Заблокирован Windows (Trojan.Winlock, etc...)

[Obivan]

by cinder
Обзор темы, все полезные ссылки собраны здесь

Часть первая. Онлайн

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

разблокировщик Dr.Web от Trojan.Winlock
http://www.drweb.com/unlocker/index/

разблокировщик от Касперского
http://support.kaspersky.ru/viruses/deblocker

Сервис по разблокировке от ESET
http://esetnod32.ru/support/winlock.php

Часть вторая. Оффлайн

Ransom Hide - утилита для подбора кода разблокировки
http://www.nowa.cc/showthread.php?t=262083
http://mbty2010.narod.ru/

F.A.Q. Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер…. http://www.nowa.cc/showpost.php?p=3605040&postcount=9

Восстановление userinit.exe /StayeR/
Подробнее

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь...

Также

Специалист ЛК учит бороться с вирусом-шантажистом
http://www.securitylab.ru/news/378527.php

Главное антивирусное средство - голова!
http://habrahabr.ru/blogs/i_am_clever/56923/

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[Deementor]

Цитата: т.к. в некоторых антивирусах стоит мониторинг на исполнение скриптов в браузерах

Абсолютно с тобой согласен, но тем и отличаются дорогой "пробивной" скрипт от 3% дешёвки купленный у скрипт-кидди на каком нибудь Хххх.ru форуме. Тем, что 25% скрипт пролезает и между антивирусом и файрволом. А если и попадается на крючок, то отписывается безобидным на первый взгляд Flash плагином. Но стоит только вспомнить, что этот плагин вроде у Вас где то, когда то стоял, но вы забыли в этом ли браузере или в другом, в общем путаетесь и в 90% случаях клацаете на "загрузить". Бабах! и вы сами открыли двери на своем компе заразе, борьбу с коей мы тут рассматриваем или просто стали участником децинтрализованной-локальновычеслительной-сети. Ботнет проще говоря.
% - это всего лишь усредненное значение для "пробива" скриптом защиты компьютера +процентное отношение к "выбору" потенциально атакуемой машины.

[dimasky]

Цитата: Сообщение от Deementor Но стоит только вспомнить, что этот плагин вроде у Вас где то, когда то стоял, но вы забыли в этом ли браузере или в другом, в общем путаетесь и в 90% случаях клацаете на "загрузить". Бабах!

Вот именно самая проблема в том что юзер сам запускает вредителя на комп пренебрегая элементарными правилами безопасного серфинга по сети (начиная с исключения посещения адресов сомнительных ресурсов и заканчивая исключения установки сомнительных приложений)

[AndreyWM]

Цитата: Сообщение от dimasky юзер сам запускает вредителя на комп пренебрегая элементарными правилами безопасного серфинга по сети

Так в этом вся и проблема, как объяснить юзеру, почему не надо кликать по всем ссылкам в одноклассниках или контакте, почему не надо открывать ссылки в аське, или покупаться на сообщения типа: посмотри какая классная картинка. Слышали бы вы возмущения одной тетушки по этому вопросу, с криками куда смотрит милиция (!!!) она даже меня обвинила в сговоре с писателями блокировщиков, после того как я удалил у нее эту дрянь.

[Deementor]

Цитата: Так в этом вся и проблема, как объяснить юзеру, почему не надо кликать по всем ссылкам

МоЁ глубочайшее убеждение состоит в том, что пока в школах, наравне с такими предметами, как математика, право, русский язык и литература, не начнут преподавать Internet Security. Дело с мертвой точки не здвинется.
Национальная программа - компьюторизация и интернатизация России. И что в итоге получится? Да получится то, что толпы несведущих будут попадаться на подобные уловки, будут пополнять армии ботнета и естественно карманы, но карманы не просто интернет мошенников, а организованной преступности, что из мира реального перетекает в мир виртуальный.
"Слушая" конференции по ATI Security все больше и больше убеждаюсь в том, что софтверные гиганты, при разработке того или иного программного обеспечения специально оставляют "дыры". Один из выводов, который можно из этого сделать - они тоже заинтересованы в распространении ботнета, блокираторов и вирусов. Это собственно говоря естественно, ибо в противном случае им не надо было бы выпускать обновления и паки.
На эту тему можно рассуждать до бесконечности. Можно обвинять антивирусные компании в создании вирусов, троянов и червей. Можно много кого обвинить в злонамерениях, но без конкретных логов, скринов и гиперссылок эти утверждения являются лишь утверждениями и "пустыми" словами.
Просто, стремитесь рассказать и убедить своих знакомых в том, что им лучше начать изучать аспекты Internet Security. Ну а тем, кто в это не верит и считает лабудой - желаю только удачи и до встрече в админ панели.

[workoff]

Всем здравствуйте!
Вот у меня проблема,-блокирован windows,(вирус с смс и активацией)
для решения проблемы скачал Windows CD-Live..
Такой вопрос:
Можно ли использовать для загрузки Windows CD-Live не СD диск, а флэшку ? то есть скачный мною "Windows CD-Live" я обязательно должен переписать на СD или можно скинуть на флэшку,поставить в биосе загрузку с usb и будет работать ?

