Если Ваш компьютер инфицирован Trojan.Winlock
В последнее время очень часто встречаются проблемы с блокировкой входа в windows и предложением отправить смс на определенный номер для получения кода разблокировки.
Не отправляйте смс это все развод и код никто не пришлет. DrWeb в связи с данными проблемами открыл новый бесплатный сервер с кодами разблокировки компьютеров заблокированных разными вариациями Trojan.Winlock. |
фантазии хакеров и тупость юзеров всяких зверьсиди, сидящих под Admin с пустым паролем, безграничны
|
Цитата:
|
Вирус из серии вымогателей денег (например, “отправьте смс с текстом k205114000 на номер 4460*****8243;). Сама программа выглядит как окно проверки на вирусы с текстом вверху “Внимание! eKav antivirus обнаружил вредоносное ПО на вашем компьютере”
1. Берём текст, который нам предлагают выслать в теле смс. Например, k205114000 2. Меняем первую букву k на цифру, стоящую после этой буквы. В нашем примере это цифра 2. В итоге код будет 2205114000 3. Добавляем к каждой цифре кода число 2. То, что получилось, записываем в ряд. При этом, если после добавления “двойки” получается 10, то записываем 1, если 11, то записываем 2. В нашем примере имеем новый код 4427336222 4. Полученный код пробуем ввести в окошко для ввода кода. Если подошёл – вы это увидите сразу, так как окошко исчезнет и после перезагрузки всё заработает. 5. Если код из п. 4 не подошёл, то к каждой цифре этого кода добавляем 1 и полученные цифры записываем в ряд. Если после добавления получается 10, то записываем 1. В нашем примере это будет код 5538447333 6. Переходим к пункту 4. Обратите внимание – в полученных кодах НЕ должно быть ни одной цифры 0. Всего различных комбинаций 10. Например, для кода k204114100 у меня подошла лишь 5-я комбинация – 8861771766 Не забудьте после успешного ввода кода перезагрузиться. Затем обновите антивирус или скачайте бесплатный антивирусный сканер по ссылке http://www.freedrweb.com/cureit/ Затем проведите полное (в крайнем случае быстрое) сканирование компьютера на вирусы. Для тех, кто совсем немощный в математике, есть генератор подбора кода Только он немного кривоватый, выдаёт не все комбинации, точнее, одна из комбинаций НЕ видна, чтобы её увидеть надо ползунок верх подтянуть. http://files.mail.ru/15CNRR |
ну а если есть желание наказать козлов вымогающих деньги подомным образом..
1) звоним к оператору, спрашиваем номер тех поддержки короткого номер на который просят отправить смс. 2) звоним на этот самый номер который узнаем у оператора, и уточняем адрес вымогателей 3) пишем заявление в соответствующие органы. (или своими силами стучите им по репе) |
Цитата:
|
Цитата:
С оператором можно договорится только насчет их собственных номеров, например когда приходит смс с текстом положи мне денег я тебе перезвоню и типа таких в таких случаях оператор с удовольствием блокирует данные номера. |
У меня жена такого словила на ноуте.
