Снятие блокировки от троянов Winlocker

[RAØZHM]

Вот ссылка на материал для снятия блокировки от троянов Winlocker. + CD диск  программой для востановления системы.
http://www.ruqrz.com/?p=2939
Объем скачивания: 145 Мб.

[UDØXAU]

Саня, фигня это... Сейчас эти трои немного модифицировались...
Ночью попробую написать мануал, по нему у меня девочка-работник за минут 15 (из которых 10 уходит на загрузку) лечит комп.

[RAØZHM]

Сделай доброе дело, а то на сайтах инфы много, а толку мало. Я к примеру уже человек десять знаю кто получил копытом в коленку. Но мы то знаем что все очень просто.

[UDØXAU]

Расскажу вкратце, как  я избавляюсь от локеров:

- первым делом загружаюсь со своей live-usb с windows XP (это флешка, на которой находится рабочая версия винды)
- с помощью Total commander ищу exe-файлы примерно с такими параметрами как:
а) время создания равно тому, примерно сколько прошло с момента заражения;
б) размер менее 100 кб;

Зачастую это файл userinit.exe. Если есть возможность - отправляю его на virustotal.com. Если такой возможности нет - прячу его в архив и заменяю на файл со своей флешки, благо у меня есть такой
ТАкже, ищу все файлы с размером равным размеру этого  userinit.exe.
В реестре проверяю пути, с которых грузится винда, особенно параметр Shell и Userinit. Их очень часто  вири под себя и подстраивают.

Вот в принципе и всё (это если совсем кратко). Хотя, за те 2,5 года, что я вплотную ими занимаюсь, всякое бывало. Эта инструкция помогает в данный момент, что придумают вирусописатели и создатели генераторов завтра - никто не может предугадать.

[UA0ZED]

Расскажу вкратце, как  я избавляюсь от локеров:

Уважаемый RAØZHX, а вот что за хрень такая и как от нее избавиться: Почтовый ящик МАИЛ РУ открывается вижу письма, а открывая их просит авторизацию, вижу что ломанули, и вижу IP АДРЕС (чужой) в текущем моменте, в настройки по изменению пароля, не пускает, ну одним словом сволоч, ПОСАОВЕТУЙТЕ  ЛЕЧЕНИЕ 
С уважением UA0ZED 73 !!!


Сообщения объеденены: 24 Июля 2011, 09:02:29
Да по  ответу лучше пишите сюда , в личку  не смогу открыть 
Сообщения объеденены: 24 Июля 2011, 09:56:28
Ребята , разобрался, ВСЕ ДЕЛО В  БРАУЗЕРЕ ОПЕРА 11 ВЕРСИЯ, СМЕНИЛ НА 10.60 ВСЕ НОРМАЛИЗОВАЛОСЬ,
Сообщения объеденены: 24 июля 2011, 11:18:33
OPERA 1110 глючит, где-то здесь на форуме, кто-то уже об этом говорили. Вот еще одно подтверждение тому.

[RAØZHM]

Опера 11.0 и выше 100% глючная. Она самопроизвольно подключается чему-то когда вы работаете в интернете. И тратит ваш тарафик. За раз может выше 10 метров хапнуть, при этом все обновления данной программы отключены.  Если у вас нет программы которая выводит визуальный график состояния сети, (к примеру USB модем МТС, NetWorx 5.1.7  или другая программа) то вы можете налипнуть на метры. У меня такая фигня получилась 100 метров сожрала, пока я понял что это 11 версия Оперы. Перешел на 10.00 и все ОК.
Подключение может осуществлятся спонтанно и в разное время.


Этот вопрос обсуждался здесь:
http://kamrc.ru/index.php/topic,407.0.html

[UDØXAU]

Как я могу смотреть на эту ситуацию 

Почтовый ящик МАИЛ РУ открывается вижу письма, а открывая их просит авторизацию

Скорее всего, показывает Вам страничку из кэша (место, где браузер, в данном случае Опера, хранит страницы, для быстрого доступа к ним). Поэтому, обновя страницу, либо просто попробовав открыть любое письмо:

просит авторизацию

вижу что ломанули

Ломанули кого/чего? Ваш компьютер, или сам mail.ru?

вижу IP АДРЕС (чужой) в текущем моменте

C этого момента поподробнее. Какой провайдер (некоторые провы выдают или "серый"  ip-адрес, и тогда адрес один на огромную кучу людей, или выдают "белый" адрес, уникальный для интернета.

