2009
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Активные темы » Windows заблокирован!
KLASS (19-02-2017 09:58): Продолжение в Windows заблокирован! (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru