ОАК выручай: вирус Компьютер заблокирован

Вася Труба
она прописывает себя в таски, знаете ли...заменяет системные файлы :beer:
0 / 1
00ff 00ff 00ff
От пользователя aes
Как же вы граждане достали.


да не, они нужны, это один и пунктов моего дохода :-)

и, уверен, я не одинок :-)


а по теме - мидия все уже написал правильно, добавить нечего.
1 / 0
ERD5
Откат системы
0 / 1
(то4ка).
Так, прочитал ветку на форуме Касперского. Подготовил загрузочную флешку. Буду пробывать.
Если не поможет, то
От пользователя MediaSound™
встречаемся у автора - я ему вылечиваю описанным мной методом его комп

:-D
0
MediaSound™
От пользователя (то4ка).
Подготовил загрузочную флешку
загрузочная флешка далеко не самое универсальное средство

ибо материнки, биосы которых могут корректно инициировать загрузку с флешки стали появляться только в последние года два-три

на каком-нить пеньке-4 загрузочная флешка будет абсолютно бесполезна

а вот лив-сиди загрузится на любом компе
4 / 1
MediaSound™
От пользователя mainfred
прежде всего грузимся с любого лайв-сиди и убиваем заразу в Application Data везде, заменяем файлы explorer.exe и userinit.exe
не трогает оно експлорер
диспетчер задач валит и юзеринит
1 / 0
goldcom
Удалять лучше в два этапа
1. Снятый жесткий диск прогнать на другом компе Касперским или бесплатной проверялкой с его сайта (что то около 90 мб которая)
2. поставить диск назад и запустить комп с LiveCD или флешки с этим же LiveCd.
Основная задача - перезаписать системные файлы на винчестере теми, что на CD. Перезапуск - и все живет
0 / 2
Блин, столько постов, и почти все мимо! А если и не мимо, так крайне невнятно.

Читаем внимательно инструкцию, распечатываем, скачиваем необходимые проги, и действуем:

Симптомы:

Вирус проявляет себя после входа пользователя в систему. Человек набирает логин и пароль для входа в Windows и через непродолжительное время получает "картинку".

Текст, в зависимости от номера телефона, незначительно меняется, но это, в общем-то, не суть важно.
Во всех стандартных образцах:

«Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми. Для снятия блокировки Вам необходимо оплатить штраф в размере 400 рублей на номер телефона MTC 89112962428 . В случае оплаты суммы равной штрафу либо превышающей ее на фискальном чеке терминала будет напечатан код разблокировки. Его нужно ввести в поле в нижней части окна и нажать кнопку «Разблокировать». После снятия блокировки Вы должны удалить все материалы содержащие элементы насилия и педофилии. Если в течение 12 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно удалены, а дело будет передано в суд для разбирательства по статье 242 ч. 1 УК РФ. Перезагрузка или выключение компьютера приведет к незамедлительному удалению ВСЕХ данных, включая код операционной системы и BIOS, с невозможностью дальнейшего восстановления»

Особенно радует пункт про код на фискальном чеке :-) Но мы, конечно, не лохи, чтобы вестись на такое откровенное оболванивание, поэтому перейдем к алгоритму решения данной проблемы.

Инструменты:

Чтобы побороть эту заразу, нам надо будет поработать с файловой системой и реестром системы. Сделать это, имея одно синее окно тяжеловато, потому загрузимся не из-под зараженной операционной системы. Для этого воспользуемся замечательным диском - Alkid Live CD (11-05-2011), который можно скачать с этого сайта: http://depositfiles.com/ru/files/0qozwjo7m .

