Если Ваш компьютер инфицирован Trojan.Winlock
 

В последнее время очень часто встречаются проблемы с блокировкой входа в windows и предложением отправить смс на определенный номер для получения кода разблокировки.

Не отправляйте смс это все развод и код никто не пришлет.

DrWeb в связи с данными проблемами открыл новый бесплатный сервер с кодами разблокировки компьютеров заблокированных разными вариациями Trojan.Winlock.

фантазии хакеров и тупость юзеров всяких зверьсиди, сидящих под Admin с пустым паролем, безграничны

Не представите тут ссылку на официальное сообщение об этом - сменю предупреждение на нарушение. Учетную запись Вашу заблокирую за флуд.

Вирус из серии вымогателей денег (например, “отправьте смс с текстом k205114000 на номер 4460*****8243;). Сама программа выглядит как окно проверки на вирусы с текстом вверху “Внимание! eKav antivirus обнаружил вредоносное ПО на вашем компьютере”
1. Берём текст, который нам предлагают выслать в теле смс. Например, k205114000
2. Меняем первую букву k на цифру, стоящую после этой буквы. В нашем примере это цифра 2. В итоге код будет 2205114000
3. Добавляем к каждой цифре кода число 2. То, что получилось, записываем в ряд. При этом, если после добавления “двойки” получается 10, то записываем 1, если 11, то записываем 2.
В нашем примере имеем новый код 4427336222
4. Полученный код пробуем ввести в окошко для ввода кода. Если подошёл – вы это увидите сразу, так как окошко исчезнет и после перезагрузки всё заработает.
5. Если код из п. 4 не подошёл, то к каждой цифре этого кода добавляем 1 и полученные цифры записываем в ряд. Если после добавления получается 10, то записываем 1.
В нашем примере это будет код 5538447333
6. Переходим к пункту 4.
Обратите внимание – в полученных кодах НЕ должно быть ни одной цифры 0.
Всего различных комбинаций 10.
Например, для кода k204114100 у меня подошла лишь 5-я комбинация – 8861771766
Не забудьте после успешного ввода кода перезагрузиться. Затем обновите антивирус или скачайте бесплатный антивирусный сканер по ссылке http://www.freedrweb.com/cureit/ Затем проведите полное (в крайнем случае быстрое) сканирование компьютера на вирусы.
Для тех, кто совсем немощный в математике, есть генератор подбора кода
Только он немного кривоватый, выдаёт не все комбинации, точнее, одна из комбинаций НЕ видна, чтобы её увидеть надо ползунок верх подтянуть.
http://files.mail.ru/15CNRR

ну а если есть желание наказать козлов вымогающих деньги подомным образом..
1) звоним к оператору, спрашиваем номер тех поддержки короткого номер на который просят отправить смс.
2) звоним на этот самый номер который узнаем у оператора, и уточняем адрес вымогателей
3) пишем заявление в соответствующие органы. (или своими силами стучите им по репе)

А это реально? Есть примеры?

Такое наверно невозможно, так как скорее всего создается своя сотовая фирма продающая чужой трафик гсм под своей торговой маркой (что то на подобии корпоративной сети) и на ней уже создают короткие номера, при звонке оператору он в лучшем случае может дать номер телефона фирмы посредника при звонке к которому в лучшем случае скажут куда идти русскими словами, да даже если скажут реальный адрес фирмы то придя туда можно обнаружить развалины какого нибудь здания.

С оператором можно договорится только насчет их собственных номеров, например когда приходит смс с текстом положи мне денег я тебе перезвоню и типа таких в таких случаях оператор с удовольствием блокирует данные номера.

У меня жена такого словила на ноуте.
Помогло следующее:
записанный на dvd образ реаниматора с Win-XP, которая загружается с DVD (да в принципе пофик реаниматор или нет - главное это запуск компьютера с DVDшника под XP).
Под ней запускается AVP tool.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Который удаляет эту дрянь, после чего бутимся с винчестера и удаляем остатки записей вируса в реестре и прогоняем ещё раз полноценным каспером.

p.s. утилита Dr.Web не помогла, она не чего не находила!

