Как удалить Winlock своими силами!

Деблокер Касперского

Форум Касперского

Деблокер Dr.Web

Форум dr.Web

Возможно свой код найдете здесь

Dr.Web® LiveCD (18.01.2011), зеркало

dr.WebCureit (13.01.2011), зеркало

Сообщение отредактировал Kluch - 27.1.2011, 18:35

впринципе не понадобилось даже антивирусника, загрузился с того же LiveCD, зашел в папку
C:\Document and Settings\Имя пользователя\LocalSettings\Tempтам я обнаружил целый вагон временных папок и файлов,
которые снес все подчистую. Далее перезагрузил компьютер и уже без появления надоедающей таблички-рэкетира зашел в обычном режиме.
После загрузки заходим в реестр Пуск-Выполнить-regedit Там ищем ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и приводим значение параметра Userint в первоначальное состояние до воздействия вируса, C:\windows\system32\usrinit.exe У меня в этом параметре был еще прописан полный путь до tempовской папки и наименованием злодея, который в ней сидел.
Кстати, на зараженной машине вполне возможно после этого вируса перестал работать автологин, тоесть выходит логин Администратор и для продолжение загрузки было необходимо нажимать ОК, хотя пароль никакой не стоял. До зачистки папки temp после попытки залогиниться как раз и выходило требование с просьбой отправки смс. После dela этого рэкетира, хоть и баннер-вымогатель пропал, но необходимость нажимать Ок для входа в систему осталась, согласитесь каждый раз это делать не очень удобно. Поэтому после входа в систему идем в Пуск-Выполнить-control userpasswords2, там снимаем флажок, который отвечает за эту опцию.
Надеюсь материал поможет Вам сэкономить свои кровные на повторной "активации"

вирус когда скачаеться, установочный файл сидит в
Файл: C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\temporary_downloads\Install_Flash-Player_build2x29 (1).exe
(если оперой пользуетесь в других ненама)

Сам фалнаходиться здесь(удалить)
Файл: c:\documents and settings\администратор\local settings\temp\tefzy.dll (до ".dll "
может быть любое название, так что стереть лутше все)
P.S. Предохроняйтесь

Это ты щас про какой банер рассказывал?
Который в винду зайти не давал, полностью блокируя ее?

При загрузке на рабочем столе открывался поверх всех окон после чего минут 15 давал что то сделать потом все из рабочих оставаласть только курсор

Тока что с поля битвы. Был подобный банер.
Попробовал нечто подобное....

..не помогло...
Была сегодняшняя вечерняя база с антивирусом NOD32, запустил его с флешки и...
Прямо на рабочем столе пользователя 2 троянца сидели!!!....
Слов уже нет, одни эмоции!

а я их смсами убивал которые гуглил))
а все потому что не фиг люди без антивира серфингом заниматься))
кстати этот баннер просил еще 1 смс типа с подтверждением что мне 18 лет,но гугл и его нашел))
баннер был не у меня, а у товарища хочу оговориться(честно) в инет не пускал,так что я смс ему по телефону диктовал с кодами)
сидело все это дело в итоге в документ анд сеттингс как обычно))

Сообщение отредактировал neverwinter - 28.1.2010, 4:43

Винду переустонови- 100% результат111

Сообщение отредактировал 'DIABLO' - 28.1.2010, 10:19

це не спортивно

еще в общую кучу: вся зараза, что ныкается в system32, опрометчиво делает свои файлы скрытыми и системными, очевидно, в надежде скрыться от проводника. При том, что в этой папке ни один файл (кроме нескольких manifest) не имеет таких атрибутов, оно отлично вычищается тотал коммандером из-под лайв-сиди.

в системе так же убирает штуки, которые скрывают/показывают файлы и папки с атрибутом "скрыть", часто отключает диспетчер задач, если сидит в отдельном процессе.

Вирусная активность была замечена на Вашем компьютере.
Мы настоятельно рекомендуем Вам немедленно проверить Ваш компьютер и выполнить антивирусную проверку онлайн: Подробнее Antivir-Labs
В личку прислаи спамеры. Ща видимо новая фишка на все форумы где я сижу прили такие сообщения. Тока адреса разные

тоже приходила такая штука, и ведь опять же кто то ведется на это... недавно даже по 1каналу показывали передачу про все эти разводы....