Алгоритм избавления:

1. Скачайте образ Alkid Live CD (11-05-2011).
2. Запишите образ на диск (можно на CD-R/RW или DVD-R/RW) любой удобной вам программой. Именной специальной программой, потому что если вы просто скопируете файл образа на диск, он не загрузится. Лично я записываю с помощью Nero. (Также можно образ записать на флешку. В таком случае, работать будет намного быстрее)
3. Выставите в BIOS первичную загрузку с диска (если быть точнее, то оптического привода) или флешки, если хотите загружать Alkid с нее. Существуют различные версии BIOS с различной организацией меню. Чаще всего, чтобы войти в BIOS, надо после включения компьютера (или ноутбука) нажать F10, или F8, или F6, или F2, или Del . После успешного входа в BIOS нужно найти раздел под названием вида "Boot Device Priority" (или похожим), и выбрать первичным устройством оптический привод (или USB-устройство), с которого вы будете загружаться. После выбора не забудьте выйти, сохранив настройки (как правило, клавишей F10).
4. После применения настроек, компьютер начнет перезагружаться и, немедля, вставим диск в дисковод. Возможно, что появится сообщение типа: «If you want to boot from CD, press any key» - в таком случае нажмем любую кнопку. Если сообщение не появится, то мы должны увидеть загрузочное меню нашего диска.
5. В загрузочном меню нас ожидают 2 пункта: загрузка LiveCD с драйверами и без драйверов, для нашего случая вполне хватит загрузки без драйверов, однако вы можете выбрать тот вариант, который вам больше нравится. В любом случае, если один вариант загрузки у вас не пойдет, то, скорее всего, вы сможете загрузиться со второго варианта. Обращаю особое внимание, что, в зависимости от характеристик вашего компьютерного оборудования, загружаться диск может ДОЛГО, поэтому не нужно нервничать (загрузка может затянуться до 20 минут, однако, в основном, проходит быстрее).

Итак, наконец-то диск загрузился, и мы видим перед собой окно операционной системы, которая установлена на оптическом диске. Как уже было сказано, она начинена специальными утилитами, помогающими решать проблемы с основной операционной системой.

6. Войдем в «Мой компьютер». Найдем диск, где у нас лежит зараженная операционная система (скорее всего, это будет, как обычно, C). На диске открываем папку «Documents and settings» (если у нас зараженная - это «Windows XP»), или «Users» (если зараженная – «Vista»). В открытой папке находим и заходим в папку нашего профиля (ее название совпадает с именем пользователя, под которым вы работаете в операционной системе), дальше открываем папку «Рабочий стол» («Desktop») и удаляем из нее файл «test.exe». После удаления опять возвращаемся обратно в корень нашего диска, ищем папку «Windows», переходим в папку «system32» - находим и удаляем файл «userinit.exe». Далее в этой же папке находим файл с названием «03014D3F.exe», его мы не удаляем, а переименовываем в «userinit.exe» и оставляем в покое. Теперь нам осталось опять перейти в папку с профилями («Documents and settings» - если «Windows XP», или «Users» - если «Vista»), и войти в папку «All Users». В ней находим и входим в каталог «Application Data», и в нем удаляем файл под названием «22CC6C32.exe».

Всё! Физически вирус мы удалили - осталось подчистить следы его пребывания в нашей многострадальной операционной системе. Для этого нам и понадобится замечательная утилита на диске под названием «Редактор реестра».

7. Итак, нажмем кнопку «Пуск» (кружочек с лепестками, в стиле «Vista»), выберем Программы => Администрирование => RegEdit (remote).

Теперь будьте предельно внимательны! Неосторожное редактирование реестра может привести к неполадкам в работе системы - поэтому внимательно читайте дальнейшие указания.

