Что нового

Windows заблокирован..., решение.

Статус
Закрыто для дальнейших ответов.
http://s004.**********/i208/1001/89/bd0d14317af9.jpg

Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных.

Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось попотеть. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее biggrin.gif



Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором smile.gif Я вроде ниче не блокировал.

При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.

Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.

DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]

Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.

Удалил все ненужные ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше. А ведь секретарша, думала уже СМС отправить за 300 рублей


Скопировано с gomel-sat.net
 
Последнее редактирование:

emil40

.
3/2/06
2 244
821
Россия, Тверь
Я такую дрянь ловил не раз! Но у меня свои действия- снимаю винт и на другой машине проверяю на вирусы(если нод не ловит, то веб ниразу не подводил).
 
Скачай с нета DrWeb Live CD, запусти с диска и прогони им все жёсткие диски. Правда, при этом хорошо ловит и кряки.
 
Последнее редактирование модератором:
23/12/08
121
8
43
Новокузнецк
Если вы словили "смс-вымогателя" и есть возможность выйти в инет с соседней машины/ноута/телефона - можно попробовать подобрать код активации используя эти ресурсы:
купить чтобы получить доступ к скрытому контенту.
,
купить чтобы получить доступ к скрытому контенту.

После чего нужно скачать любой бесплатный сканер
купить чтобы получить доступ к скрытому контенту.
или CureIt! и прогнать систему на вирусы. В особо сложных случаях в AVPTool присутствует возможность ручного лечения (там внутри по вкладке всё описано). Примерно та же возможность есть в
купить чтобы получить доступ к скрытому контенту.
.

p.s. НЕ реклама чего либо. Просто полезная информация.
 

Mumang

.
22/9/08
1 883
546
40
Санкт-Петербург
Вот ещё решение если коды не помогают.

Для тех у кого вылезет такая дрянь прикладываю прогу combofix - скачайте про запас,даже с порнухой в полэкрана запускается и с Live CD.С компами дружу давно и то руками вылечить не смог.Если не помогают коды с сайта или второй комп недоступен - прога.
Вырвал бы ноги этим вирусописам,хорошо выходной сегодня,если работа встанет - радости мало.С этим думаю согласны все.
Прога простейшая - запускаете,щёлкаете всё время Enter,сама перезагрузит и пролечит.
Внимание - бывает пролечивает до первой перезагрузки,потом по новой,поэтому после неё просканьте антивирем со свежими базами.
Нервов и матов потратил много,не желаю никому)))
С Live CD тоже работает.
Текущий антивирь ругается на *bat для загрузки,при работе его отключить.
Пользуйтесь))):icq05:
 

Вложения

11/2/09
356
166
РФ Уфа
Небольшое дополнение......

1. Кто то начинает переустанавливать систему, кто то вообще форматирует жесткий диск из за этого баннера! Но не стоит впадать в такие крайности, все просто лечится и вся гадость удаляется без проблем. Главное спокойствие и для этого есть несколько способов. Первый. Если хотите посмотреть какие то для вас неизвестные сайты, то лучше пользуйтесь браузером Opera, самый безопасный браузер на сегодняшний день.

Главные файлы которые выводят показ на страницах браузера, хранятся в папке Windows/system32/ ищите там pllib.dll, toblib.dll, qyklib.dll, ppxlib.dll, putlib.dll и другие *lib.dll, они меняются в зависимости от того какой “плохой” сайт вы посетили, главное смотрите на дату его появление, если оно появилось тогда, когда вы увидели “отправьте смс с сосущей девочкой” на страницах браузера, то смело удаляйте этот файл(ы).

Вот самый быстрый ход выполнения задачи устранения гадости:

а. Эксплорер - Сервис - Управление надстройками - LexLibVideo Plugin - Отключить. Закрываем браузер.
b. Мой компьютер - Локальный диск С - Поиск файлов и папок - *lib.dll - Удалить
c. Пуск - Выполнить - regedit - ОК - Правка - Найти - LexLibVideo Plugin - Удалить всё что найдётся.

Если что то не понятно, то далее открываем браузер, идем Сервис - Надстройки IE (в английском варианте Tools - Manage addons), там ищем два-три плагина с стандартным dll расширением и с неизвестным именем в котором стоит AVI, MPEG формат, возможно еще название Lexlibinstaller или LexLibVideo Plugin (все что относится к медиа плеерам не брать в расчет) и тупо их отключаем. Сами по себе эти файлы не являются вирусами, это обычные надстройщики над браузером, только вредные Так же не забудьте удалить все временные файлы интернета (IE - Сервис - Свойства обозревателя - закладка Общие - Очистить (удалить) временные файлы интернета)

2. Если вы ребенок 12-14 лет, как в том 8 случае и боитесь своих предков как огня, то для начала можете отключить показ картинок в браузере, дабы не светить голых теток на экране, делается это так, в IE - Сервис - Свойства обозревателя - Дополнительно - убираем галочки “Воспроизводить анимацию на веб-страницах” и “Показывать изображения” и потом уже со спокойной душой уничтожать следы рекламного зловредного порно-баннера

3. Попробуйте просканировать компьютер на вирусы и шпионские модули с помощью программ-утилит CureIt от DrWeb, AdAware и Spyware Terminator

4. Есть очень хорошая утилита под названием HijackThis, выискивающе все то, что загружается системой, но это программа подходит для тех, кто хоть немного разбирается в Windows и не по наслышке знает что такое реестр. В ином случае вы можете удалить важные системные файлы или пути к ним. Но раз мы запустили программу, то работаем с ней, итак, после сканирования нужно проставить галочки в места где обнаружена гадость, как определить что это гадость, об этом было написано в 1 пункте.