Проблема:
Темно-синий баннер с сообщением что винда заблокирована и надо отправить sms.
Решение:
1. Из-под безопасного режима входим под Администратор и убиваем в папке C:\Windows скрытый файл csmon.exe
2. Проходимся антивирусом с самой свежей базой

После долгих поисков и испытании остановился на программе PROWiSe Manager 1.8.0.1
У меня уже целый сборник всяких разных информеров и все они как один:
1. Выскакивают поверх всех окон
2. Не дают запустить диспетчер задач, то есть глушат работу файла taskmgr.exe

А эта программа, которую я рекомендую, выскакивает еще выше окон-информеров. Даже поверх тех, которые во весь экран сообщают вам о том, что ваш виндовс заблокирован.
В настройках программы нужно СРАЗУ после установки поставить галочку напротив "Подменить Диспетчера Задач", а в "Файл"- "Выполнить" вписать команду explorer

Теперь, когда вы неожиданно поймаете баннер, то без особого труда можете убить его процесс и исполняемый файл.
Для этого нужно нажать сочетание клавиш Ctrl + Alt + Esc и окно с процессами предстанет перед вами.
Далее нужно просто "убивать" все процессы, которые были запущены от имени вашей учетной записи на компе. Например User, Администратор и так далее.
Но перед тем, как убить какой-либо процесс надо разведать, а что за файл запустил этот процесс и запомнить его местонахождение на вашем компе.
С помощью правой кнопки мыши щелкаем по каждому процессу, запущенного от вашего имени, и открываем свойства. Там будет прописан путь.
Например: процесс называется uTorrent.exe, а исполняемый файл лежит по пути: C:\Program Files\uTorrent\uTorrent.exe
Нужно запомнить, при убийстве какого процесса у вас исчезнет этот банер.
Затем перезагрузиться, дождаться нового появления банера (вы же только процесс убивали), снова его вышибить и, зная его местонахождение, удалить файл.
Часто убивая процесс перед вами может возникнуть просто фон рабочего стола, а нужных для работы ярлыков на нем не будет.
Вот тут то нам и пригодится тот самый "Файл"- "Выполнить" вписываем команду explorer
Дело в том, что если сразу не вписать эту команду, то после убийства процесса в той строке невозможно прописать что либо английскими буквами. Поэтому это нужно сделать сразу после установки программы при ее настройке.

Все, что я тут описал, испытал лично с помощью библиотеки информеров.
За все время борьбы с ними у меня уже собралась приличная коллекция.

Вариант конечно.
По умолчанию в свежеустановленной винде русский язык включен.
И многим обычным пользователям так удобней.

Забыл в инструкции еще про:
Вид -> Настройки -> Процессы -> Показывать процессы всех пользователей
Надо установить галочку.

Эх все бы юзеры были такие как вы! Работы бы у нас меньше было (тьфу-тьфу-тьфу )))
Вот вам ссылочка (может была уже, лень шарить 10 страниц), если правильно пользоваться разблокирует 95% блокировщиков Trojan.Winlock

А?...А?...А где же птичка то?..
Да и потом 5% это как раз остается на то, что разблокировщик еще не будет знать о новом банере, а он уже будет вовсю шуровать на ваших компах...
А тут раз, убил процесс - стало понятно че за файл его запускал и где он сам, гад такой, находится...
Нашел и ему по попе та-та...
Но опосля антивирусом то конечно ой как надо комп то прогнать с самыми вежими базами...


Буквально вчера пришел к одному клиенту. У него все в хлам загажено, чуть ли не открытым текстом видны файлы явно "чужеродного происхождения" с иностранными именами - таких в винде обычно не бывает.
Спрашиваю, а антивирус то у вас на компе стоит?
А зачем он мне, грит. Я ж тока в инете лазию...
...я на несколько мгновении потерял дар речи...

Упс! Ссылочка http://www.drweb.com/unlocker/index/?lng=ru


Бываети и по другому: "У вас антивирус стоит? -Стоит, но все равно вирусы попадают. -Регуларно обновляетесь? -А что его обновлять еще нужно?"

Енто мы уже проходили..((( За все время "войны" только один раз помогло..(((
В этой ветке форума не раз ссылки давались на эту страницу..

Есть еще отличный утилиты, которые четко генерируют 98% ответов для винлоков, а если нет подходящих вариантов, показывают ссылки на сайты, на которыз можно посмотреть самые свежие варианты ;)

Сообщение отредактировал RedE(yes) - 5.4.2010, 17:50