Заблокирован Windows (Trojan.Winlock, etc...)

[Obivan]

by cinder
Обзор темы, все полезные ссылки собраны здесь

Часть первая. Онлайн

Сервис деактивации вымогателей-блокеров
http://virusinfo.info/deblocker/

разблокировщик Dr.Web от Trojan.Winlock
http://www.drweb.com/unlocker/index/

разблокировщик от Касперского
http://support.kaspersky.ru/viruses/deblocker

Сервис по разблокировке от ESET
http://esetnod32.ru/support/winlock.php

Часть вторая. Оффлайн

Ransom Hide - утилита для подбора кода разблокировки
http://www.nowa.cc/showthread.php?t=262083
http://mbty2010.narod.ru/

F.A.Q. Злобный троян-вымогатель «Windows заблокирован, пошлите смс на номер…. http://www.nowa.cc/showpost.php?p=3605040&postcount=9

Восстановление userinit.exe /StayeR/
Подробнее

1. Заводим установочный диск с виндой. Винда должна быть ОБЫЧНАЯ, БЕЗ автоустановки.
2. В самом первом меню жмем "R" для запуска консоли восстановления.
3. Входим в нужную нам копию Windows, вводим пароль администратора, если такового нет - просто Enter.
4. Появится командная строка с буквой диска и путем с Windows. Запоминаем, а лучше записываем этот путь. (По умолчанию C:\windows)
5. Вводим команду map src - получаем все буквы дисков. Нас интересует CdRom. Вид такой: D: \Device\CdRom0. (По умолчанию d: )
6. Вводим букву + : (напр. D: )
7. Заходим в папку i386, для этого пишем cd i386\
8. Финальная команда EXPAND userinit.ex_ пробел и указываем путь к папке windows, который мы записывали в пункте 4 ПРИБАВЛЯЯ в конце system32\userinit.exe т.е команда по умолчанию выглядит так : expand userinit.ex_ C:\windows\system32\userinit.exe
9. Перезагружаем машину - пишем Exit.

Если же имеем неправильную строку в реестре, то тут нужно завести LiveCD, в котором есть возможность редактировать удаленный реестр. Я для этого использую Live iNFRA CD. Там все просто - цепляемся к удал. реестру исправляем ключ Userinit и в путь...

Также

Специалист ЛК учит бороться с вирусом-шантажистом
http://www.securitylab.ru/news/378527.php

Главное антивирусное средство - голова!
http://habrahabr.ru/blogs/i_am_clever/56923/

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[pablo16]

Пипец народ мало того , что поймал этот вирус так теперь его разновидностей 3 штуки сидит (последний вариант на штатной заставке центра обеспечения безопасности - IE )

[alex_tailer]

Копец, у меня при загрузке появляеться черное окно антивирус онлайн, ваш комп заражен вирусом мы ограничиваем действие компа отправьте смс на номер и все будет здорово.... И самое паршивое не могу зайти даже в безопасном режиме, всплывает таже хрень. Что делать, подскажите пожалуста?

[rusmaxval]

Если вы отправили sms на пречисленные выше номера и ничего не получили а деньги с вас сняли, разбирайтесь с оператором - это он снимает деньги, почти 100% уверенности что деньги вернут.
чем больше жалоб тем быстрее оператор закроет этот номер!!!

[UmNic]

1. Ни в коем случае СМС не отправляем! Чаще всего, это лохоловушка для собирания денег.
2. На такие случаи держим CD или флэшку с Windows PE вот из этой темы. Портативная версия Windows, загружающаяся с CD или флэшки.
3. Загружаемся с этого носителя и запускаем бесплатную утилиту, например, Dr.Web CureIt!
Все!

[олегин]

Помогите пожалуста, у меня другая фигня, при загрузке системы если запустить хоть какой нибудь ярлык выделяются сразу все ярлыки изапускаются все программы, еще при загрузки системы какието звуки как в игре пиликанье звуки не биоса об ошибках короче вирусняк какой то, извините что не в той ветке написал просто там тема (какойто странный вирус) закрыта.
Пишу с другого компа.

[il72]

Я нашел сайт спецов, которые делают эту дрянь
_ttp://d-acc.com/
хакать сайты жаль не умею
мне на семерке сегодня пытались сунуть подобную дрянь на семерку, удалил легко
вот адрес гадости
_ttp://193.104.22.132/4-15/Install_Flash-Player-10_build.9102.exe
типа кодек для просмотра видео файлов
ладно успел у ребенка вовремя комп перехватить

[MajestiK]

Как бороться с вирусами - LOL статья ))))))
http://www.proza.ru/2009/11/03/683

Имхо

Сие творение подойдет тока для саааамых начинающих, датирована Ноябрем сиго года (сомнительно). Осилить такое "рукотвореное творение" тяжко ибо написано оно непойми для чего. Запостил просто для поднятия настроения))))

[ChiFF]

Мне тоже пришлось на компе друга как-то раз столкнуться с этой гадостью и я решил написать небольшую статейку у себя в контакте. Решил поделиться с вами, может быть среди кучи уже имеющихся ссылок поможет и моя статья

Способы самостоятельной борьбы можно почитать в этой статье (Комментаии тоже советую проесть - разные бывают случаи):
http://www.makak.ru/2009/05/27/vash-komputer-blokiro...

