Как удалить Winlock своими силами!

Деблокер Касперского

Форум Касперского

Деблокер Dr.Web

Форум dr.Web

Возможно свой код найдете здесь

Dr.Web® LiveCD (18.01.2011), зеркало

dr.WebCureit (13.01.2011), зеркало

Сообщение отредактировал Kluch - 27.1.2011, 18:35

А "Дополнительно" - "Очистить корзину и каталоги профилей пользователей от временных файлов" делал?
Если нет, а там сидела ента пакость, то вполне могло произойти так, что ента пакость себя снова запускала.
По идее автозапуск возможен разными путями.
Например при загрузке ОС запускается какой то ей нужный процесс, который был заражен кодом со ссылкой на ту пакость, которая сидела во временных файлах.
Вот и получилось, что явные строки левых автозапусков ты вычистил, а то что виндовые системные файлы могли быть заражены кодами к исполнению-запуску отдельно существующему файлу с пакостью ты видимо просто не догадался. И антивирус про этот файл и коды мог еще не знать.

P.S. Как в итоге победил то тот банер? И есть ли ентот "свежачек"?
Если есть - постучись в личку, а то я люблю их помучать

был у меня такой вчера баннер , изменения года и месяцев ничего не изменило , диском зверя восстановил систему и щас всё пашет=)

Сообщение отредактировал Шаян мишэр - 1.4.2011, 5:15

подскажи плз - где этот RESTORE.zip выложен?)

Сообщение #403: Restart_desktop.zip

Сообщение отредактировал Captain Vzhik - 4.4.2011, 8:06

Баннер то победил, но вот копию файлов этих к сожалению не сохранил. Я просто тогда с СД грузился не куда было их записать ) Если попадется в след. раз что нить этакое скину )

Новый вирус 22CC6C32.EXE внедряет свой вредоносный код или полностью заменяет системный файл USERINIT.EXE из за чего Windows перезагружается.


Ваши действия:
Скачать новый уменьшенный образ - WinPE_uVS.iso (101Mb) но можете пока попробовать старым образом.
Зайти в программу (обязательно выбрав папку Windows) нажать - "Файл" выбрать "Сохранить полный образ автозапуска" и сохранить в любом жестком диске.
Далее обязательно нажать клавишу F1
Эта клавиша устанавливает флаги на "Скрыть проверенные" и "Скрыть известные"
После чего нажимаете правой кнопкой мыши по файлу вируса и выбираете "Добавить сигнатуру файла в вирусную базу" и жмите клавишу F7 - теперь программа становится антивирусом и ищет сигнатуру во всех файлах (должна появиться еще подобная строчка с таким же именем вируса)
заменяем системные файлы программой System32.exe

Видео YouTube смотреть в HD качестве 720p на полный экран.
http://www.youtube.com/watch?v=AfNoiqPeMv0

FIX системных файлов, указывать букву диска! по умолчанию C:\WINDOWS\system32 (если у Вас папка Windows на диске D:\ соответственно меняйте путь)
http://dl.dropbox.com/u/17655378/system32.exe

Установите эту программу: http://www.antiwinlocker.ru/download.html
Отлично защищает от баннеров, и убирает их последствия (на первые 30 дней этого достаточно)

Сообщение отредактировал Kluch - 26.4.2011, 12:55

Загружен новый образ uVS
Все предпочтения учтены (кроме RAID)

