|
Блокировщики Windows
|
|
|
iamstarfucks5
|
Дата: Пятница, 04.03.11, 11:16 | Сообщение # 1 |
|
В последнее время в нете широко распространился новый вид мошенничества - вымогательство посредством блокирования операционной системы виндовс с последующим предложением отправить СМС на платный номер или пополнить счёт на телефоне и т.п. Кто сталкивался? КАк удалял? Делимся опытом. Есть вопросы по разблокировке пишите - помогу.
|
| |
| |
|
Grozny23
|
Дата: Пятница, 04.03.11, 11:37 | Сообщение # 2 |
|
Сам не сталкивался, но знаю что при блокировании Windows за СМС помогает откат системы на один день!!!
|
| |
| |
|
-=Raven=-
|
Дата: Пятница, 04.03.11, 12:00 | Сообщение # 3 |
|
В подобных случаях действуем следующими способами.
1. а)На сайте докторо Веба скачиваем Dr.Web CureIt - бесплатная лечебная утилита, записываем на флешку.
б)На этом же сайте есть генератор ключей для разблокировки "Разблокировка Windows (Trojan.Winlock)" - снимаем блокировку, после заходим в безопасном режиме и тестим комп на наличие трояна Dr.Web CureIt, т.к. даже после разблокировки, остаются остатки вируса.
в)Полностью еще раз прогоняем весь комп антивирусником.
2. Если не получилось снять блокировку при помощи сайта:
а)На сайте докторо Веба скачиваем Dr.Web CureIt.
б)Грузимся с виртуальной Windows прогоняем комп куреитом.
в)Перезагружаемся и полностью лечимся антивирусом. Сам пару раз ловил дома и на работе, выше указанные способы помогли.
|
| |
| |
|
VERGILIY
|
Дата: Пятница, 04.03.11, 12:17 | Сообщение # 4 |
|
Знакомые постоянно жалуются.
Вылечил:
1. Загрузился с LIVE CD (Alkid LIVE и т.п.)
2. Dr.Web CureIt НЕ помог. Тупо ничего не нашел
3. Помог только Kaspersky Virus Removal Tool 2010
Ну и деблокер иногда возможен... Quote (Grozny23) но знаю что при блокировании Windows за СМС помогает откат системы на один день!!!
Не всегда, увы 
|
| |
| |
|
Alisa1
|
Дата: Пятница, 04.03.11, 12:24 | Сообщение # 5 |
|
я нашла проще способ как бороться с этой всей фигней , доставит маленькое не удобство , в основном при новой регистрации итд. где надо скрипты пускать , но можно ходить Абсолютно по всем сайтам и не бояться такой вот фигни. NoScript для Мазилы если что плагин . Блокирует все , разрешаете что вам надо и живете спокойно.
|
| |
| |
|
logined
|
Дата: Пятница, 04.03.11, 12:36 | Сообщение # 6 |
|
Ув. автор. Во-первых, убери капс из названия темы, во-вторых такая тема уже имеется здесь, можно еще пошерстить флудилку или раздел софта.А в-третьих, если под "последним временем" подразумевать последние 5-7 лет, тогда, ок.
От себя могу порекомендовать обратится на сайт Кашпировского, где в изобилии имеются бесплатные способы избавления от сего горя.
З.Ы.С порносайтами завязывай 
|
| |
| |
|
Sviridik
|
Дата: Пятница, 04.03.11, 12:41 | Сообщение # 7 |
|
Ставим AdMuncher и не качаем подозрительный софт
|
| |
| |
|
Nicker
|
Дата: Пятница, 04.03.11, 12:52 | Сообщение # 8 |
|
Переходим сюда и получаем код разблокировки.
|
| |
| |
|
NReno
|
Дата: Пятница, 04.03.11, 17:15 | Сообщение # 9 |
|
В первую очередь надо знать, что отправление денег на указанный счет не решит вашу проблему - это все развод на деньги. Скорее всего порнобанер останется, а деньги (300-500) перейдут на счет злоумышленников. Поэтому, НИ В КОЕМ СЛУЧАЕ НЕ ОТПРАВЛЯЙТЕ СМС НА УКАЗАННЫЙ НОМЕР!