5. Чтобы не “хавать” такие картинки в будущем, то надо отключить ActiveX в браузере IE, через Сервис - Свойства обозревателя - Безопасность - жмите на “Другой…” и там внизу есть несколько пунктов, которые нужно Отключить, и там же до кучи еще запретить всплывающие окна.
Для браузера Firefox, поставьте плагин noscript - всякой дряни станет меньше в разы.

6. Если у вас включено “восстановление системы” то можете вернуться на день назад, выбрав контрольную точку для восстановления в Панель управления - Система. Но этот способ для тех, кто боится таких слов как “удали в реестре”, “ищи в папке system32?

7. Последний совет: Никогда не устанавливать не проверенные программы\скрипты\плагины\кодеки с НЕИЗВЕСТНЫХ ресурсов, а если еще речь идет о порнухе, то шанс лохануться есть 99%, и еще совет НИКОГДА не вводите паспортные данные и тем более данные кредитных карточек на подобных сайтах.

ЗЫ: Интересно, кто нибудь запомнил какой номер там прописан для отправки SMS ? По сути СМС-биллинги должны наказывать за такие дела…

ссылка на статью
купить чтобы получить доступ к скрытому контенту.
 
Тоже ловил такую дрянь помог диск MultiBoot там есть все начиная с взломщика поролей кучей антивирусов до полноценной винды и кучей разных утелит
 

Demwe

.
3/6/07
22
0
Ukraine
Иногда интернет и сеть перестают работать на компе, тогда может помочь winsock reset.
Введите в командной строке netsh winsock reset и нажмите клавишу ВВОД. После выполнения команды перезагрузите компьютер.
 
Для безопасной работы с любыми потенциально опасными программами или вирусами я использую прогу "шадов юзер" рекомендую.)) После перезагрузки никакие не запланированные изменения не сохраняются. Ось стоит как будто и небыло ничего)))
 

Demwe

.
3/6/07
22
0
Ukraine
Программами такого типа Shadow User , Shadow Defender и другими шадов надо ставить и настраивать до того как :) , а так программа хороша , главное что не тормозит, даже на целероне 800 работает незаметно.
 
И ещё

Всевозможные варианты ответных кодов на баннеры (вирусы) просящие отправить sms c с определённым текстом на определённый короткий номер. База от 08.03.2010 г. + утилита для удаления подобных вирусов.
 

Вложения

Последнее редактирование:
Через пару часов сама пропадает,даже раньше(перегнул я с парой часов); загружаешся в сейф мод(загрузка пройдёт) и чистишь реестр от мусора,прог навалом в инете;если этот вариант не подходит,просто ожидаешь когда она пропадёт с экрана(это будет не сомневайся,проги такого типа частенько попадаются в сети)у меня такая фигня на Хрюше была,а вот чтобы её удалить из системы,эт надо постараться,как сказано выше в посте,помочь может AVZ(под семёрку),сканер-антивирь,но лучше всего ручная чистка реестра и иже с ним(рунет такими прогами перенасыщен) и конечно системку не надо забывать(тоже чистим,удаляем,заменяем).Ручками лучше всего получается;долго,но качественно.
 
Последнее редактирование:
9/6/10
1
0
Тверь
МОжно воспользоваться режимом "восстановление системы". В этом случае необходимо любым доступным способом войти на C:\\Windows\system32\restore\rstrui.exe и провести процедуру восстановления на день когда этого не было. можно выйти на диспетчер задач Windows. Он окажется за закрывающим окном. Внизу на баннере необходимо выбрать режим "переместить" и курсором выдвинуть за пределы зарытия, чтобы была видна кнопка "новая задача". В ней можно открыть командную строку и добраться до запуска указанного выше файла, открывая директории. Проверял несколько раз, все работает. (Говорят есть версии Windows без этой процедуры)
 

d311

.
26/11/08
70
7
Россия, Аша
Используйте бесплатно разблокировщик Dr.Web от Trojan. Winlock

купить чтобы получить доступ к скрытому контенту.
 
Последнее редактирование:

ahtoh_burn

Массовик-затейник
.
30/9/07
818
482
51
Россия, Калтан
Ерунда, один раз только помогло, потом ни фига, постоянно тащат такое. Единственное решение - снять винт, подключить его к другому компу и запустить свежий CureIt. Вот единственное 100 процентное решение.
 

d311

.
26/11/08
70
7
Россия, Аша
Ерунда, один раз только помогло, потом ни фига, постоянно тащат такое. Единственное решение - снять винт, подключить его к другому компу и запустить свежий CureIt. Вот единственное 100 процентное решение.