Образ - WinPE_uVS (131Mb)
WinPE_uVS

MD5: B38D6AA1758CE256A0E047378F68A395
SHA-1: 304C5AC99FE23FD33E90672464D37A1C2B40DDF6


Обновлено:
1. Размер образа (131Mb)
2. Программа uVS обновленная до 3.51 версии + SHA1
3. Добавлен параметр блокировки запуска файла по MD5 (должно помочь при не найденных файлах)
4. Добавлена папка фиксов для восстановления пустого рабочего стола + программа AntiWinLocker (на 30 дней)
Программа AntiWinLocker защищает оболочку системных файлов, уязвимые участки реестра, автоматически исправляет следы баннера и т.д.
Подробнее: http://www.antiwinlocker.ru/AntiWinLocker_features.html
5. Если вставить CD диск в активную систему с баннером, его можно свернуть (нужна автозагрузка CD)
6. Добавлен дополнительный файл конфигурации на случай заражения отдельных учетных записей пользователей (загружает ВСЕ найденные профили пользователей)
7. Заменена программа TotalCommander на FreeCommander (в связи ее наград на www.softpedia.com)
8. Упрощен запуск программы FreeCommander (больше не нужно выбирать, просто жмем GO)
9. Упрощен запуск программы uVS в программе FreeCommander:
- зеленый ярлык (uVS v3.51 copy to C:\) распаковывает uVS на диск C:\ и запускает.
- красный ярлык (uVS v3.51 start to C:\) запускает распакованный uVS на диске C:\
- серый ярлык (uVS v3.51 start to X:\) запускает uVS через оперативную память.
- белый ярлык (uVS v3.51 all user, start to C:\) полезно тем у кого несколько учетных записей.
10. Добавлен архив системных файлов:
- синий ярлык (System)
11. Добавлен AVZ4 (в папке fix)

Предупреждаю! перед удалением файла - нажимайте клавишу F1
Файлы подписанные производителем Microsoft Corporation системные, их не трогайте.
Если не знаете, что за файл, нажмите на него два раза мышкой и посмотрите описание или спросите.
НЕЛЬЗЯ УДАЛЯТЬ ВСЕ ПОДОЗРИТЕЛЬНОЕ будьте внимательнее

Сообщение отредактировал Kluch - 26.4.2011, 12:56

Попробовал испытать на одном из банеров (банер-попрошайка с просьбой пополнить чей то тел счет, а на чеке мол увидите код для разблокировки. Антивирусы уже давно его отлавливают), но приблуда uVS по стандартным процедурам против него не помогает и автозапуск диска из под Win XP и Win 7 не срабатывает.
Зато помогла вычислить имя файла и его местоположение с помощью выбора пункта "Весь автозапуск <=" вместо "Подозрительные и вирусы" (это окно запускается по умолчанию и в нем должны были отобразиться наименования подозрительных файлов + пути, у меня было пусто).
Запускать утилиту пришлось из виндового образа, а не из стандартно установленной ОС.

Сообщение отредактировал Captain Vzhik - 22.5.2011, 12:55

скиньте вирус. хочу потестить некоторые способы на старом компе

появилась эта падла у знакомой, впаривает что нужно ввести код чека
номер куда закинуть нада 8-918-201-67-00 просит 400 руб от скот
есть только 1 строка куда нужно ввести код, посоны помогите по срочняку

+ внешки ни у нее ни у меня нет есичо

для этого винлока кодов нет
лечение выше описывали

что посоветуете более менее 100 процентное?

делаю касперсмким рескуе диск, ноль эмоций ваще никак не помог

где он может лежать точнее вот что меня интересует

Фотку с монитора сделай..

да поздно уже, ушел от знакомой.
Принял решение тупо переустановить винду :(

можно было при наличия диска с виндой с которой устанавливали первоначально восстановить винду попросту , тоже помогает.

Сообщение отредактировал Шаян мишэр - 1.7.2011, 17:38

протестил.
вирус 22CC6C32.EXE удалился с помощью anti win locker live cd

надо было хотя бы время в биосе на пол года вперед переставить попробовать.



откуда этот вирус?

я обычно без всяких drweb live cd и тп удаляю баннеры. Комп у девушки каким-то образом их ловит (видать защита слабая).
просто надо открыть реестр и заменить 1-2 параметра. потом комп загружается, далее dr.web и вуаля!

Сообщение отредактировал Eric Cartman - 3.7.2011, 0:29

когда удалял в последний раз ? новый вид вирусов так не удалишь. потому что заражаются системные файлы. нужно их заменять

делал, и проверку делал, и че только не делал, не помогало