Было дело, как то подхватил порнобанер на каком то игровом сайте. Не помню уже что искал, но появилось настойчивое сообщение установить плагин, чтобы что то там отобразить. В итоге, после установки, порнобанер на полэкрана. Он не сворачивался, блокировал диспетчер задач, закрывал собой открывающиеся окна и требовал отправить смс на номер для разблокировки.
Сразу поясню, никакие Dr.Webы, восстановление системы, манипуляции с отключением дополнений в браузере и сайты помощи с получением кода разблокировки не помогли. Но кое что удалось, например:
1) Как убрать порнобанер с центра?
Меняем разрешение на более низкое, и возвращяем на то которое было. В итоге порнобанер оказывается не в центре, а чуть снизу и правее. Появляется возможность пользоватся открывающимеся окнами.
2) Если есть возможность открыть реестр и пользоваться интернетом, то это очень здорово. Вводим в поисковик "Как убрать - отличительные особенности порнобанера (цвет, код отправки, текст) - порнобанер через (в) реестр(е)", или другие вариации этого предложения (Чем кратче - тем лучше). Свой порнобанер я убил именно так, нашел в сети способ убийства через замену в строке (правда не помню что за строка) реестра с 1 на 0.
3)Если повезет и вам попался обычный порнобанер, его можно убить через автозагрузку. Делаем следующее - в пуске пишем msconfig, жмем enter. В появившемся окне (если его закрывает порнобанер, пользуемся пунктом 1) идем во вкладку "Автозагрузка" и снимаем подозрительные программы в списке. Перезагружаемся и чистим систему.
4) Вариант с LiveCD - http://pcvector.ru/t1948/
P.S. По сабжу - найдите хоть одного пользователя интернета, который хотя бы раз не лазил по порно сайтам. Это факт, и не надо нам рассказывать какие вы особенные и хорошие. 
|
| |
| |
|
Snejnniy
|
Дата: Пятница, 04.03.11, 17:31 | Сообщение # 10 |
|
сейчас уже новая версия вируса вышла, которая просит положить денег на счёт, а не отправить смс.... наверно самя полная база по этим вирусам http://www.drweb.com/unlocker/index/
|
| |
| |
|
kenzi779
|
Дата: Пятница, 04.03.11, 20:29 | Сообщение # 11 |
|
Прихожу я на работу а у девчонок из соседнего отдела висит банер "вы смотрели гей-порно 3 часа пришлите смс и т.д.", я полчаса под столом лежал Сразу зашел на сайт DrWeb, по картинке нашел троян, вбил код и нифига, залез на касперского, вбил код помогло
|
| |
| |
|
Xtravert
|
Дата: Пятница, 04.03.11, 20:31 | Сообщение # 12 |
|
Quote (NReno) По сабжу - найдите хоть одного пользователя интернета, который хотя бы раз не лазил по порно сайтам. Это факт, и не надо нам рассказывать какие вы особенные и хорошие.
А дело в том, что это не обязательно. Я вот не лазил, а подцепил недавно. Причем 1, и через короткое время еще 1. Основная проблема в том, что у меня комп один, и банер его заблокировал. Когда это произошло уже поздно было что-то читать, качать...т.к. доступа к инету нет. Диспетчер задач, оболочка, мышь, все не работает.
В первом случае зашел в безопасном режиме, там банер не появился, нашел его в папке windows или system32 не помню...и удалил. Можно еще поиск включить и отсортировать файлы по "дате изменения"...так найти.
Во втором случае не помогало ничего. Банер грузился сразу и блочил ОС даже в безопасном режиме. Зашел с мобилки, ввел в поисковик часть текста из банера, нашел код: 16342131, ввел, перезапустился, поправил в реестре Shell и удалил какую-то абракадабру.