не пускает, ну одним словом сволоч

Знакомо такое состояние

ВСЕ ДЕЛО В  БРАУЗЕРЕ ОПЕРА 11 ВЕРСИЯ

OPERA 1110 глючит, где-то здесь на форуме, кто-то уже об этом говорили. Вот еще одно подтверждение тому.

Вот где вы все их берёте?  Почему у меня таких проблем не наблюдается? )))) Я обновляюсь только с офф. сайта, да и то, чаще через репозитарии...

Она самопроизвольно подключается чему-то когда вы работаете в интернете.

Переходи на тёмную сторону силы, тогда ты сможешь не только наказать её создателей, но и получить печеньки 

[RAØZHM]

Мы берем эти программы в самых отстойных местах у официальных диллеров. 

[UDØXAU]

Мы берем эти программы в самых отстойных местах у официальных диллеров. 

Ну вот и ответ )) А если серьёзно, хз... Может я попутно решаю проблемы, не замечая что там происходит )

[RAØZHM]

Если серьезно, то есть диск с программами к примеру "Зверь" или "Win 7", там к примеру куча разных программ (20-40) включая Оперу 9.0, ее ставишь, а потом обнавляешь, вот только где, это уже вопрос, т.к. она сама себя обновляет где-то и как-то, а потом вылазят козябрики и начинается....... танцы с бубном.

Почтовый ящик МАИЛ РУ открывается вижу письма, а открывая их просит авторизацию

Такая шляпа была и у меня, но я не помню как она самоустранилась. Кажется просто заново вбил пароль и логин в Опере и все.

[UDØXAU]

Если серьезно, то есть диск с программами к примеру "Зверь" или "Win 7", там к примеру куча разных программ (20-40) включая Оперу 9.0

А что мешает выкачать с офф сайта последнюю версию?
Да и хранить пароли от почты не особо секурно..

[RAØZHM]

Так я и скачал с офф сайта 11.0 версию, установил, а когда начал работать получилось потеря трафика в 100 метров, только из-за того что эта морда начала закачивать непонятно что.

[UDØXAU]

получилось потеря трафика в 100 метров

и куда она лезла??

[RAØZHM]

Я не знаю, просто в любое время спонтанно может подключиться и что-то закачивать, а что я не знаю.
Я ее вычислил путем сравнивания Мозилы и Оперы. Поработал на Мозиле минут 30 ничего все ОК, перешел на 11 версию Оперы и уже через 3-5 минут пошла закачка неизвестно чего. Я подождал закачку до до 10 метров, потом отключил. (Жалко трафик) Опять подключил такая же херня. И так раз 7. Насотревшись на это г., я установил оперу 10.00 и все сразу разрешилось. До сих пор работаю без проблем. 

[RAØZHM]

Еще раз возвращаемся к этой теме, т.к. сколько народу не говори, чтоб не нажимали подозрительные ссылки, бесполезно.

Коды SMS разблокировки Windows

Знакома ли вам такая ситуация?

Вы включаете свой компьютер чтобы поработать или просто послушать музыку посмотреть фильм. Но вашим желаниям мешает сбыться одна вещь. Вместо привычного загруженного рабочего стола вы видите окно с надписью о том, что ваш Windows заблокирован. Что бы разблокировать его вам предлагают отправить СМС с кодом на такой то номер. Сказать можно одно вы стали несчастливым обладателем Трояна Trojan.Winlock.

Вирус доводит вашу систему до того, что она не грузиться ни в обычном режиме, ни в безопасном. Запустить диспетчер задач так же не представляется возможным.

Описание избавиения от Trojan.Winlock на компьютере.

1.Перезагрузил компьютер. Во время загрузки нажал F8, появилось окно выбора загрузки операционной системы. Выбрал загрузка в безопасном режиме с поддержкой командной строки.
2. Когда система загрузилась в командной строке, набрал «regedit» и нажал Ентер.
3. Открылось окно редактора реестра. Сразу предупреждаю, что играться с реестром довольно таки опасная штука.
В разделе HLKMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon нашел ключ с именем Userinit и в поле значения поставил то, что там и должно стоять
C:WINDOWSsystem32userinit.exe Далее во вкладке Правка выбрал Разрешения и запретил администратору изменять эту строку.
4. Перезагрузился. Компьютер загрузился в обычном режиме, но вирус наш никуда не делся. Он был у меня в каждой папке на втором локальном диске. Ну теперь то с ним справиться не составит вообще никакого труда. Обновляем базу антивируса и запускаем сканирование. Все ваша система чиста.

Еще один способ удаления Trojan.Winlock.

