 Люди, помогите! | Jun. 27th, 2011 @ 09:57 pm  |
|---|
У одного очень хорошего человека появилась на мониторе надпись "Ваш компьютер заблокирован...", и так далее. Требуют выслать 400 рублей на номер телефона 8-988-503-80-99. Почему-то у меня не открывается сайт sms.kaspersky.ru, где должна лежать лечилка от этой заразы. Никто не поможет? Нужно туда пойти, ввести номер указанного телефона, получить код и сообщить мне его в коммах. У меня сайт Касперского вообще почему-то не открывается.Current Mood: не скажу))) |
"Чтобы удалить баннер, введите номер телефона (например, 89854120769, 3116) или счета (например, 9636256259)."
у них в базе нет ключа для этого номера
у меня тоже ничего не вышло "Здравствуйте! Если вам нужна помощь в удалении SMS вымогателей-блокеров, то воспользуйтесь утилитой Kaspersky WindowsUnlocker. Подробная инструкция по работе с Kaspersky WindowsUnlocker и ссылка на дистрибутив находятся тут: http://support.kaspersky.ru/viruses/solutions?qid=208641245Если Kaspersky WindowsUnlocker вам не помог, то вы можете обратиться на сервис Антивирусная служба 911: http://avs-911.ru (необходима регистрация)."
dr web предложил следующее
POLYNOM
99885522
816908
13910
SPEED
SALO
LOLA
GARDEN
TRAVKA
POKER
BANK
ALBERT
FRONT
APPLE
BMW
OPEL
GASH
SPAT
710394RD
6014500
52509
31337
makak77
zpo4301
6920567
281056
003-001-005-111-995-995-995
777888
333000
16342131
068414741
MUSTGO
62nr253211
424424
70000001
70000004
abcdefgh
Спасибо.
STARCRAFT 2
GmbH
9300
9100
PROTOSS
21186533
123123
111000
avothui0
000111
456456
654654
852852
147741
tadam
herbert
CHILDREN OF DUNE
FRANK HERBERT
gbpltw
RAMMSTEIN
qwaszxvbh
put
izvini (для ввода кода использовать комбинацию Win+R)
relby7534
kaka
sorysory
Спасибо. Выборочно попробовали - не помогло.
|
|
|
Один х., все эти деблокеры работают не всегда
|
(Link) |
|
Если блокер свежий - придётся ждать. Самый действенный способ - слить инфу с жёсткого и тупо переустановить винду. Кстати, винду лучше всего поменять на линукс, или, адептам виндовсов - ходите в инеты тогда через линукс, крутящийся на vmware или Virtualbox. Точно - никогда не хапните трепаков. И ещё. Флехи тоже через линуксы открывайте и будет вам счастье.
|
|
|
Re: Один х., все эти деблокеры работают не всегда
|
(Link) |
|
это самый нубский способ а не самый действенный
|
|
|
Re: Один х., все эти деблокеры работают не всегда
|
(Link) |
|
Нубский - искать решение на сайте касперского, а позже, когда винду уже переустановят, купить самый свежий антивирус.
|
|
|
Re: Один х., все эти деблокеры работают не всегда
|
(Link) |
|
ну почему же. такие он-лайн разблокировщики весьма полезны. сам несколько раз успешно пользовался. самое простое тут лайв сд и 5 минут в реестре.
переставлять винду это вообще сааааамый последний вариант. это должно быть что-то пострашнее баннера в автозапуске
Можно вбить код - game over man - это данные с сайта каспера
Сорри у моих друзей срабатывало неоднократно. Они процесс убивали через диспечер и к касперу. Он им такой код выдавал.
диспетчер не открывается. всё заблокировано.
При мне открывался - выключаете просто втупую питание а потом заново запускаете
Всё пробовали. Всегда надпись "Заблокировано". Во всех режимах, при любой загрузке.
Все проще. При загрузке операционной системы нажмите F8, затем Last Known Good configuration (Загрузить последнюю удачную конфигурацию).
не помогло((( а номер телефона изменился...
Человек не будет этим заниматься.
Либо как посоветовал lunachevoa, грузить последнюю удачную конфигурацию, либо грузится в сейф моде и в нём лечить.
в сейфмоде пробовали - то же самое окно с надписью "заблокировано". И с поддержкой командной строки то же самое. И последняя конфигурация тоже заражена(((
открылось. но внутренние ссылки все равно буквенные(((
<папка windows>\System32\drivers\etc
файл hosts
его нужно блокнотиком открыть и удалить всё содержимое
тогда будет весь касперский и по буквенным ссылкам
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
Всё это и удалять?
Не, можно не удалять, нет ничего
значит только по цифиркам :)
![[User Picture Icon]](http://lj.rossia.org/userpic/80782/2147507838) |
| From: | ![[info]](http://lj.rossia.org/img/imported-profile.gif) 1a1@lj |
|---|
| Date: |
June 28th, 2011 - 11:31 am |
|---|
|
|
|
|
(Link) |
|
Гениально)) Всё открылось.
