Вход

Просмотр полной версии : Если Ваш компьютер инфицирован Trojan.Winlock


jblack
22.01.2010, 15:31
В последнее время очень часто встречаются проблемы с блокировкой входа в windows и предложением отправить смс на определенный номер для получения кода разблокировки.

Не отправляйте смс это все развод и код никто не пришлет.

DrWeb в связи с данными проблемами открыл новый бесплатный сервер с кодами разблокировки компьютеров заблокированных разными вариациями Trojan.Winlock. (http://www.drweb.com/unlocker/index)

aZzz
22.01.2010, 15:58
фантазии хакеров и тупость юзеров всяких зверьсиди, сидящих под Admin с пустым паролем, безграничны

Informator
08.02.2010, 05:01
Kaspersky открыл новый бесплатный сервер с кодами разблокировки компьютеров заблокированных разными вариациями Trojan.Winlock.

Не представите тут ссылку на официальное сообщение об этом - сменю предупреждение на нарушение. Учетную запись Вашу заблокирую за флуд.

wolff
11.02.2010, 23:37
Вирус из серии вымогателей денег (например, “отправьте смс с текстом k205114000 на номер 4460″). Сама программа выглядит как окно проверки на вирусы с текстом вверху “Внимание! eKav antivirus обнаружил вредоносное ПО на вашем компьютере”
1. Берём текст, который нам предлагают выслать в теле смс. Например, k205114000
2. Меняем первую букву k на цифру, стоящую после этой буквы. В нашем примере это цифра 2. В итоге код будет 2205114000
3. Добавляем к каждой цифре кода число 2. То, что получилось, записываем в ряд. При этом, если после добавления “двойки” получается 10, то записываем 1, если 11, то записываем 2.
В нашем примере имеем новый код 4427336222
4. Полученный код пробуем ввести в окошко для ввода кода. Если подошёл – вы это увидите сразу, так как окошко исчезнет и после перезагрузки всё заработает.
5. Если код из п. 4 не подошёл, то к каждой цифре этого кода добавляем 1 и полученные цифры записываем в ряд. Если после добавления получается 10, то записываем 1.
В нашем примере это будет код 5538447333
6. Переходим к пункту 4.
Обратите внимание – в полученных кодах НЕ должно быть ни одной цифры 0.
Всего различных комбинаций 10.
Например, для кода k204114100 у меня подошла лишь 5-я комбинация – 8861771766
Не забудьте после успешного ввода кода перезагрузиться. Затем обновите антивирус или скачайте бесплатный антивирусный сканер по ссылке http://www.freedrweb.com/cureit/ Затем проведите полное (в крайнем случае быстрое) сканирование компьютера на вирусы.
Для тех, кто совсем немощный в математике, есть генератор подбора кода
Только он немного кривоватый, выдаёт не все комбинации, точнее, одна из комбинаций НЕ видна, чтобы её увидеть надо ползунок верх подтянуть.
http://files.mail.ru/15CNRR

murka
12.02.2010, 04:04
ну а если есть желание наказать козлов вымогающих деньги подомным образом..
1) звоним к оператору, спрашиваем номер тех поддержки короткого номер на который просят отправить смс.
2) звоним на этот самый номер который узнаем у оператора, и уточняем адрес вымогателей
3) пишем заявление в соответствующие органы. (или своими силами стучите им по репе)

Major999
12.02.2010, 18:04
ну а если есть желание наказать козлов вымогающих деньги подомным образом..
1) звоним к оператору, спрашиваем номер тех поддержки короткого номер на который просят отправить смс.
2) звоним на этот самый номер который узнаем у оператора, и уточняем адрес вымогателей
3) пишем заявление в соответствующие органы. (или своими силами стучите им по репе)
А это реально? Есть примеры?

jblack
12.02.2010, 20:26
А это реально? Есть примеры?

Такое наверно невозможно, так как скорее всего создается своя сотовая фирма продающая чужой трафик гсм под своей торговой маркой (что то на подобии корпоративной сети) и на ней уже создают короткие номера, при звонке оператору он в лучшем случае может дать номер телефона фирмы посредника при звонке к которому в лучшем случае скажут куда идти русскими словами, да даже если скажут реальный адрес фирмы то придя туда можно обнаружить развалины какого нибудь здания.

