Здравствуйте, гость ( Вход | Регистрация )

Данный форум находится в архиве!


Последние новости C&C читайте на нашем сайте


Пообщаться можно в группе Вконтакте

2 страниц V  1 2 >  
Ответить в эту темуОткрыть новую тему
> Windows заблокирован отправьте смс, Вирус Trojan.Winlock
NBomb
сообщение 2.9.2011, 22:39
Сообщение #1


Маршал

Группа: Пользователи
Сообщений: 4 780
Регистрация: 25.11.2008
Из: Castle Wolfenstein
Пользователь №: 2 405
Поблагодарили: 1527 раз



Совсем недавно столкнулся с таким вирусом, в народе его именуют Trojan.Winlock или Trojan.Ransom. Эта фигня появилась у знакомого.

Я по искал в интернете, что делать. А советов было много:

1. Испробовать LiveCD доктора веба и каспера, но мне это не помогло. Да, нашел какие то вирусы, удалил их, но все без толку.

2. Потом с помощью того же LiveCD попробовал, почистить некоторые папки это "Temporary Internet Files", "Temp" и еще какие то, уже не помню какие. Но все равно это тоже толку никакого не дало.

3. Нужно скачать LiveCD (или подобную программу), сделать диск и найти нехорошие файлы с именами blocker.bin и blocker.exe, они должны быть по адресу C:\Documents and Settings\All Users\Application Data, но у меня там их небыло, даже похожих, да и подозрительные я поудалял, не помогло, но вам может и поможет.

4. Так же нужно в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon поменять значение параметра "Userinit" с "C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPL IC~1\\blocker.exe" на "C:\\WINDOWS\\system32\\userinit.exe". У меня такого тоже не было, но после того как я получил доступ к ОС, я прошел по выше описанному пути и нашел что у меня значение "C:\\WINDOWS\\system32\\userinit.exe," есть запятая в конце, я ее удалил - не помогло.

5. Еще были советы перевести в биосе время на пару дней или часов в перед или назад. Мне это тоже не помогло.

6. Так же писали что нужно подождать пару часиков и эта гадость пропадет, не пропала.

В общем, как я не старался, ничего не помогло, пришлось переустанавливать винду. 48.gif

Друзья, что реально нужно делать? Кто сталкивался с такой проблемой? А эта проблема сейчас очень актуальная. И вообще, как этот вирус проходит через защиту таких антивирусов, как каспер и доктор веб. Ну не переустанавливать же постоянно винду? Помогите советами.

Вот, только что нашел такое решение проблемы, но пока не на чем его испытать.

показать офф-топ
Запустить проводник через комбинацию клавиш Ctrl+shift+esc

Файл - Новая задача (выполнить) - regedit - нажать ОК (откроется реестр).

искать в ветке: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Если Вам повезло – то найдете там ветку “Blocker.exe”, которую и нужно удалить

или в другой ветке:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Файлик, мешающий нормально включить комп зовется “Admin.exe” и загружается в ветке Shell. Его нужно удалить.

После перезагрузки компьютер нормально загрузился.

P.S.: Но как запустить реестр через комбинацию Ctrl+shift+esc, когда заблокированная винда - не пойму? 08.gif

P.P.S.: Хотя стоп, понял, можно использовать LiveCD. Точно через LiveCD. 54.gif


Спасибо.


Эскизы прикрепленных изображений
Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Avenger
сообщение 3.9.2011, 0:53
Сообщение #2


Бригадный Генерал

Группа: Пользователи
Сообщений: 2 804
Регистрация: 30.5.2009
Из: GDI Infantry Barracks
Пользователь №: 3 245
Поблагодарили: 1239 раз



Вот за что я люблю Убунту. Для неё такой фигни ещё не написали.


Поблагодарили:
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Victor525
сообщение 3.9.2011, 1:36
Сообщение #3


ISD II Commander

Группа: Администраторы
Сообщений: 2 349
Регистрация: 12.2.2007
Из: Main Bridge
Пользователь №: 42
Поблагодарили: 639 раз



Нужно просто зайти на сайт http://virusinfo.info/deblocker/ 40.gif




Поблагодарили:
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Dukat863
сообщение 3.9.2011, 10:56
Сообщение #4


Lorem ipsum dolor sit amet

Группа: Пользователи
Сообщений: 2 213
Регистрация: 8.6.2009
Из: Ростов-на-Дону, Красная зона
Пользователь №: 3 277
Поблагодарили: 554 раз



Можно сделать фотографию винлокера? Просто все они разные, и бывают те которые код не принимают, и сидеть они могут в разных местах.