[Deementor]

workoff, да, будет, только тебе потребуется:
Что потребуется

Для того чтобы создать загрузочный USB-диск в этом случае, следует воспользоваться одной из специальных утилит. Одна из самых простых программ такого рода - бесплатная утилита для форматирования и создания загрузочного диска от HP. Называется она довольно мудрено: Format Utility for HP Drive Key or DiskOnKey USB Device version 2.00.006 A или чуть проще: HP USB Disk Storage Format Tool v2.0.6. Хоть утилита эта и предназначена для сменных дисков от HP, опыт показывает, что она замечательно работает с устройствами от других производителей. Найти программу можно по адресу: http://h18007.www1.hp.com/support/fi...oad/20306.html.
Интерфейс утилиты более чем аскетичный и определяется минимальным набором ее функций: автоматическое определение типа и размера флэшки, полное или быстрое форматирование в FAT, FAT32 или NTFS. Если выбрать NTFS, то появится возможность сжатия файлов, что может пригодиться, если объем флэшки небольшой. С помощью HP USB Disk Storage Format Tool легко создать загрузочный диск с операционной системой MS-DOS. Для этого утилита запрашивает системные файлы DOS (IO.SYS, MSDOS.SYS, COMMAND.COM), путь к которым необходимо указать. Остальные файлы можно создать или скопировать вручную. Кстати, для загрузочного диска настоятельно рекомендуется выбрать файловую систему FAT, а не FAT32, так как практически все BIOS"ы последнюю не очень-то жалуют.
Гораздо большими возможностями обладает утилита FlashBoot (http://www.prime-expert.com/flashboot/index.php), которая, помимо прочего (всего - девять вариантов загрузочных модулей), позволяет создать загрузочный диск на базе загрузчика SysLinux (не стоит бояться Linux - все в нем почти так же, как и в старом добром DOS"е), или загрузчика Boot-CD от Bart PE (компактная версия Windows XP, которая содержит все необходимые системные инструменты для работы с ПК в случае беды). Однако в последнем случае емкость USB-брелока должна быть не меньше 256 Мбайт (больше - лучше, ведь тогда можно будет добавить на диск дополнительное ПО) и, кроме того, нужен также еще и установочный CD с Windows, а также программа Bart PE Builder. Но есть у программы и уникальные возможности, такие как создание флэш-диска для восстановления паролей Windows NT/2 000/XP, создание загрузчика Windows NT/2000/XP, дублирование загрузочных USB-дисков и создание их файлов-образов.

Копирайт не ставлю, ибо см. подпись, да и первоисточник найти очень сложно. Перекомпилированных и модифицированных статей пруд пруди. Поэтому и нет копирайта

[g1968]

Я что то решения проблемы не увидел, если не сложно ткните носом.

[hack]

Цитата: Сообщение от g1968 Я что то решения проблемы не увидел, если не сложно ткните носом.

Ткнул.

[PetBet]

- запускаем редактор реестра (пуск-выполнить-regedit), открываем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Нет так не дает запустить пишет что запрещенно . Саму болячку нашел и удалил через лайв CD , но теперь при запуске спрашивает этот файл(sond.exe) и не дает толком работать то одно запрещено то другое ,как можно выйти из положения , переустанавливать систему не желательно?

[hack]

Цитата: Сообщение от PetBet то одно запрещено то другое

не дает выполнить Regedit и Ctrl+Alt+Del (Диспетчер задач)? Скачайте AVZ - через неё можно выполнить разблокировку.
Файл -> Восстановление системы:
Скриншот

[Alex19700101]

Цитата: Сообщение от PetBet но теперь при запуске спрашивает этот файл(sond.exe) и не дает толком работать то одно запрещено то другое ,как можно выйти из положения , переустанавливать систему не желательно?

Воспользуйтесь консольной командой "reg". В гугле все вышеперечисленное описано.

[sashulyalya]

та же самая прискорбная проблема( попытаюсь решить описанными вами действиями.
только
2. Удали файлы blocker.exe и blocker.bin из директории C:\Documents and Settings\All Users\Application Data
там не имеется таких файлов(

[lordlangedok]

Люди внемлите моему совету чтобы в будушим таких проблем невозникало юзайте AD-Aware 2009 она эту заразу на лету ловит не дает ей пролезть на ком блокирует и уничтожает !!!!!

[Кирилиус]

Люди! Помогите! Пришел к человеку а у него эта хрень на сером прозрачном экране и просит отправить смс на номер 8385 с текстом cwm2009. Как с этим бороться кто-нибудь знает?

[BigViking]

Цитата: Сообщение от Кирилиус Люди! Помогите! Пришел к человеку а у него эта хрень на сером прозрачном экране и просит отправить смс на номер 8385 с текстом cwm2009. Как с этим бороться кто-нибудь знает?

Необходима вторая машина. В нее вставляем зараженый HDD
Ищем в Windows\System32\usrinit.exe (размер примерно 14 кило, год создания чуть-ли не 2006 или древнее) Переименовываем в любое имя.
Ищем там-же UsErinit.exe делаем копию и переименовываем ее в usrinit.exe
Вставляем хард обратно в больной комп.
Запускаемся.
Запускаем AVZ (заранее записанный на хард)
Восстанавливаем разрешения к допуску regedit (смотри выше в этой ветке)
Меняем в реестре usrinit на userinit

Сканируем всю систему от вирусов.