Словил Хитрый Вирусняк

[СаняЖД]

В общем ситуация примерно стандартная..

Словил на весь экран текст с требованием оплатить штраф за просмотр педофилии и гей-порно..

С блокировкой всего остального естественно..

Полудневными мучениями нашел лазейку.. Т.е. могу сделать так, чтоб несколько окон проводника были открыты и клава работала, на фоне экрана с вирусом. Программы запускаются, соответственно..

 

И вот тут самое интересное.. Обычно основная проблема с винлокерами это разблокировать экран и клаву.. Здесь я это сделал, но :

Ни др.веб, ни нод 32 ничего сделать с ним не могут.. Удаляют при каждом прогоне несколько файлов, но после перезагрузки вирь запускается как ни в чем не бывало. Реестр после удаления тоже чистил.

 

Службы вроде все запущены стандартные, лишнее поотключал, запущеных приложений нет, точнее может они и есть, но "диспетчер задач" заблокирован, по контрл-алт-дел он выскакивает только на долю секкунды.

 

Всё остальное "администрирование" доступно.

 

 

В один момент смог увидеть окно с названием этого виря, называется он "aristocrat", но файла с таким названием найти не смог..

 

Есть варианты ? Сегодня уже сломался. Три пачки сигарет выкурил не вставая с кресла, вместо того, чтоб работать.

Куда копнуть ?

Чем ещё прогнать ? (чтоб с флешки запускалось)

[psw]

Если точка восстановления есть, ну и возможность подобраться к восстановлению, можно попробовать откатить.

[Миша]

Посмотри на офф сайтах антивирусных программ, там есть разблокировки таких вирусов. Сам типа такого давно ловил.

[vschm]

Обычно они поселяются в документс энд сеттинс.Ищи файлы , которые были созданы сегодня и удаляй.

[MaxKar]

Думаю подменены системные файлы Windows.

Варианты:

1. Заменить с такой же версии ОС папку Windows, ну или хотя бы проводник (explorer.exe), (вариант рискованный - могут быть глюки)

2. Еще раз внимательно просмотреть автозапуск (msconfig, ВСЕ ключи Run в реестре)

3. Поставить ВСЕ службы в ручной режим запуска.

4. Почистить ВСЕ папки TEMP

Изменено 7 сентября 2013 пользователем MaxKar

[TheGet]

Антивирусами не определяется т.к вирусом и не является, а является приложением которое блокирует, точнее закрывает своей заставкой все окна виндовс. Ловил подобное. Вылечить можно и без восстановления системы. Нужно запустить лайв сд т.е виртуальную операционную систему с диска. И потом искать в диске С файл который появился в день заражения. Сложновато сразу объяснить что искать надо...

[СаняЖД Автор]

в документс энд сеттинс.Ищи файлы , которые были созданы сегодня и удаляй.

 

уже.

не помогает.

[smaginav]

Запиши на диск Kaspersky Rescue Disk http://www.kaspersky.ru/virusscanner. Запчасти с диска . Должно помочь мне помогало с подобными.

[СаняЖД Автор]

 

2. Еще раз внимательно просмотреть автозапуск (msconfig, ВСЕ ключи Run в реестре)

3. Поставить ВСЕ службы в ручной режим запуска.

4. Почистить ВСЕ папки TEMP

 

В regedit как зайти ? Если меню пуск не доступно.

[Сергей мастер Свислочь]

Словил на весь экран текст с требованием оплатить штраф за просмотр педофилии и гей-порно..

Почти женатый человек...

[СаняЖД Автор]

Если точка восстановления есть, ну и возможность подобраться к восстановлению, можно попробовать откатить.

 

Напомните, КАК подобраться к восстановлению ? Повторюсь, меню пуск не доступно.

[smaginav]

Kaspersky Rescue Disk 10 http://www.kaspersky.ru/virusscanner запиши на диск , или с флешки . Запчасти до запуска системы . Должно помочь. Мне помогало не однократно

[andy_ezhik]

насколько помню они в msconfig/автозапуск прописываются. просто пересмотреть там на предмет подозрительных незнакомых программ...обычно удаляю их именно так

 

Напомните, КАК подобраться к восстановлению ? Повторюсь, меню пуск не доступно.

 

сорри, не дочитал,что пуск недоступен..

 

вспомнил..