Как вариант можно еще попробывать разблокировщик от Касперского, но Dr.Web ни разу еще не подводил
купить чтобы получить доступ к скрытому контенту.
 
Разблокикую такие компы, которые последнее время таскают в день не по одной штуке только Dr.Web разблокировщиком, после того как уберётся баннер-вымогатель запускаю обновлённый AVZ утилиту, в ней есть все возможности для полного сноса этой заразы с компьютера. Бывает что даже установленный и обновлённый антивирус при запуске сканера ни чего не находит, но при перезагрузке компа баннер-вымогатель появляется вновь. Удачи!
 
Бутаюсь с Hiren's Boot CD, гружу с него винду PE, открываю Registry Editor PE, подключаю в него реестр, правлю вышеописанные ветки реестра, перезагружаюсь, радуюсь жизни. Метод работает уже столько, сколько эти вирусы ходят, еще есть место, где вирь себя может зарегить. Это обозваться, как сервис и прописаться в HKLM/Software/Microsoft/Windows NT/svchost/netsvcs. Проблемные - это были только Sality и Kido (Confinker), первый вообше руками не реал вычистить, с кидо попроще.
После удаления вируса, советую проверить файл \system32\drivers\etc\hosts на наличие левых записей и сбросить таблицу маршрутизации "C:\>route -f", затем выполнить "Исправить" на локальных сетевых подключениях.

---------- Сообщение добавлено в 06:21 ---------- Предыдущее сообщение было от в 06:19 ----------

Так же рекомендую иметь на вооружении Process Explorer.
 
Пришел к выводу что эти все правки в реестре фигня полная. В любом случая винда запорота и все равно если банер и снимиться что-нибудь да будет глючить. А клиент платит за то, что бы у него все работало. По этому действую просто и топорно через win pe с hiren boot cd сохраняю весь пользовательский мусор. Если надо разбиваю диск и сливаю мусор туда. После ставлю все по новой. А все эти правки реестра ерунда. Результат ненадолго. Так можно и все данные потерять. Восстанавливал уже данные после таких чисток реестра. Последние винлоки при подчистке реестра после запуска винды стирают mbr или еще какую гадость делают. В итоге винт видиться как пустой или вообще не видиться.
 
Пришел к выводу что эти все правки в реестре фигня полная. В любом случая винда запорота и все равно если банер и снимиться что-нибудь да будет глючить. А клиент платит за то, что бы у него все работало. По этому действую просто и топорно через win pe с hiren boot cd сохраняю весь пользовательский мусор. Если надо разбиваю диск и сливаю мусор туда. После ставлю все по новой. А все эти правки реестра ерунда. Результат ненадолго. Так можно и все данные потерять. Восстанавливал уже данные после таких чисток реестра. Последние винлоки при подчистке реестра после запуска винды стирают mbr или еще какую гадость делают. В итоге винт видиться как пустой или вообще не видиться.

Ерунда только для тех, кто не понимает, что делает в реестре. А для тех, кто хочет осознать, есть подробные описания действий вирусов в вирусных базах. Например,
купить чтобы получить доступ к скрытому контенту.

MBR ужа давно защищен как на уровне BIOS, так и на уровне ОС от дейсвий паразитов. Так же трояны не оринетированы на разрушение системы, те времена давно прошли, вся деструктивная активность вирусов направлена на самозащиту, не более. Ни один вирус не будет вредить файловой системе своего носителя, ибо зачем?
А править реестр никто не заставляет, есть желание переустановить систему, убить пару часов жизни на это "увлекательное" занятие - пожалуйста! Я предпочитаю тратить на чистку не более 15 минут.

---------- Сообщение добавлено в 11:53 ---------- Предыдущее сообщение было от в 11:48 ----------

Максимум таблицу mft уронят, а вот прибить mbr вируснёй это 1 процент из 100. И точно не винлокерам по силам...
Опять же повторюсь, все всем по силам, просто это нафиг никому не надо. Вирус должен зарабатывать деньги, а не рушить собственных кормильцев.
А все падения файловых систем и прочих - всего лишь результат действий либо кривых админов-лекарей, либо криворуких разработчиков вирусов. Очень много вирусни написано криво, эти заразы помимо вреда, еще и глючат (Грузят ЦП, вешают FS, BSOD....).
 
Очень простой способ решения данной проблемы необходимо для начала перевести время в биосе на то когда этой дряни ешё небыло потом загружаемся,банер пропал, теперь можно систему почистить или востоновить задним числом.
 

Mumang

.
22/9/08
1 883
546
40
Санкт-Петербург
Очень простой способ решения данной проблемы необходимо для начала перевести время в биосе на то когда этой дряни ешё небыло потом загружаемся,банер пропал, теперь можно систему почистить или востоновить задним числом.

Не панацея совсем, модификаций как у дурака фантиков, есть наборами даже недавно сталкивался что и с 1 раза и вирусня и баннер и фиг знает что, систему прибило конкретно и пришлось из под LiveCD данные сливать на отдельный Hard...
 
Статус
Закрыто для дальнейших ответов.

Кто читал эту тему (всего: 8) Детально

Верх Низ