В общем-то все. В принципе бывало вирусы мне по хлеще надоедали...LCLASS в запущении, например. Но поздно вечером, после работы, когда хочется отдохнуть, расслабиться этот банер совсем не к стати пришелся.
|
| |
| |
|
DarkAngel163
|
Дата: Пятница, 04.03.11, 20:49 | Сообщение # 13 |
|
Вторую неделю у нас в офисе такая беда,приходится убивать почти что через каждые дня 2,в принципе все они спокойно убиваются через безопасный режим(который с консолью),главное знать примерно куда он прописался(может в шелл,может в ран и т.д.),по поводу кодов касперского и веба...полная фигня,много видов этих гадов встретил,и ни один код не помог
|
| |
| |
|
-=Raven=-
|
Дата: Суббота, 05.03.11, 07:28 | Сообщение # 14 |
|
DarkAngel163, просто вирус постоянно обновляется и модифицируется - антивирус не всегда успевает. А по поводу 2 недели - значит на одной(или нескольких) машине вирус остался. При простом удалении он полностью не удаляется. Нужно сделать, так сказать, групповое лечение всех компов, включая все флешки и т.д.
|
| |
| |
|
Xtravert
|
Дата: Суббота, 05.03.11, 21:46 | Сообщение # 15 |
|
Quote (zeraf) 2 года назад... припоздал ты. щас это не актуально.
Два года назад я об этом только из форумов знал. А столкнулся недавно и сразу дважды...+пара знакомых жаловались. Тему подхватили, значит новая волна пошла.
|
| |
| |
|
DarkAngel163
|
Дата: Воскресенье, 06.03.11, 17:59 | Сообщение # 16 |
|
-=Raven=-,д не в этом дело,просто не обязательно офисные компы с этой шнягой нам приносят,в офисе пока только раз подцепили,но ладно хоть простое окошечко,а не лок,ноут дважды приносили,первый раз все сделал,почистил,через неделю они позвонили какому-то "мастеру" типо чтобы нас не трогать,ну тот сказал: "винду переставить нужно" и поставил вместо лиц 7 пиратскую ХР,но как итог через 3 дня опять такая же история(не знаю уж где они там "ходят") и "мастер" снова говорит,что винду переставлять,типо по-другому никак,принесли нам,мы все сделали,но вот диска с лиц виндой не осталось...
|
| |
| |
|
Xtravert
|
Дата: Воскресенье, 06.03.11, 19:49 | Сообщение # 17 |
|
zeraf, Да не пользовались никаким WiFI. На компе его отродясь нету.
|
| |
| |
|
iamstarfucks5
|
Дата: Вторник, 08.03.11, 15:36 | Сообщение # 18 |
|
Quote (logined) Ув. автор. Во-первых, убери капс из названия темы, во-вторых такая тема уже имеется здесь, можно еще пошерстить флудилку или раздел софта.А в-третьих, если под "последним временем" подразумевать последние 5-7 лет, тогда, ок. От себя могу порекомендовать обратится на сайт Кашпировского, где в изобилии имеются бесплатные способы избавления от сего горя. З.Ы.С порносайтами завязывай
1. Я не прошу помощи, а предлагаю её!!!
2. Массово они появились 2 года назад, а с полгода как появились новые модификации и в очень большом количестве, у меня свой комп-сервис, так что знаю о чем говорю!!!
3. Сайт "Кашперовского" помогает удалить 1 из 10 порнобанеров или менее, т.к. в новых винлокерах поле ввода кода ни привязано ни к чему, откат времени в БИОСЕ непомогает, безопасный режим заблокирован, вариант только грузиться с ЛИВ СД, чистить реестр, удалять объект, грузиться из под винды и восстанавливать систему.
4. Эта ветка форума соответствует теме т.к. все винлокеры поподают на комп юзера из интернета и судя по количеству постов тема актуальна, а то что в ветке софт делает "такая" тема вопрос не комне, я порнобанеры за софт не считаю.
