Вирь Винлок

[kroluh]

Словил Виря.

ВинЛок.

Ступил немного+ НОД старая версия стоит(пора новую качать)

 

Вообщем на весь екран окно синего цвета с писаниной.

Типа ваша винда не лицензионная.

Она заблокирована.

Отправте смс на номенр итд

Все что может быть заблокировано, естесно заблокировано.

Ну всмысле три кнопки итд. Загрузка в сейфмоде таже ситуевина.

 

Вообщем смысл в чем.

Свежие антивири ету пакость знают (обновляться)

На сайте доктора веб есть даже калькулятор для них. (они разные)

Через два часа вирь самоуничтожаеться (надо просто подождать)

Есть еще какойто способ чегото там сохранения и запуска винды+ только антивирь с флешки. (если ждать лень)

[Vasiliy Armeev]

Это вопрос или утверждение?

[Lis2007]

это предупреждение, прежде чем по порносайтам гулять нужно на коннектор от модема презерватив надеть :-)

[Skiw]

в порно вероятнее всего, но так же и в кряках, в рассылках социальных сетей.

 

раз уж есть такая тема, то don't panic!

 

 

 

 

1. Нажмите "WIN+U" появятся "Специальные возможности" - "Справка" - "О программе" и вы получите доступ к дискам.

 

Также для справки (может тоже пригодиться):

 

WIN+E - Запуск проводника

WIN+F - поиск

ALT+TAB - Смена окон

Ctrl+Alt+Del, затем Ctrl+Shift+Esc

Зажать SHIFT на несколько секунд - окошко с объяснениями (помощью) - печать раздела... - файл - открыть - explorer.exe (проводник)

 

Ещё вариант запуска проводника - Когда появится окно с блокировкой, нажмите кнопку выключения на корпусе, появится окошко с завершением работы, может открыться на время рабочий стол, в этот момент нажмите ESC.

 

2. Загрузите свежий CureIt - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe или Kaspersky Virus Removal Tool - ftp://ftp.kaspersky.com/devbuilds/AVPTool

3. Проведите полную проверку одним из антивирусных средств из второго шага. Главное, чтобы при проверке были удалены 2 файлика "blocker.bin" и "blocker.exe". Если этого не произойдёт, то удалите смело эти 2 файла вручную из папки: "C:\Documents and settings\All Users\"

4. Дальше при загрузке в обычном режиме может быть пустой рабочий стол, без иконок и панелей, если так, то переходим к следующему шагу.

5. Зайдите в редактор реестра: Пуск - Выполнить - regedit - OK

 

В разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

меняем значение параметра "Userinit" с

 

"C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe"

 

на

 

"C:\\WINDOWS\\system32\\userinit.exe"

 

Если редактор реестра будет заблокированным, то можно попытаться:

 

Вернуть Реестр: В "Пуск" - "Выполнить" вставить следующую команду:

 

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

Нажать Enter

 

Вернуть Диспетчер Задач: В "Пуск" - "Выполнить" вставить следующую команду:

 

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Нажать Enter

 

6. Идём в папку "C:\WINDOWS\system32" и проверяем сам файл "userinit.exe". Если он окажется странного вида, без подписи Майкрософта (проверить это можно, вызвав "свойства" данного файла), то необходимо будет скопировать с незаражённой, "здоровой" машины этот файл и заменить его на инфицированный.

 

7. Проверьте, существует ли на диске файл WINDOWS\system32\taskmgr.exe. Если он отсутствует, то его необходимо восстановить вручную из резервной копии или дистрибутива системы, как это мы делали в 6 шаге.

 

8. Перезагружаемся.

 

9. После этого машина должна загрузиться в нормальном режиме и всё должно работать.

 

 

 

или

 

 

Теперь на красном фоне появляется знакомое многим окно и к сожалению были учтены многие способы лечения предыдущей версии вируса:

 

- Генератор кодов от компании Dr.Web не работает http://news.drweb.com/show/?i=304&c=5

- Перевод времени не помогает (2 часовое ожидание тоже)

- Никакие сочетания клавиш не функционируют (На XP, на Viste они работают)

- При загрузке в безопасном режиме - рестарт

- Файлов blocker.exe и blocker.bin нет

- Вирус самовосстанавливает недостающие компоненты

- В некоторых случаях замечен алгоритм отключения антивирусов

 

 

Решение:

 

И для ХР и для Висты самое простое это загрузиться с помощью LiveCD найти и удалить следующие файлы:

- DON459A.TMP-0A434428.pf

- don459A.tmp

- don459A.bin

- DON4599.TMP-6F957000.pf

- don4599.tmp

- don4599.bin

 

Имена данных файлов могут отличаться, смотрите подозрительные файлы по этим путям (Папку "Prefetch" можно полностью в принципе очистить, собственно как и все папки "Temp"). После Удаления этих файлов можно перезагрузить компьютер и он должен нормально загрузиться!

 

 

 

Затем обновить обязательно антивирусные базы до актуального состояния и провести полную проверку компьютера!

 

 

 

а лучше все-таки осознанно бороздить просторы тырнэта и предохраняться хорошими резино-программными изделиями

Изменено 4 октября 2009 пользователем Skiw

[kroluh Автор]

Утверждение. Вопрос уже прошел. "два часа, два часа ето много или мало"

Просто в друг кто словит. Ну чтоб без паники.

 

По аське пришел. Аську увели у знакомого.

Откель приходит вирус-сие не редсказуемо.

[Vasiliy Armeev]

Ну запуск запрет на запуск диспетчера процессов легко обойти, а оттуда уже можно плясать. Запретить можно только через групповую политику. Так что если много шаримся по порносайтам и после очередного включения обнаружили рекламное окно в пол экрана с предложением купить какие нить анальные шарики, при этом ваш антивирус бессилен (тк. это не вирус) и интернет не работает (такие программы зачастую полностью или частично блокируют доступ к сети), не паникуем и делаем следующее: Пуск - выполнить - gpedit.msc - конфигурация пользователя - административные шаблоны - система - возможности Ctrl+Alt+Del - удалить диспетчер задач. При любом знаении тыкаем в "отключен", жмем "применить" и ОК. Далее смотрим в диспетчере задач и находим неизвестные процессы, завершаем их, открываем проводник, находим поиском по диску С, файл, чье имя сходно и сменем процесса или совпадает с ним и удаляем указанные файлы. Лучше при этом грузиться в безопасный режим конечно. Такая гадость в 50% случаев живет в папочке Temp, либо в профиле пользователя...

 

Вобще рекомендую после этого скачать и провериться AdAware SE Personal, некоторые из этих рекламных программ умеет находить и удалять Dr.Web. И ессно стоит почистить реестр.

[kroluh Автор]

Не Василий. Не пройдет.

Даже в безопасном режиме ты видиш только тест с "Дай денег"

Я хотел вернуть через регедит себе контроль над диспечером задач сначала.

Правда проблемма сама разрешилась на следующий день.

 

Как объяснил знакомый.

Винлок все равнобы тутже вырубил бы диспечер.

Он довольно серьзно усаиваеться в разных местах и довольно плотно все берет под контроль.

[Vasiliy Armeev]

Да ладно... седни другу лечил комп от такой же заразы.

[kroluh Автор]

Хочеш своего пришлю?

Он у меня на память лежит. Прикольный, понравился.

 

Можеш сравнить.