есть прога Revo Uninstaller Pro (в рутрекере к примеру). Она позволяет редактировать автозапуск. Наверняка он сидит там..удалить его оттуда и все

Изменено 7 сентября 2013 пользователем andy_ezhik

[smaginav]

Kaspersky Rescue Disk 10 должно помочь

[TheGet]

Зайти не получится, даже в безопасном режиме. И в автозапуске скорее всего вы ничего не найдете. Верный вариант загрузиться с Live-СD

[smaginav]

http://www.kaspersky.ru/virusscanner сфлешки работает загрузить до запуска системы .

[MaxKar]

В regedit как зайти ? Если меню пуск не доступно.

Windows\system32\cmd.exe - через проводник ищешь - запускаешь командную строку - далее вводишь regedit Там же (в командной строке) набираешь msconfig и рубишь ВСЮ автозагрузку. Изменено 7 сентября 2013 пользователем MaxKar

[TheGet]

http://www.kaspersky.ru/virusscanner сфлешки работает загрузить до запуска системы .

Тоже вариант, может прокатит, но повторю ещё раз это не вирус поэтому ими и не ловится

[psw]

Тоже вариант, может прокатит, но повторю ещё раз это не вирус поэтому ими и не ловится

Полностью поддерживаю, это программа и как вирус ее не поймать

[TheGet]

Сейчас блокирующих баннеров огромное количество, одни из которых: windows заблокирован, компьютер заблокирован. Плюс к этим новые виды блокировки компьютера появляются ежедневно, ущерб от них оценивается миллионами. Большинство модификаций стали более сложными в деактивации и вообще не содержат в себе правильного кода разблокировки ПК.

Компьютер заблокирован, что делать? К сожалению никто, из нас на 100% не застрахован от этого. Такой курьез часто происходит не только у вас, он может случится с каждым. Ситуация не из приятных, когда ваш компьютер заблокирован за просмотр, либо копирование видеоматериалов содержащих сцены педофилии и насилия. И в случае не оплаты штрафа все данные будут удаленны.

Вирус компьютер заблокирован пополните счет не выводится на задний план, не удаляется антивирусом, и загрузка в безопасном режиме результата не дает. Из-за того, что заблокировали компьютер просят отправить смс, не запускаются множество программ - ничего нельзя сделать кроме, как ввести код, чтобы оплатить штраф, но для этого нужно отправить смс или пополнить счет Билайн, МТС.

Для максимального удобства хакеры для получения кода разблокировки компьютера на заставке более подробно расписывают схему уплаты штрафа. Суммы штрафа порой самые разные, смс сообщения для разблокировки существенно подорожали до 2500 рублей. Одно время это было перевод денежных средств через WebMoney или Яндекс Деньги. Где, заполнив расчетный счет, указанный на экране нужно было дойти до ближайшего терминала и со своей карточки перечислить мошенникам деньги, а теперь у мошенников более мягкая схема - это пополнять номера мобильных телефонов. Однако, даже после такой операции нет гарантии, что онемевший компьютер будет разблокирован. В итоге расстроенным пользователем ничего не остается, кроме как обратиться в компьютерный сервис и вызвать компьютерного мастера на дом.

Если заблокированный компьютер разблокировали благодаря смс платежу, то вам крупно повезло, как правило, это к должному эффекту не приводит. НЕ ПЕРЕВОДИТЕ ДЕНЬГИ РАЗРАБОТЧИКАМ ВИРУСОВ: УСЛУГИ, КОТОРЫЕ ОНИ ПРЕДЛАГАЮТ, В 99% ЯВЛЯЮТСЯ МОШЕННИЧЕСКИМИ.

Как разблокировать компьютера от баннера

 

Убрать баннер компьютер заблокирован через реестр

 

Не запускается Диспетчер задач - это говорит о заражении системы вирусом. Вирус преднамеренно создает параметр, чтобы заблокировать диспетчер задач для своей защиты. Ищем этот параметр, перейдя по веточке:

[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System]. Находим параметр [REG_DWORD DisableTaskMgr] и устанавливаем ему значение [0] или удаляем совсем этот параметр.

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image FileExecution Options]. Нам необходим параметр [taskmgr.exe] (отвечает за замену диспетчера задач на стороннею прог-у). Находим и удаляем его совсем. Далее нас интересует:

[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Run].