С оператором можно договорится только насчет их собственных номеров, например когда приходит смс с текстом положи мне денег я тебе перезвоню и типа таких в таких случаях оператор с удовольствием блокирует данные номера.

Nicko
28.02.2010, 09:09
У меня жена такого словила на ноуте.
Помогло следующее:
записанный на dvd образ реаниматора с Win-XP, которая загружается с DVD (да в принципе пофик реаниматор или нет - главное это запуск компьютера с DVDшника под XP).
Под ней запускается AVP tool.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
Который удаляет эту дрянь, после чего бутимся с винчестера и удаляем остатки записей вируса в реестре и прогоняем ещё раз полноценным каспером.

p.s. утилита Dr.Web не помогла, она не чего не находила!

russik9
06.04.2010, 19:01
все часто обращаютя с проблемой убрать порно баннер с компьютера вот может кому поможет коды к различным порно банерам

killbugs
06.04.2010, 19:08
Есть отличная программа ComboFix, сам лично лечил при помощи нее порно беннеры
Combofix – это бесплатная антиспайварная программа, которую написал sUBs. Она удаляет SurfSideKick, QooLogic, Look2Me, различные варианты трояна Vundo, а кроме этого и множество других шпионских программ, троянов и поддельных антиспайварных программ.

Denwe
22.04.2010, 13:00
Дополнительно еще ссылка на онлайн помощь от Касперского
http://support.kaspersky.ru/viruses/deblocker
И при скверном варианте когда не работает сетевая и естественно интернет, восстановление протоколов winsock :
1)Под управлением Windows XP с пакетом обновления 2 (SP2), введите в командной строке netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер.
2)Восстановление или сброс Winsock вручную для пользователей Windows Vista (7 - seven):Нажмите Пуск, в поле Начать поиск введите cmd, щелкните правой кнопкой мыши файл cmd.exe и выберите команду Запуск от имени администратора, а затем нажмите кнопку Продолжить.Введите в командной строке команду netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер.
Дополнительна информация http://support.microsoft.com/kb/811259

murka
29.05.2010, 21:11
А это реально? Есть примеры?

напарнику который таки отправил смс на короткий номер, после звонка и угрозы написать заявление вернули деньги

tihiy_grom
01.06.2010, 13:09
Даже антивирусов никаких не нужно для лечения
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,

Мой способ для невидимок а твой уже с запуском сис-мы
пытаюсь понять смысл этого предложения, но не получается :) На всякий случай скажу, что в userinit'e прописаны программы, которые стартуют при входе пользователя в систему. И показать себя они могут или в самом начале работы, или в любое время - всё зависит от фантазии вирусописецов.
Да и вообще :) любой уважающий себя борец с вирусами должен без всякого антивируса отлавливать Autorun-вирусы :)

jblack
01.06.2010, 16:13
Даже антивирусов никаких не нужно для лечения
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
и проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,


пытаюсь понять смысл этого предложения, но не получается :) На всякий случай скажу, что в userinit'e прописаны программы, которые стартуют при входе пользователя в систему. И показать себя они могут или в самом начале работы, или в любое время - всё зависит от фантазии вирусописецов.
Да и вообще :) любой уважающий себя борец с вирусами должен без всякого антивируса отлавливать Autorun-вирусы :)

После загрузки с LiveCD проще запустить autoruns.exe от Sysinternals (http://technet.microsoft.com/ru-ru/sysinternals/default.aspx) имеется во многих LiveCD и заодно поубивать остальные вирусы, единственное надо точно знать что делаешь и плюс не надо ползать по веткам реестра.

Major999
04.06.2010, 08:13
Новая фишка?

Звонит кореш, горюет: поймал эту заразу. Ни одна кнопка на ноуте не работает, даже время остановилось текущее в трее.
Отправьте 300 рублей на номер +79639663766 через терминал оплаты и получите чек с нужным вам кодом.И больше ничего. Никаких там паролей и кодов.

Кто-то сталкивался?
Грузимся с любого LiveCD, открываем редактор реестра, смотрим ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogonи проверяем что записано в параметрах Shell и UserInit.