Попробуй нажать и держать комбинацию Ctrl+Alt+Esc, возможно ты сможешь прочитать название процесса, чтобы удалить его (однако раб стол восстанавливать это другое дело).

EDIT: Недочитал, что ты винду переустановил.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Hyperion_231
сообщение 3.9.2011, 17:30
Сообщение #5


Сержант

Группа: Пользователи
Сообщений: 104
Регистрация: 22.5.2011
Пользователь №: 5 280
Поблагодарили: 43 раз



Для дополнительной защиты в Firefox желательно установить дополнение No Script, а в настройках браузера выставить вычищение кэша после сеанса.


Поблагодарили:
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
NBomb
сообщение 4.9.2011, 13:30
Сообщение #6


Маршал

Группа: Пользователи
Сообщений: 4 780
Регистрация: 25.11.2008
Из: Castle Wolfenstein
Пользователь №: 2 405
Поблагодарили: 1527 раз



Вот нашел такое. Я думаю, что это прикол.


Эскизы прикрепленных изображений
Прикрепленное изображение

Поблагодарили:
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
~IL~
сообщение 4.9.2011, 13:41
Сообщение #7


Майор

Группа: Пользователи
Сообщений: 1 091
Регистрация: 10.6.2009
Пользователь №: 3 283
Поблагодарили: 603 раз



Цитата(Hyperion_231 @ 3.9.2011, 18:30) *

Для дополнительной защиты в Firefox желательно установить дополнение No Script, а в настройках браузера выставить вычищение кэша после сеанса.

+100500
показать офф-топ
правда в последнее время мозилла у меня начал часто тупить, открываю оперу - всё ок. придётся, наверное, переходить...


Цитата(Victor525 @ 3.9.2011, 2:36) *

Нужно просто зайти на сайт http://virusinfo.info/deblocker/ 40.gif

после этой деактивации комп поддаётся лечению?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Victor525
сообщение 4.9.2011, 13:47
Сообщение #8


ISD II Commander

Группа: Администраторы
Сообщений: 2 349
Регистрация: 12.2.2007
Из: Main Bridge
Пользователь №: 42
Поблагодарили: 639 раз



Цитата(~IL~ @ 4.9.2011, 14:41) *

после этой деактивации комп поддаётся лечению?

Лично у меня после этого ничего не было но конечно для уверенности прогоняю антивирем
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
NBomb
сообщение 4.9.2011, 14:03
Сообщение #9


Маршал

Группа: Пользователи
Сообщений: 4 780
Регистрация: 25.11.2008
Из: Castle Wolfenstein
Пользователь №: 2 405
Поблагодарили: 1527 раз



Victor525, спасибо за наводку. Можешь ответить еще на такой вопрос. Как вводить адрес ссылки на этот сайт, под LiveCD, я правильно понимаю?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Avenger
сообщение 4.9.2011, 14:05
Сообщение #10


Бригадный Генерал

Группа: Пользователи
Сообщений: 2 804
Регистрация: 30.5.2009
Из: GDI Infantry Barracks
Пользователь №: 3 245
Поблагодарили: 1239 раз



Цитата(NBomb @ 4.9.2011, 13:30) *

Вот нашел такое. Я думаю, что это прикол.

Точно прикол, не думаю что это кому то надо.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Victor525
сообщение 4.9.2011, 14:06
Сообщение #11


ISD II Commander

Группа: Администраторы
Сообщений: 2 349
Регистрация: 12.2.2007
Из: Main Bridge
Пользователь №: 42
Поблагодарили: 639 раз



Цитата(NBomb @ 4.9.2011, 15:03) *

Victor525, спасибо за наводку. Можешь ответить еще на такой вопрос. Как вводить адрес ссылки на этот сайт, под LiveCD, я правильно понимаю?