Смотрим на параметры, прописанные в таблице справа, в колонке [Имя]. По большому счету, вирус прописывает свои параметры, где обычно они начинаются с латинской буквы S + набор произвольных цифр, например, S179176157. Так же удаляем все элементы вируса, как мы делали ранее. Закрываем редактор реестра после того, как прошерстили все ветки в нем, найдя и удалив незнакомые файлы.

К сожалению, из-за различной модификации вирус заблокировал компьютер прописавшись хитрее в других неизвестных пока ветках. Поэтому как разблокировать компьютер от трояна Winlock смотрите здесь.

Разблокировка компьютера с помощью восстановления системы (откат системы), через Безопасный режим

 

Как только заблокированный компьютер МТС начинает включаться, нажимайте клавишу [F8] с частотой два нажатия в секунду. Выберите нужный нам вариант загрузки, а именно [Безопасный режим].

После чего компьютер начинает загружать только основные драйвера необходимые для запуска операционной системы, ничего больше лишнего он не загружает, поэтому загрузка может пройти и без включения баннера. Выбираете свою учетную запись либо администратора. Выскакивает окно, где виндовс предлагает включить восстановление системы сразу. Для включения нажимайте – [Нет], и восстановление более раннего состояния компьютера запустилось автоматически. Нажимаем [Далее >]. Если же по каким-то причинам, восстановление не запустилось его можно запустить с помощью: [Пуск] -> [Все программы] -> [Стандартные] -> [Служебные] -> [Восстановление системы]. Нужно выбрать день, когда система сделала копию самой себя, обычно этот день выделен жирным шрифтом.

Когда выбрали день нужно так же выбрать в списке контрольную точку восстановления, поэтому нажимаем – [Системная контрольная точка]. Нажимаем [Далее>]. Подтверждаем выбор контрольной точки, нажатием [Далее>]. Получается, что компьютер загружает ОС в той конфигурации когда она была несколько дней назад до того как баннер попал на него. Следовательно, ОС должна запуститься уже без баннера, хотя сам вирус может присутствовать на ПК.

Если этот вариант у вас получился и после проделанной работы, компьютер включится нормально, то есть без баннера. Тогда вам просто необходимо сразу запустить антивирус, обновить его и проверить всю систему полностью.

ЗДЕСЬ ЕСТЬ ВАЖНЫЙ НЮАНС: некоторый баннеры можно получить через окно браузера – интернет обозревателя. Поэтому при включении ПК после обновления уже, если предложит ваш любимый браузер обновить сессию, то ни в коем случае не восстанавливайте ссесию. Бывают вирусы, после которых необходима разблокировка сайтов на компьютере.

Разблокировка компьютера через систему БИОС с помощью изменения системной даты

 

Чтобы войти BIOS Setup используйте тот способ, который предполагает ваш компьютер. Обычно используются клавиши [F2] (для ноутбуков) и [Delete] (для стационарных ПК). Но есть исключения, для некоторый материнских плат могут быть клавиши: [F1], [F10], [F11], [F12], а так же комбинация клавиш: [Ctrl+Esc], [Ctrl+Ins], [Ctrl+Alt], [Ctrl+Alt+Esc], [Ctrl+Alt+Enter], [Ctrl+Alt+Del], [Ctrl+Alt+Ins], [Ctrl+Alt+S]. Для моделей ноутбуков Samsung обычно [Esc+F2]. Как только вы зашли в BIOS вы должны перейти во вкладка [Main], которая как раз нас и интересует.

На стартовой странице первым показаны: System Time (системное время) и System Data (системная дата). Для передвижения по BIOS используем клавиши управления курсором. Если вы посмотрите в нижнюю часть экрана, вы увидите небольшую подсказку, где указанно, какими клавишами вы можете пользоваться. Итак, в меню [system Data], установив курсор в нужном положении с помощью клавиш [+/-] изменяем системную дату, например, на месяц назад (можно попробовать на месяц вперед). В общем нужно выбрать дату до того как баннер заблокировал компьютер. Выходим из БИОСа предварительно сохранив проделанные изменения нажав на клавишу [F10]. Если клавиша не срабатывает переходим на вкладку [Exit] выбираем позицию [Exit Saving Changes] выделяем [Yes] и подтверждаем выход нажатием клавиши [Enter]. Компьютер автоматически перезагружается, баннер должен исчезнуть.