Должно быть так:
Shell = Explorer.exe
UserInit = C:\WINDOWS\system32\userinit.exe,После загрузки с LiveCD проще запустить autoruns.exe от Sysinternals (http://technet.microsoft.com/ru-ru/sysinternals/default.aspx) имеется во многих LiveCD и заодно поубивать остальные вирусы, единственное надо точно знать что делаешь и плюс не надо ползать по веткам реестра.
Эти варианты вечером конечно попробую.

J00L
04.06.2010, 09:09
Иногда возникает ситуация, когда после лечения системы от вирусов она перестает загружаться или же троянская программа блокирует загрузку Windows, требуя выслать смс на определенный платный номер.

Для восстановления системы воспользуемся загрузочным диском ERDCommander.

Подготовительный этап

1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы

http://wiki.drweb.com/images/Erd31.PNG
1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы

http://wiki.drweb.com/images/Erd21.PNG

Поиск проблемм

Если при попытке входа в учетную запись завершается работа.

1.Необходимо заменить файл userinit.exe

Как правило этот файл находится в каталоге C:\WINDOWS\system32. Этот файл можно взять в дистрибутиве Windows или же взять другого компьютера с такой же операционной системой.

2. Запустить редактор реестра. Для этого нажать кнопку "Start"-"Administrative Tools"-"RegEdit"

http://wiki.drweb.com/images/Erd99.PNG

3. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

4. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.

Вот пример неправильной записи в реестре. В этой ветке прописался неизвестный троян.

http://wiki.drweb.com/images/Erd11.PNG

Если при попытке входа в учетную запись загружается пустой рабочий стол.

1. Найти ветку реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.


ключ "Shell"="Explorer.exe"

2. Если в ключе прописано что-то другое, то замените на указаное выше.

Запуск CureIT в ERDCommander

Официально запуск CureIT в различных LiveCD пока не поддерживается. Но разработчики предусмотрели и такую ситуацию.

Итак, наши действия:

1. Скачать и записать ERDCommander (об этом выше).

2.1. Работа с флешкой

а)Скачать CureIT и записать на флешку.

б)Загрузиться с ERDCommander (при этом флешка с сохраненным CureIT должны быть подключена).

2.2. Работа с жестким диском.

а) Загрузиться с ERDCommander с поддержкой сети.

б) Скачать CureIT на жесткий диск (Например на диск С в корневую папку).

3.Запустить CureIT из командной строки с такими ключами.

cureit.exe /not_use_shield /shell /tm- /ts-

где

cureit.exe = имя файла CureIT

shell = смотрим в справке(так и оставляем).

not_use_shield = будем работать без шилда чтобы не упасть в BSOD(так и оставляем).

Бета куреит можно/нужно запускать без каких либо ключей,он специально оптимизирован для работы под LiveCD.

Скачать Beta CureIT! ( http://forum.drweb.com/index.php?showtopic=288389
/)

Сбор данных реестра

1.Запускаем редактор реестра Regedit

2.По очереди экспортируем все ветки реестра(в более новых версиях ERD Commander есть возможность экспортировать весь реестр.)

http://wiki.drweb.com/images/ERD_reestr.png

3.После выбора пункта меню "Export" программа спросит куда экспортировать данные(сохранять). Например я выбираю диск С. Далее ввожу имя файла (например 1 или vetka1) и нажимаю кнопку "Save".Теперь у меня на диске С

http://wiki.drweb.com/images/Savtas.PNG
создан будет файл 1.reg (или vetka1.reg). Главное запомнить куда вы сохраняете данные.

4.Необходимо отправить данные в службу технической поддержки или прикрепить на форуме. Данные реестра могут содержать конфидециальную информацию . Поэтому их нужно зашифровать. Это можно сделать на другом компьютере. Или же поискать на диске программу архиватор. У меня например установлен архиватор WinRar. С помощью "Explorer" можно его найти и запустить. Как правило он находится здесь С:\Program Files\WinRAR\WinRAR.exe . И заархивировать файл с паролем.

Поиск подозрительных файлов

1.Нажимаем кнопку "START".

2.Далее выбираем пункт меню "Explorer".Запускаем.

3.Далее по полученным на форуме рекомендациям ищем файл в Проводнике и при необходимости отправляем в вирлаб

http://wiki.drweb.com/images/Explor.PNG

4.С помощью "Explorer" ищем файл лог антивирусного монитора Spider Guard (если он установлен) и лог SpIDer Gate. Эти логи могут помочь в лечении компьютера.