Не знаю ничего про лайв сиди )я смотрел с старого компа код


з.ы вот тут ещё ссылки на деблокеры http://otvet.mail.ru/question/59810292/
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Dukat863
сообщение 4.9.2011, 14:16
Сообщение #12


Lorem ipsum dolor sit amet

Группа: Пользователи
Сообщений: 2 213
Регистрация: 8.6.2009
Из: Ростов-на-Дону, Красная зона
Пользователь №: 3 277
Поблагодарили: 554 раз



Цитата(NBomb @ 4.9.2011, 14:30) *
Вот нашёл такое. Я думаю, что это прикол.
Надо кому-нибудь поставить trollface.png
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
NBomb
сообщение 9.9.2011, 21:34
Сообщение #13


Маршал

Группа: Пользователи
Сообщений: 4 780
Регистрация: 25.11.2008
Из: Castle Wolfenstein
Пользователь №: 2 405
Поблагодарили: 1527 раз



1-0. 31.gif Я уже ликвидировал один такой вирус. Но их уже много разных модификаций.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Avenger
сообщение 12.9.2011, 9:02
Сообщение #14


Бригадный Генерал

Группа: Пользователи
Сообщений: 2 804
Регистрация: 30.5.2009
Из: GDI Infantry Barracks
Пользователь №: 3 245
Поблагодарили: 1239 раз



Цитата(NBomb @ 9.9.2011, 21:34) *

1-0. 31.gif Я уже ликвидировал один такой вирус. Но их уже много разных модификаций.

Как деблокировал? 16.gif

Пока меня не было дома, комп заблокировали за меня. Хорошо, что ещё дополнительно стоит Убнуту, вижу она мне может пригодиться.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
NBomb
сообщение 12.9.2011, 9:46
Сообщение #15


Маршал

Группа: Пользователи
Сообщений: 4 780
Регистрация: 25.11.2008
Из: Castle Wolfenstein
Пользователь №: 2 405
Поблагодарили: 1527 раз



Цитата(Avenger @ 12.9.2011, 9:02) *

Как деблокировал? 16.gif

Пока меня не было дома, комп заблокировали за меня. Хорошо, что ещё дополнительно стоит Убнуту, вижу она мне может пригодиться.


Kaspersky WindowsUnlocker 1.0.1

Скачать

Эта утилита очень помогла.


Поблагодарили:
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Avenger
сообщение 12.9.2011, 16:09
Сообщение #16


Бригадный Генерал

Группа: Пользователи
Сообщений: 2 804
Регистрация: 30.5.2009
Из: GDI Infantry Barracks
Пользователь №: 3 245
Поблагодарили: 1239 раз



Цитата
В результате происходит загрузка операционной системы Linux с определением устройств, подключенных к компьютеру, а также осуществляется поиск файловых систем на жестких и внешних дисках. После загрузки операционной системы вы можете приступить к работе.

Вижу Касперы решили не изобретать велосипед, а заюзать Линукс в своих целях. 16.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
NBomb
сообщение 12.9.2011, 18:22
Сообщение #17


Маршал

Группа: Пользователи
Сообщений: 4 780
Регистрация: 25.11.2008
Из: Castle Wolfenstein
Пользователь №: 2 405
Поблагодарили: 1527 раз



Цитата(Avenger @ 12.9.2011, 16:09) *

Вижу Касперы решили не изобретать велосипед, а заюзать Линукс в своих целях. 16.gif

А то.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
DIMAN217217
сообщение 12.9.2011, 19:19
Сообщение #18


Капитан

Группа: Пользователи
Сообщений: 896
Регистрация: 22.1.2011
Из: NG-217
Пользователь №: 4 995



Бывала такая фигня... у меня короче вирь был в моих документах, только когда удалил его я, он удалил мою винду 16.gif
Естественно кроме картинки рабочего стола, остального ничего нет.
Ни меню пуск, ни ярлыков, ни пароля для пользователя. Никакие хот кеи не работали.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Dukat863
сообщение 12.9.2011, 19:23
Сообщение #19


Lorem ipsum dolor sit amet

Группа: Пользователи
Сообщений: 2 213
Регистрация: 8.6.2009
Из: Ростов-на-Дону, Красная зона
Пользователь №: 3 277
Поблагодарили: 554 раз



Закрыть explorer.exe и засуспендить winlogon.exe? Я так тоже умею trollface.png
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
DIMAN217217
сообщение 12.9.2011, 19:25
Сообщение #20


Капитан

Группа: Пользователи
Сообщений: 896
Регистрация: 22.1.2011
Из: NG-217
Пользователь №: 4 995



Прикол в том, что с другого компа я сканировал жёсткий диск, то осталось лишь... картинка рабочего стола, и папка мои документы.... и всё....
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
2 страниц V  1 2 >
Ответить в эту темуОткрыть новую тему
 

Текстовая версия Сейчас: 29.3.2024, 18:38
Rambler's Top100 CNC Top 101