Сам никогда бы не допетрил...
К сожалению, моя добрая знакомая тоже столкнулась с этой проблемой. Ввод кодов из антивирусных баз данных, загрузка в безопасном режиме, откат по дате через BIOS не помогли. Вирус во-первых не привязан к таймеру, а во-вторых гнездится в реестре.
Рекомендую следующее - скачать с сайта Dr.Web антивирусный образ LiveCD, в который входит програма Midnight Commander. С её помощью Вы заходите в Documents & Settings, и в папках All Users, Admin и т.д., и в находящихся в них папках Application Data удаляете все exe'шники - тем более, что по дате создание файла станет понятно, вирус это или же нет.
Вовсе не факт что поможет. Буквально на днях товарищу помогал - у него такая же фигня прописалась совсем не в Application Data, а во временную папку, и еще в c:\windows\system32 вместо userinit.exe и taskmgr.exe. Для убития пришлось цеплять винт на другой комп, чистить, после чего накатывать ХРюшу поверх, не полностью переустанавливая а в режиме восстановления. Все получилось.
Ага. Скорее всего, так и сделаем.
Проверенный метод:
1)извлекаем ж/д.
2)Подключаем к чистому компу
3)лечим практически любым антивирем(у меня MS Security Essentials, но это без разницы)
4) подключаем ветки реестра hkcu и hklm к местному реестру
5) в KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
должен быть параметр Shell=Explorer.exe
6) пробуем вернуть все на место и запустить.
7) при плохом сценарии придется восстанавливать ещё несколько ключей реестра, обычно вышеприведенного хватает.
Я и посоветовал человеку именно этот метод. В реестре человек не работал никогда (чайник, типа:), а я - очень давно. Как там искать параметр shell=Explorer.exe?
Вчера сам поймал этот троян. Ничего не помогало. Выручил Kaspersky WindowsUnlocker, который входит в Kaspersky Rescue Disk 10. Тут описание: http://support.kaspersky.ru/viruses/solutions?qid=208641245. В кратце, как это получилось у меня: 1. Скачал образ программы и залил на CD (можно на флешку). 2. Загрузился с CD (флешки). 3. При загрузке почему-то очень долго пришлось ждать, когда программа создаст файл подкачки (ок.3,5 ч). 4. Далее запустил Kaspersky WindowsUnlocker, который написал, что всё разблокировал. Вроде бы всё, я правда, ещё встроенным в Kaspersky Rescue Disk 10 антивирусом проверил все диски. Система и в правду разблокировалась:)
1. запускаем regedit.exe (Пуск-выполнить)
2. выбираем нужный куст реестра - HKEY_LOCAL_MACHINE и в меню Файл щелкаем на загрузить куст
3. загружаем соответствующий файл больного реестра x:\Windows\system32\config\software где Х - это зараженный диск и подключаем его под любым именем
4. там идем по дереву - Microsoft\Windows NT\CurrentVersion\Winlogon
И там ищем как раз параметр Shell=Explorer.exe
+1
дополнения и замечания:
- можно воспользоваться LiveCD
- после исправления параметров реестра подключённые кусты ОБЯЗАТЕЛЬНО надо ВЫГРУЗИТЬ иначе не сохранится
- вирус может быть как software так и в профиле пользователя - ветка HKEY_CURRENT_USER (C:\Documents and Settings\%username%\NTUSER.DAT)
Объясните для чайников, что такое "выгрузить подключенные кусты"))) Я более 5 лет реестром вообще не занимался.
после того как сделали все манипуляции в реестре - прав кл мыши на подключённом кусте - выгрузить куст
только что лечил подобный вариант..
дело было на 7ке..
все стандартные исхищрения испробовал. безрезультатно..
думал уже сносить, при загрузке с установочного диска 7ки, есть пункт восстановление системы и несколько подпунктов. нужный - откат к точкам восстановления(на хр такого нету, про висту не скажу). все окъ. после прогнал антивирем...
з.ы. переходите на убунту.. ;)
|
|
|
точка восстановления
|
(Link) |
|
У меня это было. Надо при загрузке жать Ф4 и откатить точку восстановления назад. помогло сразу.
![[User Picture Icon]](http://lj.rossia.org/userpic/79595/2147495676) |
|
|
|
Re: точка восстановления
|
(Link) |
|
Спасибо, совет очень ценный. Только что попробовали. Результат:
- Сначала выбор диска для загрузки. Выбрали "С".
- Затем появляется меню:
Docume~1
$Extend
ATI
Konfig sys
FLy Lin~1
MSO sash
Progra~1
PC test
Recycler
System~1
Windows
Ещё одну менюшку удалось выкрутить:
Admin
Alluse~1
Defo~1
Locals
Networ
Под каким из них кроется восстановление системы? Progra~1, а потом искать System restore?
Возможно смогу помочь.
какой именно банер блокирует винду?
Они бывают разные. За разными банерами стоят разного типа вирусы. Не против всех помогают коды.