Если этот способ не подошел, значит у вас баннер новой модификации. Попробуйте подобрать коды разблокировки компьютера от баннера с помощью сервисов разблокировки компьютера Касперский, Доктор Веб и НОД32. А метод как разблокировать вконтакте на компьютере описан тут.

[433MHz]

Попробуйте это: http://www.freedrweb.com/cureit

Запускается поверх всех окон.

[volskkadett]

Рекомендую сделать загрузочный CD и проверить им

http://www.antiwinlocker.ru/

[СаняЖД Автор]

Ага, сенкс. Полезного много.

 

Да, кстати, безопасный режим ведет к перезагрузке.. Как-то отключен тоже.

 

Попробуйте это: http://www.freedrweb.com/cureit

Про то, что куреит её не берет, я написал в первом посту.

[antikiller]

Нужно создать загрузочный диск или флешку с Windows PE Загрузиться с нее и там уже пытаться делать.

[add24]

1.Слишком дохрена всего.

2.Касперский - не выход, а иногда даже и утопие.

3.Самый верный способ делать это вручную(не дрочить).

Пробовать загрузиться в безопасном режиме(после загрузки BIOS жмакать беспорядочно на F8, F5, F4 какая-нить сработает), если загрузится, то редактор реестра должен запуститься. Если нет, то нужен любой аварийный LiveCD_XP, там есть редактор реестра. В реестре надо восстановить ключи запуска winlogon и explorer, ну и удалить ключи запуска вирусни из автозагрузки. Дальше, вручную грохнуть вирус, где он расположен - увидишь в ключах реестра, которые будешь удалять. Иногда, эта хуйня подменяет userinit.exe и explorer.exe - если так, то брать с рабочей системы и втыкать вручную, предварительно загрузившись с CD (иногда подмена не прокатывает, система при этом доходит до момента "вход в систему" и тут же выходит из нее до окна выбора пользователя. Выход из такой ситуации - брать эти файлы из другой системы(можно попросить на форуме), от какой-нибудь да подойдут).

Бывают еще засады, но судя по описанию из первого поста - не в данном случае. И скорее всего подменены юзеринит и/или эксплорер.

 

Вот так выглядит нормальный реестр.

 

Здесь наглядно - ключи запуска нужной хрени.

 

 

В этом ключе, не должно быть ничего.

 

 

В папке автозагрузки вычислить ключи вируса, интуитивно будет понятно, запомнить расположение и грохнуть ключ.

 

 

Данное место должно выглядеть примерно так. shell и userinit быть не должно.

 

 

 

ЗЫ Пока готовил ответ, уже много чего добавилось. Оставляю так как есть.

 

Если нужны userinit и explorer, то напиши какая система и номер "сервис пака".

 

2. ЗЫ Еще добавлю чуточку. Если размер userinit больше 26 кб, то 99% что он содержит этот баннер - надо подменить.

Изменено 7 сентября 2013 пользователем add24

[Petrovich 86]

Сань ловил я подобное раза три, причём можно словить нажав на безобидную ссылку. Заходил в инет с другого ноута и гуглил. Находил описание посвежее как в 20 посту и нормально.

Димка у нас продвинутый "хакер" знает пути покороче.)

Изменено 7 сентября 2013 пользователем Patrik 86

[virtger]

У меня к инету, подключен один нетбук(для шаринга и разговоров) в котором ничего нет. Про окошки я забыл ещё лет пятнадцать назад когда на *красной шапке*(линукс) ребята прикол подкинули. По существу - акроникс подымает всю систему за 30минут. Про другие методы говорить можно очень долго....

Изменено 7 сентября 2013 пользователем virtger

[MegaVolt]

Вот это средство говорят неплохо помогает https://antisms.com/

[vasyan]

Или записать образ диска с прогой "AntiWinLocker Live CD 2013" от какого-то хакера с каким-то именем (порылся у себя пока не нашел) и через загрузку с диска запустить ее.

Изменено 8 сентября 2013 пользователем vasyan

[vasyan]

Куда бы выложить????? более 200 мб получается образ.

Держи ссылку, разархивируй, записывай и вперед. Надеюсь ссылка качественная.

Изменено 8 сентября 2013 пользователем vasyan