Помогло следующее: записанный на dvd образ реаниматора с Win-XP, которая загружается с DVD (да в принципе пофик реаниматор или нет - главное это запуск компьютера с DVDшника под XP). Под ней запускается AVP tool. http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ Который удаляет эту дрянь, после чего бутимся с винчестера и удаляем остатки записей вируса в реестре и прогоняем ещё раз полноценным каспером. p.s. утилита Dr.Web не помогла, она не чего не находила! |
убираем порно баннеры
Вложений: 1
все часто обращаютя с проблемой убрать порно баннер с компьютера вот может кому поможет коды к различным порно банерам
|
Вложений: 1
Есть отличная программа ComboFix, сам лично лечил при помощи нее порно беннеры
Цитата:
|
Дополнительно еще ссылка на онлайн помощь от Касперского
http://support.kaspersky.ru/viruses/deblocker И при скверном варианте когда не работает сетевая и естественно интернет, восстановление протоколов winsock : 1)Под управлением Windows XP с пакетом обновления 2 (SP2), введите в командной строке netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер. 2)Восстановление или сброс Winsock вручную для пользователей Windows Vista (7 - seven):Нажмите Пуск, в поле Начать поиск введите cmd, щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора, а затем нажмите кнопку Продолжить.Введите в командной строке команду netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер. Дополнительна информация http://support.microsoft.com/kb/811259 |
Цитата:
|
Даже антивирусов никаких не нужно для лечения
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Должно быть так: Shell = Explorer.exe UserInit = C:\WINDOWS\system32\userinit.exe, Цитата:
Да и вообще :) любой уважающий себя борец с вирусами должен без всякого антивируса отлавливать Autorun-вирусы :) |
Вложений: 1
Цитата:
|
Вложений: 1
Новая фишка?
Звонит кореш, горюет: поймал эту заразу. Ни одна кнопка на ноуте не работает, даже время остановилось текущее в трее. Цитата:
Кто-то сталкивался? Цитата:
Цитата:
|
Данная статья описывает методы восстановления загрузки системы с помощью дополнительного ПО.
Иногда возникает ситуация, когда после лечения системы от вирусов она перестает загружаться или же троянская программа блокирует загрузку Windows, требуя выслать смс на определенный платный номер.
Для восстановления системы воспользуемся загрузочным диском ERDCommander. Подготовительный этап 1. Скачать ERDCommander. 2. Записать на CD/DVD диск. 3. В настройках BIOS установить загрузку с CD/DVD. 4. Загрузиться с CD/DVD. Запуск системы http://wiki.drweb.com/images/Erd31.PNG 1. Скачать ERDCommander. 2. Записать на CD/DVD диск. 3. В настройках BIOS установить загрузку с CD/DVD. 4. Загрузиться с CD/DVD. Запуск системы http://wiki.drweb.com/images/Erd21.PNG Поиск проблемм Если при попытке входа в учетную запись завершается работа. 1.Необходимо заменить файл userinit.exe Как правило этот файл находится в каталоге C:\WINDOWS\system32. Этот файл можно взять в дистрибутиве Windows или же взять другого компьютера с такой же операционной системой. 2. Запустить редактор реестра. Для этого нажать кнопку "Start"-"Administrative Tools"-"RegEdit" http://wiki.drweb.com/images/Erd99.PNG 3. Найти ветку реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] ключ "Userinit"="С:\WINDOWS\system32\userinit.exe," Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть. 4. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного. Вот пример неправильной записи в реестре. В этой ветке прописался неизвестный троян. http://wiki.drweb.com/images/Erd11.PNG Если при попытке входа в учетную запись загружается пустой рабочий стол. 1. Найти ветку реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] ключ "Shell"="Explorer.exe" 2. Если в ключе прописано что-то другое, то замените на указаное выше. ключ "Shell"="Explorer.exe" 2. Если в ключе прописано что-то другое, то замените на указаное выше. Запуск CureIT в ERDCommander Официально запуск CureIT в различных LiveCD пока не поддерживается. Но разработчики предусмотрели и такую ситуацию. Итак, наши действия: 1. Скачать и записать ERDCommander (об этом выше). 