На синей верхней полосе "Компьютер заблокирован!"
по середине текст "Ваш компьютер заблокирован за просмотр,копирование и тиражирование видеоматериалов содержащих элементы педофилии и насилия над детьми.........."
требует пополнить счет 8-911-***-**-** (он меняется при перезагрузке) на 400 р на голубом фоне
снизу на синей полосе сатья УК
Такой?
Именно такой. По поводу цвета полосы и статьи УК не знаю, вчера не спросил, пострадавший компьютер находится за 500 километров)) Номер другой, я уже выяснил - Краснодарский край. Нашёл вот такой способ лечения: http://www.evgeniystepanov.ru/komputer-zablokirovan.php, но там надо много чего делать в реестре, боюсь, что без моего личного присутствия владелец не справится...
мы можем полечить, но тока вручную, если, скажем, ноутбук. Мой милый такое уже чинил, говорит возни много, но можно. Она эта вирусня самоперезаписывается и вообще очень ловко внедряется. Если есть возможность подвезти комп и время - то сделаем.
Большое спасибо)) Но комп далеко, за 500 километров)) Владелец только через 2 недели будет в Москве, а две недели без компа жить невозможно...
Недавно словил такой же винлокер. Воевал, воевал в конце концов убил трояна. Но повредился реестр (дрогнула где-то рука хирурга). В конце концов просто переустановил систему, предварительно сохранив все нужное. Отчет тут: http://vk.com/note8190563_11080597 Без сети плохо. Особенно в лечении. Но выход есть. Есть вариант грузить систему с CD диска. Мой называется MiniPE http://www.netzor.org/2007/01/15/minipe-xt-v2k5.html . Для этого потребуется в биосе указать с чего грузиться. И в этом случае неважно какие там на винчестере трояны и прочая хрень. Диск позволяет лечить винчестер, работать с реестром и ВЫХОДИТЬ В ИНТЕРНЕТ, где можно поискать информацию по вопросу лечения. (другой вопрос где этот аварийный диск взять, когда гром уже грянул. У меня он был - уже легче). В моем случае коды не помогли, а на касперском увидел мой банер и прочитал, что раскодировать никак невозможно. Отправка денег тоже ничего не дает, кроме обогащения жуликов.
Я хотел добавить вот што: если именно на Вашем компе (не на зараженном) не удаецца зайти на kaspersky.ru, то, значит, проблемы и у Вас тоже.
| From: | (Anonymous) |
|---|
| Date: |
June 28th, 2011 - 03:38 am |
|---|
|
|
|
|
(Link) |
|
Игорь, добрый день.
Подобную проблему как-то лечил антивирусной утилитой AVZ.
http://sonikelf.ru/windows-zablokirovan-otpravte-sms-ili-naglost-vtoroe-schaste/
вот здесь неплохое описание -- как лечиться.
(Арк. Шин.)
У Dr.Web на сайте где-то была специальная лечилка от этой заразы.
Скрин есть возможность вставить?
по описанию понял, что не сталкивался с таким, но скрин бы меня убедил точнее. Визуал )
Да я не уверен, что там что-то произойдёт при нажатии кнопочки Prnt Scrn. Уж если в защищённом режиме висит надпись "Компьютер заблокирован"...
| From: | (Anonymous) |
|---|
| Date: |
June 28th, 2011 - 09:50 am |
|---|
|
|
01
|
(Link) |
|
Попробуйте программу MalwareBytes Anti-malware, она должна помочь.
| From: | (Anonymous) |
|---|
| Date: |
June 28th, 2011 - 02:25 pm |
|---|
|
|
Что делать.
|
(Link) |
|
Была и у меня такая проблема. Учитывая то, что вы второй день уже с ней воюете, и то, что ВЫСОКО квалифицированному специалисту компьютер показать, насколько я понял, затруднительно — вот вам не очень изящный, но зато эффективный метод.
Я тоже некоторое время морочился с кодами, паролями, узнал, что абсолютно бесполезно (как мне сказали) посылать деньги на указанный в окне вируса номер и тому подобное.
Потом просто снял винчестер со своего компьютера, поставил его на другой компьютер вторым винчестером (т.е. Slave-ом), проверил антивирусником (ESET NOD32, и он нашёл вирус), и переписал нужные мне файлы. Лично мне одного диска DVD хватило. Потом переустановил Windows. Всё!! Дело займёт около двух часов! И гарантия того, что вируса не осталось.
Да, скажут некоторые — примитивно — операционку не поднял, реестр не исправил… «Не эстетично, зато дёшево, надёжно и практично» (с) «Бриллиантовая рука» :-)
P.S. Когда (или если) будете свой винчестер ставить на чужой компьютер не забудьте там сзади на нём переставить перемычку с Master (т.е. «главный») на Slave («подчинённый»). Если что-то недостаточно понятно написал, то могу прокомментировать подробнее.
С уважением, Дуб Зелёный
я просто откатила систему назад через безопасный режим. помогло.
свежих кодов на сайте нет.
|
|
![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small}