Если же с компьютером у вас туговато или не помогли способы из статьи выше, то можете попробовать следующий вариант:
Генератор кодов от Др.Веба:
http://news.drweb.com/show/?i=304&c=5

2 частных случая:

1)
Смс вымогатель на номер 4460 (скорее всего только для этого номера такая логика ешения проблемы).. вы нарушили лиц. соглашение DownloadMaster и т.д.

Для того, чтобы код сработал надо поставить дату: 15.12.09
Потом нам нужно переделать код, который нужно отослать по смс в присылаемый код. Для этого необходимо заменить цифры и буквы в нём согластно таблице ниже:

соответствие теста для смс - коду активации:
0 1 2 3 4 М 5 6 7 8 9 К - текст смс
8 9 1 2 3 3 4 5 6 7 8 1 - код активации

2)
Есть и такой вариант:
Всё делаем согластно первому случаю, но не по таблице, а по следующим правилам: Вместо К ставим 4, а к цифрам прибавляем 2. Однако иногда бывает, что вместо 9 нужно ставить 2. Вместо 8ки возможно надо ставить 0 - не сталкивался...

Пробуйте всё

[Phobous]

Чтобы остановить мошенников, нужно писать заявление в МВД (Департамент экономической безопасности) для привлечения к уголовной ответственности по статьям: ст. 163 Вымогательство и ст. 273. Создание, использование и распространение вредоносных программ для ЭВМ.
Поскольку мошенники являются контент-провайдерами и действуют через операторов связи, мошенников можно вычислить по номеру.
Только так можно найти на них управу.

Пример. Компания ИнкорМедиа ООО при оплате в размере 254,24 руб. без НДС (около 300 руб. с НДС) любезно обещает избавить вас от порнобаннера при отправке смс на номер 9800. megafon.ru
Ответчик установлен.

[Svet Konfet]

Буквально на днях вылечила пару компьютеров.
Выползало белое окно с замком и предложением отправить SMS на номер.

Оба вылечились очень легко.

1. Загрузка с LiveCD
2. Чистка скрытой папки TEMP (уже не помню как на XP путь идёт)
Вроде так: C:\Document and Settings\Имя_Юзера\Application Data\Local Settings\Temp

[kherson]

Цитата: Сообщение от MajestiK Как бороться с вирусами - LOL статья

Вот тут действительно статья best тройку машин вылечил читать всем

[cinder]

Сервис деактивации вымогателей-блокеров

http://virusinfo.info/deblocker/
Номер телефона: короткий номер
Текст сообщения: код для отправки

Конечно сервис пополняется по факту, но вполне может помочь с не 0day

[Чума]

Вот ещё программа RansomHide
http://www.nowa.cc/showthread.php?t=...ght=RansomHide
по крайней мере мне помогла найти код, который
здесь: http://virusinfo.info/deblocker/ не нашел

Добавлено:
разблокировщик Dr.Web от Trojan. Winlock
http://www.drweb.com/unlocker/index/

[cinder]

Если имеется стойкое желание дать по рогам авторам вирусов-вымогателей, то читайте
Как нахлобучить SMS-мошенников?
http://pazzive.livejournal.com/188661.html

[Abai]

Лично мне удалось полечить от такой бяки несколько компов такими вот способами
Для начала попробуйте здесь http://news.drweb.com/show/?i=304&c=9&p=0
файлы которые выводят показ баннера, хранятся в папке Windows/system32/ ищите там pllib.dll, toblib.dll, qyklib.dll, ppxlib.dll, putlib.dll и другие *lib.dll, el32.dll, они меняются в зависимости от того какой “плохой” сайт вы посетили, главное смотрите на дату его появления
c:\windows\system32\hnetcfg.dll
c:\windows/system32\el32.dll.
скачать программу HJTInstall и провериться http://depositfiles.com/files/2f3o0ibjj
скачать программу Spybot-Search & Destroy. Установить и сразу же после установки обновить. Выполнить полную проверку системы, найдутся файлы, которые следует удалить.
пройтись прогой Delete Doctor
делайте следующее: «Пуск» - «Программы» - «Стандартные» - «Служебные» - «Назначенные задания»! Удаляете все, что там есть и файлы тоже, на которые ссылка идет. возможно будут (файл syschek или systool)
пробуйте так: в безопасном режиме идем C-Program Files. Там может быть иконка в виде пустого окна, которую в обычном режиме не видно, с названием плагин и датой создания совпадающей с датой предыдущего включения компьтера (т.е. когда вы его подгрузили) Удаляем этот файл через шифт+дел. Перезагружаем комп в обычном режиме.