Как правило лог SpiDer Guard находится в каталоге антивируса DrWeb (если он у вас установлен) и называется spidernt.log. Например у меня он находится в каталоге С:\Program Files\DrWeb

Лог Spider Gate находится в профиле пользователя и называется spidergate.log

Дополнительно

Желательно использовать ERD Commander 2008 или более поздние версии.


Скачать Dr.Web LiveCD бесплатно ( ftp://ftp.drweb.com/pub/drweb/livecd/
/)

jblack
04.06.2010, 10:23
Новая фишка?

Звонит кореш, горюет: поймал эту заразу. Ни одна кнопка на ноуте не работает, даже время остановилось текущее в трее.
И больше ничего. Никаких там паролей и кодов.

Кто-то сталкивался?

Эти варианты вечером конечно попробую.

Обычно для удаления всех вредителей, особенно тех которых нет в базах антивирусов использую следующую технологию:

Загружаю LiveCD.

Проверяю следующие папки в которых обычно селятся зверьки:

C:\Documents and Settings\"имя пользователя"\Application Data папки не трогаем удаляем в корне текущей папки все файлы кроме desktop.ini

далее удаляем все файлы с папок:

C:\Documents and Settings\"имя пользователя"\Local Settings\Temp
C:\Documents and Settings\"имя пользователя"\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp

также можно проверить те же папки для профилей "All Users" и "Администратор"

Порно баннеры обычно селятся в какой либо папке в директории C:\Documents and Settings\"имя пользователя"\Application Data

Очень часто встречалась папка "media" с файлом "media.exe" внутри, хотя попадались и совсем не примечательные папки.

далее запускаем autoruns.exe от Sysinternals и удаляем ссылки на запуск всех файлов расположенных в выше перечисленных папках для того чтобы потом при запуске системы не выскакивало окон о невозможности найти файл для запуска.

Данные действия помогают в большинстве случаев, в остальных случаях были повреждены все системные exe файлы и проще переустановить систему.

Inv
25.06.2010, 11:17
Очень хорошо помогает прога Malwarebytes' Anti-Malware от СМС. Но иногда нужно очистить реестр как указано выше и потом ее запустить, она поправит в реестре такие баги после вирусов и троянов : не запускается диспетчер задач, запуск реестра ограничен администратором, не открываются сайты антивирусов и сами антивирусы не запускаются и т.д. да и она бесплатная. Может кому пригодится .

kirp
25.06.2010, 14:39
У каждого должна програмка RansomHide (http://b-kill.ru/page/ransomhide)
Очень помогает.
также не забываем про базы кодов разблокировки:
Kaspersky (http://support.kaspersky.ru/viruses/deblocker)
NOD32 (http://www.esetnod32.ru/.support/winlock/)
DrWeb (http://www.drweb.com/unlocker/index/?lng=ru)

styler74
21.07.2010, 09:08
Пожалуйста, не пишите в этой теме свои мысли, только факты и варианты решений...........

J00L
21.07.2010, 09:28
Ну не знаю как у вас, у меня система работает стабильно, даже через 3 мес после лечения.

Вот еще несколько советов по удалению неприятных баннеров:

В диспетчере задач висит лишний services.exe, запущенный от имени пользователя, его надо удалить.
Если диспетчер не загружается - В С\WINDOWS\system32 находим gpedit.msc- конфигурация пользователя - административные шаблоны - система - возможности ctr-alt-del - удалить диспетчер задач - состояние отключен
Или в папке с windows файл - services.exe - прибить, зайти в msconfig и убить параметр автозапуска.

Если вирус блокирует поисковики и ряд сайтов – нужно проверить файл C:\\Windows\\system32\\Drivers\\etc\\hosts – открыть его Блокнотом. Там должна быть 1 строка соответствия IP-адрес – имя: 127.0.0.1 localhost
Все остальные такие строки вида 0.0.0.0 http://www.yandex.ru и т.п. – следует прибить.

materstill
28.07.2010, 08:47
Мне очень помогает загрузочная флешка USBreanimator v2.0 Final ( можно найти в поиковике) на флешке есть антивирусные утилитки которые не плохо справляются с данными проблеммами

Major999
28.02.2011, 11:01
При подготовке использовались эта статья (http://blogs.mail.ru/mail/s_mgly/39D4DC2FBB077B00.html) и ветка этого форума (http://forum.izcity.com/index.php?topic=8437.15).