8. Перейдите в раздел «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon»
9. Перейдите на правую панель редактора реестра и проверьте два параметра: «Shell» и «Userinit» (их необходимо поочерёдно активировать путём нажатия левой кнопкой мыши). Значением параметра «Shell» должно быть «Explorer.exe», а параметра «Userinit» – «C:\WINDOWS\system32\userinit.exe,» (обязательно в конце запятая!).
9а. Если параметры «Shell» и «Userinit» не соответствуют необходимым, надо их изменить (правая кнопка мыши на «Shell» или «Userinit»).
10. Если параметры «Shell» и «Userinit» в порядке, найдите раздел «HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options» и разверните его. Если в нем присутствует подраздел explorer.exe, удалите его (нажмите правой кнопкой мыши => Удалить).
ВНИМАНИЕ! Может сложиться такая ситуация, что вирус «Winlocker» удалил файл «explorer.exe». В таком случае скачайте его из этого архива: http://depositfiles.com/ru/files/urycru1xe (инструкция по восстановлению файла вложена).
11. После того, как вы произвели вышеописанные действия, вы можете закрыть редактор, перезагрузить компьютер, выставить загрузку на жесткий диск и попробовать загрузиться. По идее, вы без проблем загрузитесь и спокойно войдете в свой профиль.

Именно таким способом недавно вылечил комп соседей. Только в моём случае после первичной перезагрузки дезактивировался «Рабочий стол» (не было ни кнопки «Пуск», ни панели управления, ни файлов, не работала правая кнопь мыши – в общем, ничего, кроме заставки. Как выяснилось, причина была в том, что команда реестра «Shell» почему-то вернулась в «заражённое» состояние – пришлось её повторно изменять на «Explorer.exe». После последних поправок никаких проблем с компом больше не было, вирусов не обнаружено.

Единственная существенная проблема данного способа – это скачивание т. н. подзагрузочного диска. У меня данная процедура заняла около пяти часов. Так что если автор проживает в районе Чермета, могу подъехать и подвезти этот диск.

Кстати, в последнее время вирусу «Trojan.Winlock.3266» удалось каким-то непонятным способом заразить довольно внушительное количество компьютеров – даже тех, в которых установлена, казалось бы, идеальная защита; и даже в тех случаях, когда пользователи не заходили на какие-либо сомнительные сайты. Так что огульно обвинять автора в прогулках по порно-сайтам не стоит.
12 / 1
MediaSound™
От пользователя Эдвардт
Блин, столько постов, и почти все мимо!
От пользователя Эдвардт
Читаем внимательно инструкцию
и эта тоже мимо :-D
2 / 4
БольшоеСчастье
От пользователя MediaSound™
не трогает оно експлорер
диспетчер задач валит и юзеринит


то что мне попадалось, не трогало диспетчер, а вот експлорер был подменен...видимо еще одна разновидность
0
От пользователя MediaSound™
и эта тоже мимо


Аргументируйте, плиз.
4 / 1
00ff 00ff 00ff
От пользователя mainfred
то что мне
попадалось, не трогало диспетчер, а вот експлорер был подменен...видимо еще одна разновидность


там номера телефона другие были, это важный признак для идентификации.
0
goldcom
http://forum.kaspersky.com/index.php?showtopic=205...
Вот тут есть все, что надо
0 / 1
Евген_e1
А нафига так много телодвижений. Если ничего не поменялось - то пол-года назад - лечилось так:
Идешь, закидываешь себе на телефон денежек, берешь квитанцию, и прописываешь номер оплаты (или че он там просит) несколько раз (3-4) в строку, куда просит вирус.
Оле-оп! комп разблокирован - дальше уже антивирусником читстить
2 / 13
00ff 00ff 00ff
От пользователя Евген_e1


а ты писатель оных гадостей?
4 / 1
От пользователя (то4ка).
Короче подцепил и я эту шнягу.
Синее окно.
Надпись: Компьютер заблокирован!
Текст: Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеометариалов содержащих элементы педофилии и насилия над детьми.
Далее просят отправить 400 руб. на номер МТС 8-981-754-01-93.

Что было предпринято:
1. Снял жествий с инфиц. компа. Сделал из него внешний, подцепил к другому и прогнал свежим Курейтом. Нашел 12 вирусов - удалил.
Не помогло, после загрузки опять это окно блокировки.

2. Безопасные режимы не работают.

3. На сайте DrWeb ввел номер тел. на который надо штрафы платить, он дал коды для разблокировки - не помогло. Пишет код неверный.

Кто сталкивался? Как избавались от этого вируса?