убираем порно баннеры
 

все часто обращаютя с проблемой убрать порно баннер с компьютера вот может кому поможет коды к различным порно банерам

Есть отличная программа ComboFix, сам лично лечил при помощи нее порно беннеры

Дополнительно еще ссылка на онлайн помощь от Касперского
http://support.kaspersky.ru/viruses/deblocker
И при скверном варианте когда не работает сетевая и естественно интернет, восстановление протоколов winsock :
1)Под управлением Windows XP с пакетом обновления 2 (SP2), введите в командной строке netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер.
2)Восстановление или сброс Winsock вручную для пользователей Windows Vista (7 - seven):Нажмите Пуск, в поле Начать поиск введите cmd, щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора, а затем нажмите кнопку Продолжить.Введите в командной строке команду netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер.
Дополнительна информация http://support.microsoft.com/kb/811259

напарнику который таки отправил смс на короткий номер, после звонка и угрозы написать заявление вернули деньги

Даже антивирусов никаких не нужно для лечения
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ и проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,

пытаюсь понять смысл этого предложения, но не получается :) На всякий случай скажу, что в userinit'e прописаны программы, которые стартуют при входе пользователя в систему. И показать себя они могут или в самом начале работы, или в любое время - всё зависит от фантазии вирусописецов.
Да и вообще :) любой уважающий себя борец с вирусами должен без всякого антивируса отлавливать Autorun-вирусы :)

После загрузки с LiveCD проще запустить autoruns.exe от Sysinternals имеется во многих LiveCD и заодно поубивать остальные вирусы, единственное надо точно знать что делаешь и плюс не надо ползать по веткам реестра.

Новая фишка?

Звонит кореш, горюет: поймал эту заразу. Ни одна кнопка на ноуте не работает, даже время остановилось текущее в трее.
И больше ничего. Никаких там паролей и кодов.

Кто-то сталкивался?
Эти варианты вечером конечно попробую.

Данная статья описывает методы восстановления загрузки системы с помощью дополнительного ПО.
 

Иногда возникает ситуация, когда после лечения системы от вирусов она перестает загружаться или же троянская программа блокирует загрузку Windows, требуя выслать смс на определенный платный номер.

Для восстановления системы воспользуемся загрузочным диском ERDCommander.

Подготовительный этап

1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы

http://wiki.drweb.com/images/Erd31.PNG
1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы

http://wiki.drweb.com/images/Erd21.PNG

Поиск проблемм

Если при попытке входа в учетную запись завершается работа.

1.Необходимо заменить файл userinit.exe

Как правило этот файл находится в каталоге C:\WINDOWS\system32. Этот файл можно взять в дистрибутиве Windows или же взять другого компьютера с такой же операционной системой.

2. Запустить редактор реестра. Для этого нажать кнопку "Start"-"Administrative Tools"-"RegEdit"

http://wiki.drweb.com/images/Erd99.PNG

3. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

4. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.

Вот пример неправильной записи в реестре. В этой ветке прописался неизвестный троян.

http://wiki.drweb.com/images/Erd11.PNG

Если при попытке входа в учетную запись загружается пустой рабочий стол.

1. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.


ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.

Запуск CureIT в ERDCommander

Официально запуск CureIT в различных LiveCD пока не поддерживается. Но разработчики предусмотрели и такую ситуацию.

Итак, наши действия:

1. Скачать и записать ERDCommander (об этом выше).

2.1. Работа с флешкой

а)Скачать CureIT и записать на флешку.

б)Загрузиться с ERDCommander (при этом флешка с сохраненным CureIT должны быть подключена).

2.2. Работа с жестким диском.

а) Загрузиться с ERDCommander с поддержкой сети.

б) Скачать CureIT на жесткий диск (Например на диск С в корневую папку).