Диспозиция. Система win xp pro sp3. При загрузке вылезает блокиратор. На ctrl+shift+del и ctrl+shift+esc вылезает калькулятор. Точки восстановления системы потёрты. Самый простой варриант — это если есть возможность скачать нижеперечисленные проги с другого компа или иметь их на флешке.Анлокер от веба (http://www.drweb.com/unlocker/index/), анлокер от каспера (http://support.kaspersky.ru/viruses/deblocker) и антивирусная утилита avz (http://www.z-oleg.com/secur/avz/download.php). Качаем один из анлокеров и avz, записываем их на флешку. Открываем калькулятор (ctrl+shift+del) справка->о программе->лицензионного соглашения. Вылезет блокнот. В блокноте файл->открыть. Вставляем флешку. В блокнотовском окошке "открыть" открываем флешку и запускаем анлокер через правую кнопку мыши. Он должен найти и удалить блокировщик. Если не находит, то можно найти вирус вручную, для этого так же через правую кнопку открываем любую папку и запускаем меню поиска. Ищем файл по маске *.exe по дате изменения на тот день когда поймали блокиратор. Часто он висит в папке cache браузера. В моём случае он назывался "video_4623.exe". Удаляем его. После запускаем AVZ. В меню AVZ "Файл/Восстановление системы" отмечаем позиции "9. Удаление отладчиков системных процессов" и "16. Восстановление ключа запуска Explorer", после чего нажимаем "Выполнить отмеченные операции". После перезагрузки видим нормальный вид windows.http://img11.nnm.ru/5/f/5/a/8/b7f8a291c413f2e743c7ceb3943_prev.jpg
Если нет возможности скачать программы, то тоже не беда. Для начала надо запустить командную строку. Можно запустить по алгоритму из первого пункта, через калькулятор (путь по умолчанию C:\WINDOWS\system32\cmd.exe). А можно запустить безопасный режим с поддержкой командной строки (во время зарузки системы жмём F8 и выбираем нужный режим). Далее в командной строке вбиваем regedit, запускается редактор реестра, идем в ветку HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\winlogon находим там переменную shell, запоминаем ее содержимое
(это нам понадобиться чтобы найти и вручную удалить блокировщик) и меняем это содержимое на explorer.exe. Далее возвращаемся в начало ресстра и запускаем поиск по строке — той, которую запомнили. В зависимости от ситуации, либо меняем в найденных строках значение на explorer.exe (это если переменная — shell), либо просто убиваем строчки. Восстанавливаем запуск диспечера задач, а то калькулятор в его качестве, как-то не очень. Для этого в редакторе реестра, идем в куст HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options и удаляем в нем ветку taskmgr.exe. Закрываем редактор реестра. Теперь нам нужно выйти из системы так, чтобы изменения в реестре сохранились. Для этого в командной строке вбиваем explorer — запустится оболочка windows. Теперь никто не помешает нажать Пуск->перезагрузка. После перезагрузки видим нормальный вид windows.

Major999
16.06.2011, 12:35
AntiWinLocker 3.1 LiveCD RUS (http://nnm.ru/blogs/quim/antiwinlocker_3_1_livecd_rus/#cut)


http://img15.nnm.ru/a/9/2/3/3/e40c3929632346ba9d2ff1bc0cd.jpg

С приходом подобных утилит можно ждать скорого завершения времени экранных вымогателей, блокирующих нормальную загрузку Windows, вымогателей, получивших отдельных класс WinLocker. Сила и простота использования AntiWinLocker'а заключается в его исполнении — это отдельный LiveCD, загрузившись с которого AntiWinLocker сделает необходимые поправки в реестре (Автоматический режим) и в случае необходимости позволит попровить пункты Автозагрузки (Ручной режим), после чего Вы сможете спокойно вернуться к нормальной работе компьютера. В общем то об этом можно было только мечтать.

Автоматический режим:
http://img12.nnm.ru/1/d/0/7/a/c9e6f9945bc7d4603707edb21ba_prev.jpg

Ручной режим:
http://img15.nnm.ru/5/2/0/2/b/e4146a972b2b59c97d0dc9d07e2_prev.jpg