Если ваш антивирус нашел что то подозрительное в сборке!!! Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
Почти все из нас сталкиваются периодически с блокерами и порнобанерами.
В связи с этим и создана эта тема.
Ресурсы, на которых можно найти коды разблокировки.
Скрытый текст Скрытый текст Скрытый текст Скрытый текст Скрытый текст
Внимание всем пишущим!
Прежде чем задавать вопрос, внимательно изучите материалы данной темы, а так же прочитав Скрытый текст и раздел Скрытый текст.
Квинтэссенция темы
Спойлер
Все СМС-вымогатели, блокирующие Ваш компьютер, направлены только на обогащение их создателей. Вместе с ними удается обогатиться еще недобросовестным людям из сервисных и не сервисных центров, которые часто вместо быстрого лечения от блокираторов, предлагают платную переустановку системы, естественно вместе с платной переустановкой софта, пересохранения нужной пользователю информации, потери пользовательских настроек присутствовавших в системе.
Не спешите помогать этим людям в их корыстных целях.
Попробуйте сначала самостоятельно избавиться от этих вымогателей.
ЧАВО (FAQ) по материалам этой темы
Спойлер
Вопрос: А каким образом происходит заражение? Ответ: На сайтах с подозрительной и не очень подозрительной тематикой всплывает окошко якобы для установки кодеков или еще чего нибудь, вы соглашаетесь и становитесь активным участником SMS лохотрона
Вопрос: У меня установлен антивирус, значит мне SMS лохотрон не грозит? Ответ: Как правило, антивирусы пропускают эту заразу, да и не редко пользователь сам из любопытства жмет на разные цацки на лохотронных сайтах, игнорируя вопли антивирусов.
Вопрос: Если баннер закрывает весь экран и ничего не дает сделать, что можно предпринять? Ответ: Во время сообщения баннера вызываете экранную клавиатуру, там в свойствах вкладка "перейти на веб-узел майкрософта" кликаете, он открывает вам эксплорер, и с него ходите по компу и удаляете всю гадость, только не кликайте на окно лохотрона, иначе все свернется
Вопрос: Была сделана переустановка системы дважды с полным форматированием дисков, но проблема осталась Ответ: Если терять на диске уже нечего, форматировалось все, что можно было отформатировать, а зараза опять появляется из ниоткуда и есть подозрение на MBR вирус(их недавно несколько свежих родилось), то вот мой личный план действий.
1. Для надежности обнуляю и заново настраиваю BIOS(обжегшись на молоке стоит подуть и на водку).
2. Запускаю с компакт диска Victoria, стартую тест поверхности в режиме erase 256 sect. Затираю всю нулевую дорожку вместе с MBR. Получаю неинициализированный диск, как будто с завода.
3. Запускаю установку системы на неразмеченное пространство с нарезанием основного раздела нужной формы в процессе установки.
4. Проверяю на свежеустановленной системе выход в инет, на почту и т.п.
5. Скачиваю свежую версию антивируса и устанавливаю. (собственными перезаписываемыми носителями пока не пользуюсь до обеспечения надежной антивирусной защиты).
6. Отключаю к чертовой матери автоплей со всех носителей, запускаю сканирование всех флешек подряд антивирусными сканерами, флешки открываю только в тотал командере с отключенным показом иконок.(Stuxnet использует как раз уязвимость винды при использовании иконок).
Вопрос: Куда можно жаловаться на SMS лохотронщиков? Ответ: В полицию и Скрытый текст
Вопрос: После перезагрузки пустой экран(без рабочего стола) Ответ: Удали ключ реестра
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Debugger"="ntsd -d"
Вопрос: Ответ:
Скрытый текст
Желающим попробовать свои силы в самостоятельном удалении баннера:
Скрытый текст: применим в случае если файл userinit.exe заменён файлом локера.
Скрытый текст: применим в случае если файл userinit.exe не заменён файлом локера
Скрытый текст: применим в случае если модифицирована загрузочная запись (MBR)
Скрытый текст: применим при удалении локера "22CC6C32" Скрытый текст: Удаление локера AS
Все операции проводить ТОЛЬКО на виртуальной машине (VirtualBox, входит в состав WPI)
Проект Уважаемого модератора glax24: Скрытый текст
Еще несколько вариантов удаления локеров. Скрытый текст
Antiwinlocker LiveCD с сайта Скрытый текст
Winlocker: Скрытый текст . Скрытый текст . Скрытый текст _________________ Не профи, но для любителя тоже неплохо...
Новый винлок блокирует систему, меняя пароль пользователя 13 марта 2012 года
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщает о появлении нового троянца-блокировщика, добавленного в вирусные базы под именем Trojan.Winlock.5729. Особенность этой программы-вымогателя заключается в том, что она блокирует операционную систему, используя штатные средства Windows, путем изменения пароля локальных пользователей.
Традиционно программы-вымогатели используют для блокировки входа в операционную систему специальное приложение, заменяющее собой стандартную оболочку (shell) Windows или файл userinit.exe и демонстрирующее на экране компьютера соответствующий текст. Одновременно вредоносная программа обычно отслеживает и предотвращает запуск различных вспомогательных утилит, таких как Диспетчер задач, Командная строка, Редактор реестра и т. д. Совершенно по иному, гораздо более простому, но весьма оригинальному пути пошли авторы Trojan.Winlock.5729.
