Блокировщики Windows и как их удалить доступными средствами

как удалить баннер

Начало года ознаменовалось не только весёлыми праздниками. Активизировалась работа создателей различных вирусов, блокирующих работу операционной системы. За полгода, прошедших с публикации статьи: "Свиной грипп интернета или блокировка Windows", - появились новые модификации, и методики в ней описанные вполне могут и не работать.

Последние тенденции следующие. В конце года активно начал работать вирус-вымогатель, который утверждал, что вы нарушили лицензионное соглашение программы Download Master и требовал отправить СМС на номер 4460. Это в то время, когда программа эта абсолютно бесплатна. Соответственно на форуме компании WestByte Software есть топик на эту тему. А с началом года активизировался новый, который уже маскируется под антивирус Касперского "Internet Sekurity". Появляющийся баннер утверждает, что вы опять-таки нарушили лицензионное соглашение или закончился код лицензии. У вас, мол, 92 вируса и снова требует СМС для получения ключа разблокировки. Причём, короткие номера и коды для СМС постоянно меняются.

На этом фоне, удаление старой версии баннера-информера описанное в статье: "Как удалить информер всплывающую новостную ленту с экрана", - уже кажется простым и лёгким. На сайте Dr.Web, по данному поводу, даже появилась статья: "Блокировщики Windows и другие вирусные угрозы декабря 2009 года". Как и на многих других форумах, посвящённых вопросам безопасности компьютера.


Одним из основных методов борьбы с баннером, доступных рядовым пользователям, в данный момент есть подбор ключа. Для этого вы можете пройти на страницы с формами подбора на сайтах Dr.Web и Лаборатории Касперского. Также в сети встречаются методики подбора ключа по коду для СМСки, как на обсуждениях, в данных выше форумах, так и на простых сайтах (пример).

Следующим шагом, после успешного подбора кода, является полная глубокая проверка вашего жёсткого диска на наличие вирусов. Делать это следует свежими версиями антивирусов. На сайтах как у "Доктор Веб" так и "Лаборатории Касперского", бесплатные лечащие утилиты, которые можно скачать и сделать проверку системы: "Dr.Web CureIt!" и «Kaspersky Virus Removal Tool». Или же можно скачать триальные версии лицензионных антивирусов. А потом поставить бесплатный, но неплохой, антивирус "Аваст" или купить лицензии на профессиональные программы. Также обязательно наличие файерволла ("огненной стены") при работе в интернете.

Если же подобрать код не удалось, то на различных сайтах предлагались различные решения, в том числе и описанные мной ранее в предыдущей статье серии.

    Например (прошу учесть, что данная информация предоставляется, "как есть"):
  • "...Возможно поможет восстановление системы ранним периодом, а потом полная проверка на вирусы..."
  • "...Попробуйте запустить винду в безопасном режиме и там в установках и удалении программ удалите появившуюся программу..."
  • "... зашел в безопасном режиме запустил автозагрузку через msconfig (пуск-выполнить) отключил все что там есть запустил, пропало, начал поочереди включать, то что мне не известно. Вычислил файл plugin.exe который сидел на диске C:в Program Files, удалил, в автозагрузке включил проверил, д***ма нет, работаем. Удачи, может поможет кому. Еще можно удалять поиском по конкретной дате и времени через тотал командер..."

Напомню, что удаления последних по дате файлов из папки "C:\Windows\System32" может закончиться трагически для вашей операционной системы. Даже, если вы опытный пользователь. Как результат, всё равно, возможно, придётся переустанавливать Винду.

Надеюсь, что ваша проблема с появлением подобных блокировщиков будет решена "малыми" усилиями. Также напомню, что о том, как определить стоимость СМСки и узнать о биллинге, который обслуживает короткий номер можно из статьи: "SMS-мышеловка или, Как платить с помощью СМС в интернете". А зная контакты компании, вы сможете у них требовать ключ для разблокировки по короткому номеру и коду для СМС.




Видеообзор "Как разблокировать Виндовс от баннера-вымогателя с помощью подбора кода""

Порекомендуйте сайт другим:


Если Вам понравилась статья, то Вы можете:

Адрес заметки: http://vladekas.com/blog/post_1262991345.html

09 января 2010, 06:11
С возникшими проблемами легко справляется бесплатная программа Spyware Terminator 2.6.2.456 Применил её недавно один раз, когда при осмотре почты платные программы (дополнительно к Dr.Web) Spyware Doctor 7.0.0.508 и Advanced SystemCare 3.4.1 забили тревогу о такой атаке. Эти проги выявили мгновенно угрозу и ликвидировали (удалили) её, но, что удивительно, Dr.Web был спокоен, Spyware Doctor успокоился и только Advanced SystemCare не мог угомониться. Он вновь после чистки обнаруживал ту же угрозу, устранял её и тут же в очередной раз выявлял заразу. Пришлось установить Spyware Terminator 2.6.2.456, который мгновенно обнаружил эту проблему и уничтожил. После этого успокоился и Advanced SystemCare. Проверил Spyware Terminator*ом систему вторично - Windows был чист и никаких повреждений вирусная атака не успела ему навредить.
Выводы делайте сами.
19 января 2010, 11:37
Вот что делает данный вид блокировщика
1. не даст работать в безопасном режиме
2 не даст запускать реестр, avz, антивирусы и прочие ghub обращающие к системным процессам
3 на некоторых видах он блокирует интернет, запуская файл UserLib
(увидеть можно с помощью программы autorans и то после лечения)
4 На компах со 2 сервис паком винды есть еще ряд побочных действий
5.Единственное что он дает загрузить утилиты с диска на диск, причем avz он сразу при копировании убивает файл запуска программы
6. Перевод даты ничего не дает
7 Тем более войти в установку и удаление программ данный клон вируса не дает
8. Currit даже новый его не обнаруживает когда он не активен
Лечим так, однозначно надо ERD, грузимся открываем реестр
идем в HKLM\ software\ microsoft\ windows nt\ windows
удаляем ветку appinit с ключом типа с:\windows\temp\ название файла у всех разное,
но д""рмо уже не грузится
Далее через explorer там же находим файл syszud или siszud он в загрузке но не показывается реально
Только после этого чистим ключ загрузки удаляя название
Грузим систему в нормальном режиме запускаем AVZ и восстановление системы в его меню выбираем все кроме критичных служб
Он восстанавливает все доступы к реестру и диспетчеру задач
ВНИМАНИЕ ОТКЛЮЧИТЕ ИНТЕРНЕТ при проведении всех этих действий
Далее запускаем autorans идем раздел winsocket удаляем UserLib (если есть)
Ставим Ccleaner чистим диск и реестр
Ну теперь когда ограничений нет можно запустить антивирус (я использую avast только home и свежую базу) и проверить в режиме "сканирования при загрузке"
И все
И как профилактика обновите систему до сервис пака 3 и новые обновления поставьте
Таким способом вылечено 22 машины и тьфу тьфу после этого нормально (по моему мнению часть этой дряни есть на компах до заражения)
Link
24 января 2010, 21:59
Ахтунг!
Новая зараза в лице "Онлайн АнтиВируса", инфицирует помимо диска с системой, все локальные диски, так что переустановка винды не сосвсем выход из данной ситуации.
26 января 2010, 01:08
№ 4Комментарий автора:
Ещё одна зараза?. Как же они плодятся последнее время. Если смс-биллинги не ужесточат правила, то это по-видимому не остановить.
Vladek
26 января 2010, 21:06
№ 5Download
История!
-сначала было окно с смс Download, отключил ноут...
-далее загрузка винды длительное время плюс окно смс...
-далее очень длительное, около часа, загрузка винды без окна, но с обозначением ошибки какого-то файла, не помню...
-далее винда вообще не грузится
-безопасный режим не запускается
В данный момент уже около часа висит и темный экран...пытается загрузиться.
вчера смог, сегодня жду.
Писары Вы, х...ы, е...е своими вирями банковские сети или пентагон, но херли лезть к нам в компы этой заразой, обычным пользователям!!!
Пилять, с 2005года, лишь два раза винду переустанавливал и ни одного антивируса не поставил, всё работало как часы. А теперь эта Ё...НЬ!!!
Пожалейте своё время и наше тоже!
Что мне в данной ситуации делать? Как восстановить?
26 января 2010, 21:40
№ 6Комментарий автора:
Макс.
Я понимаю, что эмоции. Но Вы не на базаре...
Пробуйте сделать свежий лечащий диск Live CD (http://www.freedrweb.com/livecd/) и с его помощью лечить.
Vladek
26 января 2010, 22:12
Извиняйте! С базара вышел, товар в руках.
После часа загрузки винды попробовал коды...
К...313000 (первые три не помню, т.к.окно смс уже не всплывает) на номер 4460.
Из предложенных кодов (Попробуйте код 3817424111 или 4928535222 или 5139646333 или 6241757444 или 7352868555 или 8463979666 или 9574181777 или 1685292888 или 2796313999) мне помог предпоследний на DrWeb.
Обычная загрузка винды прошла успешно. теперь что лучше всего сделать, дабы изничтожить заразу полностью?
Anonymous
26 января 2010, 22:28
№ 8Комментарий автора:
Наверное полную проверку свежим антивирусом. Если помог код с Dr.Web, то логично скачать свежий бесплатный Dr.Web CureIt! и проверить. Кроме того посмотрите комменты 1 и 2.
Vladek
26 января 2010, 22:40
№ 9Макс
Ага, сейчас))) но вот новинка проблемы в чём!
Он не даёт зайти ни на один из сайтов антивирусов! ни каспер, ни доктор, ни эсет... сейчас пытаюсь найти антивирь на каких-то других сайтах...