3.Запустить CureIT из командной строки с такими ключами.

cureit.exe /not_use_shield /shell /tm- /ts-

где

cureit.exe = имя файла CureIT

shell = смотрим в справке(так и оставляем).

not_use_shield = будем работать без шилда чтобы не упасть в BSOD(так и оставляем).

Бета куреит можно/нужно запускать без каких либо ключей,он специально оптимизирован для работы под LiveCD.

Скачать Beta CureIT!

Сбор данных реестра

1.Запускаем редактор реестра Regedit

2.По очереди экспортируем все ветки реестра(в более новых версиях ERD Commander есть возможность экспортировать весь реестр.)

http://wiki.drweb.com/images/ERD_reestr.png

3.После выбора пункта меню "Export" программа спросит куда экспортировать данные(сохранять). Например я выбираю диск С. Далее ввожу имя файла (например 1 или vetka1) и нажимаю кнопку "Save".Теперь у меня на диске С

http://wiki.drweb.com/images/Savtas.PNG
создан будет файл 1.reg (или vetka1.reg). Главное запомнить куда вы сохраняете данные.

4.Необходимо отправить данные в службу технической поддержки или прикрепить на форуме. Данные реестра могут содержать конфидециальную информацию . Поэтому их нужно зашифровать. Это можно сделать на другом компьютере. Или же поискать на диске программу архиватор. У меня например установлен архиватор WinRar. С помощью "Explorer" можно его найти и запустить. Как правило он находится здесь С:\Program Files\WinRAR\WinRAR.exe . И заархивировать файл с паролем.

Поиск подозрительных файлов

1.Нажимаем кнопку "START".

2.Далее выбираем пункт меню "Explorer".Запускаем.

3.Далее по полученным на форуме рекомендациям ищем файл в Проводнике и при необходимости отправляем в вирлаб

http://wiki.drweb.com/images/Explor.PNG

4.С помощью "Explorer" ищем файл лог антивирусного монитора Spider Guard (если он установлен) и лог SpIDer Gate. Эти логи могут помочь в лечении компьютера.

Как правило лог SpiDer Guard находится в каталоге антивируса DrWeb (если он у вас установлен) и называется spidernt.log. Например у меня он находится в каталоге С:\Program Files\DrWeb

Лог Spider Gate находится в профиле пользователя и называется spidergate.log

Дополнительно

Желательно использовать ERD Commander 2008 или более поздние версии.


Скачать Dr.Web LiveCD бесплатно

Обычно для удаления всех вредителей, особенно тех которых нет в базах антивирусов использую следующую технологию:

Загружаю LiveCD.

Проверяю следующие папки в которых обычно селятся зверьки:

C:\Documents and Settings\"имя пользователя"\Application Data папки не трогаем удаляем в корне текущей папки все файлы кроме desktop.ini

далее удаляем все файлы с папок:

C:\Documents and Settings\"имя пользователя"\Local Settings\Temp
C:\Documents and Settings\"имя пользователя"\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp

также можно проверить те же папки для профилей "All Users" и "Администратор"

Порно баннеры обычно селятся в какой либо папке в директории C:\Documents and Settings\"имя пользователя"\Application Data

Очень часто встречалась папка "media" с файлом "media.exe" внутри, хотя попадались и совсем не примечательные папки.

далее запускаем autoruns.exe от Sysinternals и удаляем ссылки на запуск всех файлов расположенных в выше перечисленных папках для того чтобы потом при запуске системы не выскакивало окон о невозможности найти файл для запуска.

Данные действия помогают в большинстве случаев, в остальных случаях были повреждены все системные exe файлы и проще переустановить систему.

Очень хорошо помогает прога Malwarebytes' Anti-Malware от СМС. Но иногда нужно очистить реестр как указано выше и потом ее запустить, она поправит в реестре такие баги после вирусов и троянов : не запускается диспетчер задач, запуск реестра ограничен администратором, не открываются сайты антивирусов и сами антивирусы не запускаются и т.д. да и она бесплатная. Может кому пригодится .

У каждого должна програмка RansomHide
Очень помогает.
также не забываем про базы кодов разблокировки:
Kaspersky
NOD32
DrWeb