Нам понадобиться бесплатный антивирус AVZ сохраненный на компьютере или на флешке.

Первый шаг как и в первом способе:

1.Перезагрузил компьютер. Во время загрузки нажал F8, появилось окно выбора загрузки операционной системы. Выбрал загрузка в безопасном режиме с поддержкой командной строки.
2. Когда система загрузилась в командной строке, набрал «explorer.exe» и нажал Ентер.
3.Открылось окно «Мои Документы». Теперь не составит труда перейти в папку с нашим AVZ. Переходим и запускаем его. Если у вас есть подключение к Интернету на зараженной машине, то обновите базу данных Файл >>Обновить.
4. Теперь в Области поиска выбираете локальные диски. Справа от этого списка «Методика лечения» на против «Выполнять лечение» ставим галочку. Далее идем Фай >> Восстановление системы. Ставим галочки везде кроме 18 пункта. И нажимаем «Выполнить отмеченные операции».

Все компьютер перезагрузится и вы можете пользоваться вашей системой.

Удаление баннера с рабочего стола, разблокировка Windows.
Как удалить баннер блокера-вымогателя с Рабочего стола без отправки СМС (SMS)?
Скачайте архив с утилитой AVZ.
Распакуйте архив с утилитой с помощью программы-архиватора, например, WinZip.
Скопируйте утилиту на flash-носитель.
Загрузитесь с LiveCD. Как правило, вредоносные программы данного вида оставляют возможность запуска на заблокированном компьютере только нескольких приложений: Internet Explorer, Outlook Express, чтобы пользователь мог отправить письмо злоумышленникам.
Скопируйте содержимое каталога с утилитой AVZ на рабочий стол пользователя заблокированного компьютера, переименуйте исполняемый файл утилиты с AVZ.exe на iexplore.exe (название исполняемого файла Internet Explorer).
Перезагрузите компьютер.
Войдите в систему под заблокированным пользователем.
Запустите с рабочего стола утилиту AVZ под именем iexplore.exe. Утилита запустится, т.к. программе Internet Explorer запуск разрешен.
В окне утилиты выберите пункт меню «Файл»   ;«Восстановление системы»отметьте все пункты, кроме пунктов "Полное пересоздание настроек SPI (опасно)" и "Очистить ключи MountPoints   ; MountPoints2" нажмите кнопку Выполнить отмеченные операции
http://support.kaspersky.ru/downloads/utils/avz4.zip

Вредоносная программа семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) - это программа-вымогатель.
Вредоносная программа семейства Trojan-Ransom.Win32.Digitala блокирует доступ к Интернету и выводит на экран сообщение о нарушении лицензионного соглашения.
Сообщение содержит требование - отправить смс с определенным кодом на указанный в сообщении номер, чтобы разблокировать доступ к Интернету.
Для борьбы с вредоносными программами семейства Trojan-Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34) предназначена утилита Digita_Cure.exe.
Утилита работает на x86 версиях ОС Windows: 2000, XP, 2003, Vista, 2008, 7.
Версии ОС Windows x64 не подвержены заражению вредоносными программами семейства Trojan-Ransom.Win32.Digitala.
http://support.kaspersky.ru/downloads/utils/digita_cure.zip

Скачайте по этой ссылке утилиту Dr.Web CureIt:
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

ВСЕ КОДЫ РАЗБЛОКИРОВКИ БАННЕРОВ

Cервис лечения VirusInfo - http://www.pc812.ru/help/help_computer_onlain.php
Лаборатория Касперского - http://sms.kaspersky.ru/
Компания Dr.Web - https://www.drweb.com/xperf/unlocker/
Компания ESET - http://www.esetnod32.ru/.support/winlock/
Сервис деактивации вымогателей-блокеров - http://www.pc812.ru/help/help_computer_onlain.php

Допорлнительно:
http://www.drweb.com/unlocker/index/?lng=ru">http://www.drweb.com/unlocker/index/?lng=ru
http://www.anti-winlock.ru/
http://support.kaspersky.ru/viruses/deblocker
http://www.esetnod32.ru/.support/winlock/
http://www.drweb.com/unlocker/index/?lng=ru
http://www.drweb.com/unlocker/index
http://news.drweb.com/show/?i=304&c=5
http://netler.ru/pc/trojan-winlock.htm

Советы как избежать Trojan.Winlock:


1. Ни в коем случае не отправляйте СМС – вы поощряете их, да и толку для вас от этого не будет.
2. Не переходите по сомнительным ссылкам. Даже если вам прислал ее друг. Соц сети ломают на раз два.

Ссылка...