Anonymous
26 января 2010, 23:07
№ 10Комментарий автора:
Dr.Web CureIt! (28 МБ) - ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
Kaspersky Virus Removal Tool 2010 (58 МБ) - Link
И последние новости с фронтов - Link
Vladek
27 января 2010, 00:02
бесполезно. на все ссылки даёт ответ невозможно найти удалённый сервер. буду с другого компа копировать на флэшку, а на том попробую поставить.
Макс
27 января 2010, 00:11
№ 12Комментарий автора:
Может всё таки попробуй Live CD сделать, если на другом компе. Для его работы винду запускать не нужно. Во время запуска нужно жать или ТАВ или F2 (по разному у разных плат) и выбрать запуск с дисковода. Подробности тут - Link Им может полечишь, а то слышал, что и устанавливать не даёт.
Vladek
27 января 2010, 00:47
ладно у меня два ноута. на одном качнул на флэшку. на калеке запустил полную проверку с флэшки без установки. правда, только со второго раза понял что хочу. сейчас запустил, за 35 минут поймал 10 троянов (удалил), из них 5 в system32, 5 в Temp. как закончит свистну.
Макс
27 января 2010, 11:26
№ 14Комментарий автора:
Макс. Как успешно очистка прошла?
Ещё вести с фронтов - Link
Vladek
29 января 2010, 10:53
Вроде, тьфу-тьфу. уже сижу за своим ноутом)))
в итоге 12штук за шкирмо.
6-в системе32, 4-в темпе, 2остальных не помню откуда были вытащены. эти два ушли в карантин (vhxro[1].bmp и opr0OQG8) плюс ещё в карантине какой-то файл оказался descript.ion
Макс
29 января 2010, 22:44
№ 16Комментарий автора:
Вот от Doctor Web пришло письмо:
"Избавился от троянца – помоги друзьям! "
"В борьбе с эпидемией троянца-вымогателя Trojan.Winlock очень важно проинформировать о способах бесплатной разблокировки как можно больше пострадавших. В этом деле помочь нам можете Вы.
Скачать баннеры, ведущие на страницу разблокировщика, вы можете со специальной страницы нашего сайта ( Link ). Эти баннеры мы предлагаем вам разместить на своих сайтах, в блогах или на форумах. Таким образом, вы не только поможете своим читателям избавиться от заражения, но и приблизите переломный момент в противостоянии Trojan.Winlock.
С уважением,
Служба информации
компании "Доктор Веб"
Vladek
11 февраля 2010, 20:50
№ 17Пипец
У меня такая же проблема вылезла я хотела скачать дополнения к флеш-плееру.Люди мой совет вкачивайте флеш-плеер олько на надежных проверенных сайтах..потом выскочила эта картинка типо нужно отправить смс.Что только я не делала..!(зашла в безопасный режим...(фуф слава богу что он у меня работал) пыталась найти эту гадость но она так хитро спряталась...в общем маты- перематы))))удалила все папки где только было написано Get ...перезагрузило не помогло(((((( потом снова вернулась в безопасный режим решила посмотреть в интернете что да как( с телефона зашла) нашла там что нужно установить время на день назад-установила, но вирус все равно продолжать сидеть в компе и капать мне на нервы(вис комп по страшному).а главное у меня пропал звук кстате до сих пор не могу восстановить-если кто знает как это сделать то помогите пожалуйста.
В общем в инете нашла что нужно в файле под названием C/windows/system32/drivers/etc/hosts(просто hosts) удалить все кроме надписи Localhost -удалила!затем пыталась установить антивирусник через инет ( уже в компе) но он закрывал доступ к ссылкам на скачивание этих антивирусников сцука . Я перезагрузила комп и снова попробовала скачать ан6тивирусник и получилось он открыл мне доступ к ссылкам...вывод всечто я делала до скачивания антивирусника помогает..скачала антивирусник AVZ и запустила его при этом предворительно поставить надо там галочки что бы он лечил удалял ну вообщем увидите..Вот вам ссылка смело переходите Link в процессе проверки он нашел все мои вирусы и даже те о которых я не знала( клевый антивирус)!!!!!!!!!!
Но вот со звуком борода.........надеюсь мои советы помогут!!!!))))))))))P.S скажите как вернуть звук?
11 февраля 2010, 22:52
№ 18Комментарий автора:
Единственный флеш-плеер нужный для просмотра онлайн-видео и игр это Adobe Flash Player. Скачивается с оф сайта на странице: Link Это интернет-стандарт. Остальные дополнения - не нужны. Если сайт просит скачать и доустановить дополнения - это 99% мошенничество.
Касаемо звука, то впервые слышу о таком эффекте от Trojan.Winlock. Возможно просто звук на минимуме? Попробуйте кликнуть на значёк динамика в правом углу экрана в трее, и посмотреть, на каком уровне находятся ползунки регуляторов громкости. Также проверьте подсоединение штекера колонок, как ни банально прозвучит. Попробуйте переустановить звуковой драйвер с диска материнской платы, который обычно получается вместе с компьютером. .
Vladek
21 февраля 2010, 13:28
Три раза умудрился поймать эту тварь.Респект Doctor Web, код для разблокировки выцеплял првда с другого кампа.
Сергей
Комментарии к этой заметке больше не принимаются.


Подпишитесь на Бесплатную Почтовую Электронную Рассылку "Новичкам Популярно об Интернет":

подписка

Ваш e-mail: *
Ваше имя: *

Рейтинг популярности - на эти заметки чаще всего ссылаются:

январь, 2010
пн вт ср чт пт сб вс
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31