Троянец скрывается в установочном дистрибутиве популярной программы Artmoney, предназначенной для «накрутки» различных ресурсов в компьютерных играх. Помимо реального установщика Artmoney, инсталлятор содержит три файла: измененный файл logonui.exe с именем iogonui.exe (этот файл отвечает за демонстрацию графического интерфейса при входе пользователя в Windows XP) и два самораспаковывающихся архива, содержащих bat-файлы. При загрузке инфицированного инсталлятора запускается первый из них, password_on.bat. Данный файл содержит набор команд, выполняющих проверку операционной системы: если на жестком диске присутствует папка c:\users\, что является характерным признаком операционной системы Windows Vista и Windows 7, вредоносные компоненты удаляются, если же такая папка отсутствует, троянец считает, что он запущен в Windows XP. В этом случае Trojan.Winlock.5729 модифицирует системный реестр, подменяя при загрузке Windows стандартный logonui.exe собственным файлом iogonui.exe, и меняет пароль учетной записи Windows для текущего пользователя и локальных пользователей с именами «admin», «administrator», «админ», «администратор». Если текущий пользователь работает в ограниченной учетной записи, работа троянца прекращается. Еще один bat-файл — password_off.bat — удаляет все пароли и возвращает в системном реестре оригинальное значение UIHost.
Файл iogonui.exe представляет собой настоящий аутентичный файл logonui.exe из комплекта поставки Windows XP, в котором с помощью редактора ресурсов была изменена стандартная строка приветствия Windows на требование отправить платное СМС-сообщение.
Таким образом, выполнив выход из системы или перезагрузку, пользователь уже не сможет осуществить вход, поскольку пароли всех учетных записей пользователей были изменены.
Сигнатура данной угрозы добавлена в вирусные базы Dr.Web. Если вы стали жертвой этого троянца, для входа в систему используйте пароль «Спасибо!» (без кавычек), после чего Trojan.Winlock.5729 автоматически сбросит пароли учетных записей. Если этого не произошло, можно вручную изменить значение параметра UIHost в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на logonui.exe.
Скрытый текст _________________ Решение на поверхности, надо только копнуть поглубже. Скрытый текст
Ловил такую же заразу, изменение MBR. Ставил диск с Акрониксом как загрузочный ( с выставлением в BIOSе), в востановлении галочки на востановление радела С и MBR. Помогло и быстро. Хорошо иметь копию раздела С.
Скрытый текст Не в качестве рекламы, а в качестве ознакомления. Образ скачал, опробую позже.
Пробовал. Помогает. Грузить нужно сначала любой LiveCD с поддержкой флешек. А с флешки уже запускал эту утилиту. Опробована на 3х баннерах. К сожалению имен троянцев и скиншотов нет. _________________
недавно пролечивал MBRLock.06
при помощи утилиты fix mbr с загрузочного носителя запустил винду а в ней уже свежим CureIt'ом в режиме усиленной защиты вывел всю заразу. _________________ Читаем Скрытый текст
Скрытый текст Не в качестве рекламы, а в качестве ознакомления. Образ скачал, опробую позже.
MBR-Locker вымогал 1900 руб. на номер МТС 89854585991. Варианты с использованием Kaspersky Rescue Disk (24.04.2012), AntiWinLockerLiveCD v3.3, Bootice v0.8.1, консоли восстановления (fixmbr и fixboot) результатов не дали.
При вводе в качестве кода "PASSWORD" появлялась надпись "Loading OS. Error Loading operating system. Press Ctrl+Alt+Del to restart.". После перезагрузки получал исходную картину.
Вопрос был решен при помощи AntiSMS v1.8.4. _________________
Vovva
по поводу вашего метода.
Вот я на днях подхватил подобный МБР-вин-локер, после фиксМБР сообщение вируса исчезло и начало писать "invalid partition table". При этом Acronis Revovery Expert и никакой другой софт Акроникса не находил мои разделы. Единственое что находило их - Power Data Recovery. Так и не нашел оптимальное решение, через эту Power Data Recovery поперекидывал на флешку основные важные данные и полностью форматнул винт.
На неделе было что-то похожее, возможно последствия локера.
Смотрел ноут, на котором переустановили ОС и после ререустановки перестал открываться диск с данными.
R-studio выполнил сканирование диска, программа увидела файлы, но при открытии из проводника программа просила форматировать диск.
Восстановил с помощью программы Partition table doctor, сначала сканировал диск, а потом выполнил Rebuild таблицы разделов. _________________ Не профи, но для любителя тоже неплохо...
Вниманию пользователей, пострадавших от блокировщика файлов lockdir.exe и фишинга якобы от Сбербанка!
Порталу VirusInfo.Info, через проверенного человека, стал известен код, который возможно подойдет пользователям для разблокировки их файлов.
Итак, внимание, код: FgmwH4hdh+S54hsdf/fhdfbs7 _________________ Решение на поверхности, надо только копнуть поглубже. Скрытый текст
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы