Windows заблокирован, отправьте смс [решение] [Trojan Winlock] |
Сегодня речь пойдет о таком гадком вирусе, который делает так, что windows заблокирован почти наглухо (как правило, нельзя открыть диспетчер задач, попасть в безопасный режим и вообще как-либо взаимодействовать с системой) и требуется отправить смс-ку или вовсе сходить к терминалу и положить деньги на счет автора вируса, а потом, якобы, наступит разблокировка. На деле же никакой разблокировки Вашего Windows не будет и Вы просто потеряете деньги, а посему, настоятельно не рекомендуется никогда отправлять что-либо кому-либо в любом виде.
Не смотря на то, что это феноменальная пакость и она принесла много вреда обычным людям и их компьютерам, надо всё таки отдать должное изобретательности вирусописателей ибо, как-никак, наживаться на пользователях пиратской версии Windows (почему именно пиратской? Потому, что в лицензионной, постоянно обновляющейся Windows XP этот вирус попросту не работает) идея шикарная и, как я понимаю, прибыльная, ибо вирус постоянно модифицируется и улучшается всеми возможными способами. Во-вторых, дело даже не столько в идее, сколько в реализации, ибо сие чудо не прописано банально в автозагрузке, а заложено поглубже и срабатывает даже в безопасном режиме и при диагностическом запуске (загрузка только основных драйверов и служб), что составляет некие интересные трудности по разблокировки заблокированного windows, а трудности это всегда интересно.
В общем мне понравилось, но не остановило, а посему я предлагаю Вам набор решений по устранению этой гадости, блокирующей работу Windows и требующей оправки смс, а так же поведаю о том, что делать, если после удаления вируса у вас чистый рабочий стол или другие проблемы.
Описанные ниже решения актуальны почти для всех версий вируса за редким исключением. Если же у Вас по-прежнему windows заблокирован не смотря на все манипуляции и ухищрения, то свяжитесь со мной – займемся разблокировкой иначе и вместе. А теперь несколько вариантов и способов решения проблемы (пробуйте все, пока не придете к успеху):
Вариант 1 (коды раблокировки windows):
На сайте dr.web есть коды разблокировки и найти их можно тут. Просто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки. Так же, как вариант, Вы можете ввести номер куда просят отправить смс и текст сообщения, а затем нажать на кнопку “найти” и получить код.
После разблокировки тут же начинаем лечить систему нормальным антивирусом.
Если после разблокировки у Вас чистый рабочий стол, то читайте конец статьи.
Вариант 2 (с помощью avz):
PS: Если этот способ не помог, то либо воспользуйтесь способом третьим (ниже по тексту), либо просто все в том же “Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.
Вариант 3 (с помощью скрипта):
Важно! Где вместо Ваш_аккаунт надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть sonik, может быть vasya или что-то еще, т.е. имя пользователя под которым Вы входите в систему.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
PS: Если этот способ не помог, то все в том же”Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.
Вариант 4
Этот вариант порой помогает для старых версий вируса.
Заходим в BIOS (кнопочка DEL сразу после включения/перезагрузки компьютера) и переводим там часы на неделю вперед (как вариант, можно попробовать так же на неделю назад). Вирус, возможно, отключится, после чего запускаем систему и проверяемся нормальным антивирусом.
Вариант 5
Используем LiveCD от компании Dr.web, который позволяет просканировать систему с CD-диска и очистить её от этой гадости, которая блокирует работу windows.
Скачать образ программы можно прямо с моего сайта – ссылка.
Что касается установки. Нам надо записать образ на диск. Сделать это можно несколькими способами, но я рекомендую один единственный, а имеено:
Дальше нам, собственно, надо сделать так, чтобы загрузка происходила не с жесткого диска, а с только что записанного CD. Для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM. После чего сохранить изменения и перезагрузить компьютер. Загрузившись с диска выбираем первый пункт в появившемся меню, а затем запускаем Dr.Web Scanner, запускаем само сканирование кнопочкой Start и ждем окончания, после чего, обрабатываем найденные вирусы, давая команду удалить их. Подробнее о использовании Dr.web LiveCD можно прочитать тут.
Вариант 6
С помощью скриптов Kaspersky Virus Removal Tool.
begin
SearchRootkit(true, true);
QuarantineFile('Base.sys', 'CHQ=N');
QuarantineFile('explorer.ex', 'CHQ=N');
QuarantineFile('hpt3xx.sys', 'CHQ=N');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
BC_Activate;
RebootWindows(true);
end.
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
begin
Executerepair(;
Executerepair(16);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
begin
ExecuteStdScr(3);
RebootWindows(true);
end.
Далее у Вас могут появиться проблемы с работой системы (последствия действий вируса). Если это так, то читайте статью дальше.
Просто удалить вирус, который заблокировал windows и требует отправки смс, далеко не всегда достаточно, т.к. он меняет настройки реестра, а именно, скорее всего после удаления Вы увидите чистый рабочий стол и курсор мышки. Скорее всего, не откроется ни диспетчер задач, ни что-либо еще, не будет никакого доступа в панель пуск и никуда вообще. Можно конечно попробовать вылечить систему из безопасного режима, но, как правило, и он заблокирован и компьютер попросту перезагружается при попытке входа туда. Однако есть способ лечения.
Раз компьютер не загрузить с жесткого диска, то мы будем грузить его с CD, благо есть дистрибутивы загрузочных дисков Windows XP, которые позволяют грузится с себя напрямую. И так, что делаем:
На случай, если не работает диспетчер задач:
На этом всё.
Должно ожить
Вопросы, можно задать ТУТ
Рубрики: | Разное |
Комментировать | « Пред. запись — К дневнику — След. запись » | Страницы: [1] [Новые] |