Форматировать не хочется - много инфы на компе.


http://smswinlock.ru/sms_razblokirovka/
0 / 2
qz<
на XP мне однажды помог способ, который я случайно нашел в интернетах:
когда появляется окно для ввода пароля, нужно нажать ctrl+alt+z (буква может неточно, я весь алфавит в английской раскладке перепробовал, сочетание клавиш тоже не помню, можно попробовать ctrl+shift, alt+shift, ctrl+alt+shift). В результате винлок сказал "Пароль принят" и все разблокировалось, после чего есетом благополучно убил эту гадость.
на 7 не пробовал
0 / 3
goldcom
От пользователя Гримсвотн
http://smswinlock.ru/sms_razblokirovka/

Это для тех, кто потренироваться хочет??
Чтобы сразу загрузить заразу??
3 / 1
Serdjick
От пользователя MediaSound™
всего-то два файла восстановить надо:
taskmgr.exe и userinit.exe в папках виндовс/систем32 и виндовс/систем32/дллкэш
и тело вируса чпокнуть из папки профиль/application data

грузиться с компашки лив-сиди

+100500
+еще пару файлов удалить из автозагрузки... :-)

На днях дизайнер у нас подобную поймал, правда просили 500... :-D :-D :-D
Почистил за сок... :-)
3 / 0
От пользователя aes
Как же вы граждане достали. Покупаешь комп знай ты должен на нем научится работать и самостоятельно устранять проблемы. В любом другом случае - комп тебе не нужен вовсе. Сказать автору темы могу одно - выбрось комп он тебе не нужен.


Должен? Вы слишком категоричны и не правы.
Вот пример: У вас есть автомобиль? Вы любую проблему с ним можете решить самостоятельно? Нет. Выбросите его, он вам не нужен.
13 / 2
От пользователя Евген_e1
А нафига так много телодвижений. Если ничего не поменялось - то пол-года назад - лечилось так


Ключевое слово:

От пользователя Евген_e1
пол-года назад


Разработчики вирусов последнего поколения, типа «Trojan.Winlock.3266», продвинулись (если не сказать, обнаглели) настолько, что напрочь избавились от такого элемента, как дезактивация баннера по коду – т. е. как бы не ухищрялись пользователи заражённых компьютеров, нужного кода им не найти, т. к. его просто не существует.

Ещё одна неприятная особенность данного вируса – это невозможность лечения только лишь через вход в систему в безопасном режиме («картинка» продолжает висеть во весь экран, не позволяя появляться каким-либо другим окнам). Какую очередную гадость (не побоюсь этого слова) виртуальные террористы придумают завтра, сложно сказать, но то, что не успокоятся на достигнутом, факт – а потому и будущие способы лечения будут усложняться.
0
Serdjick
От пользователя Эдвардт
сложно сказать, но то, что не успокоятся на достигнутом, факт – а потому и будущие способы лечения будут усложняться.

Вряд ли... если только в БИОС прописаться. :-)
0
Kassaciya
От пользователя Костя..
бггг попа не помогла

пупс, ты за жопу жены лучше волнуйся...за мою поволнуется муж. ок?
я то я ить не посмотрю, что ты мне чужой зад приписываешь, быстренько найдем, как тебя уроцем выставить, ходить попятам и гнобить, как дурилку..
тем более. что поводов ты для подобного даешь предостаточно, как и ненависть всего форума завоевана тобой всеобъемно...
а то возишься с ним, как с дитем неразумным, оно даже помощи просит, а тут решил прилипнуть, как густое к ботинку..
нехорошо это, не по-мужски
3 / 6
MediaSound™
От пользователя Эдвардт
Аргументируйте, плиз.
От пользователя 0013©
там номера телефона другие были, это важный признак для идентификации.
1 / 2
позвонить в мтс и отматерить их, по жесткому, потом еще разок, и с утра еще раз чтоб не повадно было.
по теме использовать загрузочный диск специальный.
3 / 0
Обсуждение этой темы закрыто модератором форума.