Свиной грипп интернета или блокировка Windows

заблокирована работа системы

В интернете завелась очередная зараза. Не настолько страшная как свиной грипп, конечно, но по крайней мере неприятная. На сей раз, вследствии попадания вируса в систему, возникает следующая ситуация.

После запуска системы, выныривает окошко с сообщением о том, что вы пользуетесь нелицензионной виндой, и должны отправить СМСку по определённому номеру. Каково это увидель владельцу как раз таки лицензионной системы? При этом система больше не работает.


На экране может появиться окно такого вида (но необязательно)


С чем то подобным я уже сталкивался давно и описывал в одной из первых статей данного блога. А про родственника такого зловреда, писал совсем недавно в статье о удалении информера-новостной ленты из браузера. Но тут уже проблемма более серьёзная, чем баннер на полэкрана браузера. Хотя поймать ее вы могли, как раз аналогичным образом, установив видеокодек для просмотра видео на сайтах.


Поиск по сети дал несколько решений проблеммы, их и опишем.

  1. Никуда никакое СМС не посылать.
  2. Если вы поймали троян Winlock.19, то вам … очень повезло. В прямом смысле. Данный зловред настроен на самоуничтожение через два часа работы компьютера. Так что решением есть просто терпение. Оставьте компьютер включенным на несколько часов, а потом перезагрузите. Если проблема не устранилась, пробуйте следующий способ.
  3. Войдите в Виндовс в безопасном режиме. Для этого, во время запуска системы нажмите и удерживайте кнопку F8 на клавиатуре, а потом выберите запуск в безопасном режиме. На диске С пройдите по адресу c:/documents and settings/all users/application data/ и удалите оттуда два файла: blocker.exe и blocker.bin, или любой файл с названием blocker.(любое расширение). Также нужно удалить в реестре ссылки на этот файл , в частности HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit. После перезагрузки должно заработать. Сразу же сделайте поиск по компьютеру, в поисках файлов blocker.(любое расширение), и удалите найденные. На всякий случай сделайте глубокую проверку антивирусом. Кстати, вместо папки /all users/ возможно нужно пройти в папку с вашим виндовслогином, а далее в /application data/.
  4. Сделать лечащий диск Live CD (http://www.freedrweb.com/livecd/). Запуститься с него, удалить blocker.exe и blocker.bin с папки :/documents and settings/all users/application data/ и далее по пункту 3.
  5. Также можно попробовать найти лишние файлы под названием WINLOGON.EXE. Единственный такой файл имеет право насуществование в системе в папке C:\Windows\System32 . Если вы обнаружили его в другой папке — немедленно удаляйте. Под этим именем может маскироваться более сотни разных вирусов.

В общем надеюсь, что у Вас первый или второй случай. В дальнейшем не устанавливайте никаких видеокодеков для просмотра видео на сайтах - этот вирус часто там. Для просмотра онлайн видео достаточно обычного флеш плеера.

Ап. от 09.01.2010
Новая статья "Блокировщики Windows и как их удалить доступными средствами"

P.S. Крайне рекомендуется читать и оставлять комментарии к данной статье. Особенно, если Вы решили проблему каким-то иным путём. Плюс, рекомендую прочесть статью о СМС-платежах

Порекомендуйте сайт другим:


Если Вам понравилась статья, то Вы можете:

Адрес заметки: http://vladekas.com/blog/post_1241474203.html

12 июня 2009, 01:07
Сенкс за помощь, хотя имена файликов другие ) но это та хреновена )))
12 июня 2009, 01:27
№ 2Комментарий автора:
Grif On , может поделитесь с общественностью Вашим случаем? Думаю ещё кому-то может понадобиться.
Vladek
07 июля 2009, 16:12
№ 33
Grif On хотелось бы поточнее узнать какие могут быть файлы.
Поймал похожий вирус, сначала было сообщение мол отправте смс.
выключил комп при повторной загрузке виснет на приветствии далее ни каких действий сделать нельзя, то-же самое и в безопасном режиме. кое как добрался до файлов. тестирование касперским и др.вебером результата непринесли. подскажите что можно сделать, уж очень нехочется винду перебивать?
11 августа 2009, 17:03
И я как-то словил такой грипп, или я бы сказал вымогающий вирус, от которого у меня комп загрузился и в место рабочего стола показал блокировку, как показана выше.
Слава тому, что я оставил второй хард в системе.
С помощю второго харда я прошолся антивирусниками по харду со свинным вирусо, это не помогло. Потом почистил все папки temp, журнал, и другие папки интернета, и почистил прогой, не помню её название, и всё получилось.
09 октября 2009, 17:48
№ 5Комментарий автора:
Дополнение. Найдено на форуме Link . Разместил пользователь ProstoLos.
"Только сегодня ездил к знакомому и убил такую же хрень у него на компе.
Значиццо варианты для тех у кого дома один комп и нет LiveCD, а ходить до другого компа с интернетом долго и муторно.
1) Грузануться в безопасном режиме и удалить файл с:/windows/cdfmon.exe (имя файла не точно), заодно убрав его из списка автозагрузки.(напр. утилита - msconfig)
2) Если не получилось вышеописанное(файл не нашли или еще чего), сразу(пока вирусняк не подгрузился - лаг в прим. 5-10 сек.) после захода в учетную запись врубаем подключение к интернет и кликаем на свой антивирус (чтоб окно управления открылось). И вот появляется окно вируса. Переключаемся клавишами Alt+Tab в окно нашего антивируса, обновляем его и запускаем антивирь на сканирование. Идем пить чай. Приходим - если вирус пойман - хлопаем в ладоши. Нет, читаем дальше.
3) Ввести код 13613 , подождать 10 сек. Если окно вируса пропало и подгруз. раб. стол. - хлопаем в ладоши, качаем CureIT, проверяем комп и CureIT удаляет вирус. Хлопаем.
4) Если ничего из вышеописанного не вышло, идем к другу качаем CureIT, проверяем свой комп и CureIT удаляет вирус. Хлопаем."
Vladek
20 октября 2009, 17:36
Хорошо вам, умным. А вот я послала смс-ку. Спасибо, тут же пришел код и всё восстановилось. Правда, мой счет на мобильнике уменьшился на 300 рублей. Зять обещал придти и почистить. Жаль, что немного запоздала информация. Буквально на 2 дня. Подождала бы 2 часа.
29 декабря 2009, 18:41
Перечень кодов доступа есть на сайте Dr.Web, их около 50, если вам известно число символов, можете подобрать себе подходящий. У меня получилось (символов было 5)
29 декабря 2009, 19:35
№ 8Комментарий автора:
Да, есть раздел на форуме Dr.Web, "Помощь по лечению": Link Там также можно найти решения проблемы. Тем более, что эта гадость меняется. А там свежие решения.
Vladek
07 января 2010, 18:28
Подхватил недавно нечто подобное. ОС загружалась, появлялось окно, что я нарушил лицензионное соглашение на использование download master. И нужно отправить смс.
Окно это почти во весь монитор. Оставалось по 1 см примерно с каждой стороны (есть фото). Естественно не перетаскивалось.
Но самое плохое то, что не отображалось название на панели интсрументов, заблокирован диспечер задач, не мог открыть реестр, а так же окно появлялось и в безопасном режиме.
Да, там ещё был таймер на 3 часа. Но он сбрасывался при каждой перезагрузке поэтому так и не дождался его окончания.
Поудаляв кое-как все файлы из автозагрузки и Temp окно стало появляться после попытки запустить испоняемый файл. Дальше бороться мне надоело ( да и не считаю себя профи)) и переустановил ОС.
Решил найти антивирус (до этого был nod). Пока искал тут же словил похожее окно, но уже с какой то порнухой. Итог - опять переустановка. Вопщем, хотелось бы найти средство борьбы с этой заразой. невозмож но же переустанавливать ОС каждую неделю например)))
08 января 2010, 22:17
У соседа появился 7 января "Internet Sekurity" требует код: K204114200 на номер 7373.Искали с друзьями все,что можно ничего не нашли.Пишет - до конца 9 ч.56 мин.Помогите,пожалуйста.

Комментарий автора:

Что-то новое, о ""Internet Sekurity" " ещё не слышал. Походу, это клиент смс-биллинга по ссылке: Link Можно попробовать на них подавить, чтобы выдали ключ по коду. Номер ещё не очень известный, кстати.
Попробуйте пройтись по следующим линкам:
Link - подбор ключа по коду
Link
Link
Link
Link
Link
Link
Здесь: Link по вашему коду выдает "Попробуйте код 5748718 или 10329582"
Там же можно попробовать найти код для блокировки от "download master".
Об этой проблеме на форуме бесплатной программы "Download Master":
Link
Link
Кроме того (взято с инета):
1. Возможно поможет восстановление системы ранним периодом,а потом полная проверка на вирусы.
2. Попробуйте запустить винду в безопасном режиме и там в установках и удалении программ удалите появившуюся программу.
3. "... зашел в безопасном режиме запустил автозагрузку через msconfig (пуск-выполнить) отключил все что там есть запустил, пропало, начал поочереди включать, то что мне не известно. Вычислил файл plugin.exe который сидел на диске C:в Program Files, удалил, в автозагрузке включил проверил, дерьма нет, работаем. Удачи, может поможет кому. Еще можно удалять поиском по конкретной дате и времени через тотал командер..."
Видео о получении кода на сайтах Доктора Веб и Лаборатории Касперского:
13 октября 2010, 22:21
№ 122010,2010
тоже об этом писали, и кстати это почти во весь монитор. Оставалось по 1 см примерно с каждой стороны (есть фото). Естественно не перетаскивалось.
Но самое плохое то, что не отображалось название на панели интсрументов, заблокирован диспечер задач, не мог открыть реестр, а так же окно появлялось и в безопасном режиме.
Да, там ещё был таймер на 3 часа. Но он сбрасывался при каждой перезагрузке поэтому так и не дождался его окончания.
Saint ROw
Комментарии к этой заметке больше не принимаются.


Подпишитесь на Бесплатную Почтовую Электронную Рассылку "Новичкам Популярно об Интернет":

подписка

Ваш e-mail: *
Ваше имя: *

Рейтинг популярности - на эти заметки чаще всего ссылаются:

май, 2009
пн вт ср чт пт сб вс
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31