5. З.Ы. С порносайтами и не развязывал :D
|
| |
| |
|
DarkAngel163
|
Дата: Вторник, 08.03.11, 16:51 | Сообщение # 19 |
|
iamstarfucks5,эмм,вообще-то заблокирован обычный безопасный режим,безопасный режим с консолью никто не отменял
|
| |
| |
|
Thinker
|
Дата: Пятница, 11.03.11, 12:20 | Сообщение # 20 |
|
Приехал как то на вызов парень потхватил винлок тот который требует пополнить счет на сумму 300 р
Устранял так заходил в безопасный режим с поддержкой консоли вводил cd C:\
потом explorer.exe ну потом в реестре удалял тело для тех кто не знает как входить в реестр Пуск - Выполнить - regidit
там идем по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
смотрим раздел Shell там должно быть это - Explorer.exe и только это потом смотрим раздел Userinit там должно быть это C:\WINDOWS\system32\userinit.exe потом ишем тело с помощью RemoveIT или Касперский removal tool (можно тем и другим) на всякий пройдитесь по реестру этим Plstfix (ремонтирует реестр после зловредных с ним манипуляци) ну на по следок этим ATF cleaner (отмечаем в нем все пункты и жмем кнопку)
Если надо проги пишем в ЛС
|
| |
| |
|
DarkAngel163
|
Дата: Пятница, 11.03.11, 23:09 | Сообщение # 21 |
|
Thinker,я почти так же делал,только без explorer'а обходился,мне консоль роднее что ли
и кстати,в шелл лезть стоит только если не стартует explorer.exe при нормальном запуске системы
|
| |
| |
|
Xtravert
|
Дата: Суббота, 12.03.11, 01:06 | Сообщение # 22 |
|
Еще нужно учитывать, что если вести код, который уберет банер, пути в реестре собьются на стандартные т.е. на диск C. Соотвественно если винда стоит в другом месте, оболочка не запустится ну и может возникнуть ряд других ошибок. Я себе так чуть мозг не сломал однажды) У них на C лежала старая папка windows от прошлой винды и он постоянно пытался оттуда explorer грузить. А юзабельная ОС была на D.
|
| |
| |
|
DarkAngel163
|
Дата: Суббота, 12.03.11, 01:40 | Сообщение # 23 |
|
Xtravert,нуу лично я к кодам разблокировки негативно отношусь,много раз пробовал их вводить(и с касперского,и с веба),ни один не подошел
|
| |
| |
|
iamstarfucks5
|
Дата: Воскресенье, 13.03.11, 12:44 | Сообщение # 24 |
|
Thinker, а если реестр заблокирован?
Quote (DarkAngel163) Xtravert,нуу лично я к кодам разблокировки негативно отношусь,много раз пробовал их вводить(и с касперского,и с веба),ни один не подошел
|
| |
| |
|
DarkAngel163
|
Дата: Воскресенье, 13.03.11, 18:10 | Сообщение # 25 |
|
iamstarfucks5,согласен,лайв сиди это реальная вещь,хотя интереснее без них
|
| |
| |
|
Thinker
|
Дата: Вторник, 15.03.11, 13:50 | Сообщение # 26 |
|
Quote (DarkAngel163) Thinker,я почти так же делал,только без explorer'а обходился,мне консоль роднее что ли smile
и кстати,в шелл лезть стоит только если не стартует explorer.exe при нормальном запуске системы
Я описывал вирус с номером билайн он блокирует эксплоир
Quote (iamstarfucks5) Thinker, а если реестр заблокирован?
Есть программа и не одна для редактирования реестра
и вирус с номером билайна не блокирует реестр по крайне мере так было раньше
|
| |
| |
|
PyC_HaX
|
Дата: Вторник, 15.03.11, 14:26 | Сообщение # 27 |
|
Доктор вэб-анлокер помогает=)класная вещь!
|
| |
| |
|
iamstarfucks5
|
Дата: Среда, 16.03.11, 13:53 | Сообщение # 28 |
|
Quote (Thinker) Есть программа и не одна для редактирования реестра
и вирус с номером билайна не блокирует реестр по крайне мере так было раньше
а если запуск программ заблокирован и запуск экзэшников? что тогда предлагаете делать, воспользоваться советом PyC_HaX ?
|
| |
| |
|
Thinker
|
Дата: Среда, 16.03.11, 18:03 | Сообщение # 29 |
|
Quote (iamstarfucks5) Есть программа и не одна для редактирования реестра и вирус с номером билайна не блокирует реестр по крайне мере так было раньше а если запуск программ заблокирован и запуск экзэшников? biggrin что тогда предлагаете делать, воспользоваться советом PyC_HaX ? biggrin Да тогда только Livecd я винлок на дельви писал он все блокирует (реестр диспетчер безопасный запуск программ) и не удаляется после ввода кода а требует отправить смс повторно Писал для друга и он решил протестировать у себя на компе хорошо что я этот винлок писал а то тяжко его удалять
|
| |
| |