2.1. Работа с флешкой а)Скачать CureIT и записать на флешку. б)Загрузиться с ERDCommander (при этом флешка с сохраненным CureIT должны быть подключена). 2.2. Работа с жестким диском. а) Загрузиться с ERDCommander с поддержкой сети. б) Скачать CureIT на жесткий диск (Например на диск С в корневую папку). 3.Запустить CureIT из командной строки с такими ключами. cureit.exe /not_use_shield /shell /tm- /ts- где cureit.exe = имя файла CureIT shell = смотрим в справке(так и оставляем). not_use_shield = будем работать без шилда чтобы не упасть в BSOD(так и оставляем). Бета куреит можно/нужно запускать без каких либо ключей,он специально оптимизирован для работы под LiveCD. Скачать Beta CureIT! Сбор данных реестра 1.Запускаем редактор реестра Regedit 2.По очереди экспортируем все ветки реестра(в более новых версиях ERD Commander есть возможность экспортировать весь реестр.) http://wiki.drweb.com/images/ERD_reestr.png 3.После выбора пункта меню "Export" программа спросит куда экспортировать данные(сохранять). Например я выбираю диск С. Далее ввожу имя файла (например 1 или vetka1) и нажимаю кнопку "Save".Теперь у меня на диске С http://wiki.drweb.com/images/Savtas.PNG создан будет файл 1.reg (или vetka1.reg). Главное запомнить куда вы сохраняете данные. 4.Необходимо отправить данные в службу технической поддержки или прикрепить на форуме. Данные реестра могут содержать конфидециальную информацию . Поэтому их нужно зашифровать. Это можно сделать на другом компьютере. Или же поискать на диске программу архиватор. У меня например установлен архиватор WinRar. С помощью "Explorer" можно его найти и запустить. Как правило он находится здесь С:\Program Files\WinRAR\WinRAR.exe . И заархивировать файл с паролем. Поиск подозрительных файлов 1.Нажимаем кнопку "START". 2.Далее выбираем пункт меню "Explorer".Запускаем. 3.Далее по полученным на форуме рекомендациям ищем файл в Проводнике и при необходимости отправляем в вирлаб http://wiki.drweb.com/images/Explor.PNG 4.С помощью "Explorer" ищем файл лог антивирусного монитора Spider Guard (если он установлен) и лог SpIDer Gate. Эти логи могут помочь в лечении компьютера. Как правило лог SpiDer Guard находится в каталоге антивируса DrWeb (если он у вас установлен) и называется spidernt.log. Например у меня он находится в каталоге С:\Program Files\DrWeb Лог Spider Gate находится в профиле пользователя и называется spidergate.log Дополнительно Желательно использовать ERD Commander 2008 или более поздние версии. Скачать Dr.Web LiveCD бесплатно |
Цитата:
Загружаю LiveCD. Проверяю следующие папки в которых обычно селятся зверьки: C:\Documents and Settings\"имя пользователя"\Application Data папки не трогаем удаляем в корне текущей папки все файлы кроме desktop.ini далее удаляем все файлы с папок: C:\Documents and Settings\"имя пользователя"\Local Settings\Temp C:\Documents and Settings\"имя пользователя"\Local Settings\Temporary Internet Files C:\WINDOWS\Temp также можно проверить те же папки для профилей "All Users" и "Администратор" Порно баннеры обычно селятся в какой либо папке в директории C:\Documents and Settings\"имя пользователя"\Application Data Очень часто встречалась папка "media" с файлом "media.exe" внутри, хотя попадались и совсем не примечательные папки. далее запускаем autoruns.exe от Sysinternals и удаляем ссылки на запуск всех файлов расположенных в выше перечисленных папках для того чтобы потом при запуске системы не выскакивало окон о невозможности найти файл для запуска. Данные действия помогают в большинстве случаев, в остальных случаях были повреждены все системные exe файлы и проще переустановить систему. |
Очень хорошо помогает прога Malwarebytes' Anti-Malware от СМС. Но иногда нужно очистить реестр как указано выше и потом ее запустить, она поправит в реестре такие баги после вирусов и троянов : не запускается диспетчер задач, запуск реестра ограничен администратором, не открываются сайты антивирусов и сами антивирусы не запускаются и т.д. да и она бесплатная. Может кому пригодится .
|
У каждого должна програмка RansomHide
Очень помогает. также не забываем про базы кодов разблокировки: Kaspersky NOD32 DrWeb |
Цитата:
|
Текущее время: 17:04. Часовой пояс GMT +3. |
Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot