Как удалить Winlock своими силами!

Деблокер Касперского

Форум Касперского

Деблокер Dr.Web

Форум dr.Web

Возможно свой код найдете здесь

Dr.Web® LiveCD (18.01.2011), зеркало

dr.WebCureit (13.01.2011), зеркало

Каким браузером пользуешься?!

Если ИЕ тот там есть где-то в настройках кнопочка что-то типа сброс настроек, так вот она помогает.

к сожалению или радости, но это происходит не на моем компе, а на компах моих клиентов. Сам живу на WinXP SP3 с последними обновлениями + закрыты опасные порты с помощью проги wwdc.exe. Также зашарены все системные ресурсы (например C$, D$ и т.д.) с помощью lansafety_setup. Файервола нет вообще. Даже брендмауер вырублен. Пользуюсь 2-мя браузерами: стандартным виндовым необновленным, но в основном Opera 9.25 (более новые версии не люблю - ненравится, что в кеше все файлы отображаются без расширении). Даже пробовал залезть на сайт, откуда у клиента информер загрузился - у меня ТТТ ничего не подцепилось..)))


к сожалению с последним, описанным мною выше, информером, который блокирует винду напрочь, таким способом бороться невозможно, потому как до ентой галочки просто не добраться..(((. Пришлось работать с помощью WinXPE (разновидность BartPE)

Я всегда знал, что компьютерщики - экстрасенсы
Как понять блокирует доступ к рабочему столу? Подробности в студию.
В ИЕ - Сервис - Надстройки - отключи все настройки, у которых не указан издатель, потом перезапусти ие. Затам удали все файлы надстроеек которые отключил.
В безопасном режиме грузится? Есди да, попробуй убить профиль пользователя и создай новый профиль.


P.S. Скачай CureIT (free.drweb.com)- у меня на одной клиенткой машине убил все порноинформеры, к слову они относятся к AdWare

З.Ы. Режте пользователям права на компе, не давайте им работать под правами администратора - Вам меньше потом работы.

1. Начну с последнего:

Это клиенты, а не сотрудники моей фирмы, потому проблем будет больше. Начнутся вопросы, почему не могу поставить игрушку. Не будешь же им объяснять, что у вас нет админских правов, потому что возникнет еще больше вопросов...
2. Далее про безопасный режим - читай ВНИМАТЕЛЬНО то, что процитировал. Там я написал, что " и не дает доступа к рабочему столу даже через безопасный режим." - итого на вопрос "В безопасном режиме грузится?" отвечаю НЕТ!
3. "Как понять блокирует доступ к рабочему столу? Подробности в студию." - позже приложу фото со второго, точно таким же способом заблокированного, компа (только что принесли, буду щас его лечить). На словах: после загрузки винды, вместо рабочего окна висит некое окно с указанным 4-ехзначным телефоном, в куда слать нужно некое слово для получения кода разблокировки и вводить ешго еще в одну строку..)))
4. Про "В ИЕ - Сервис - Надстройки - отключи все настройки, у которых не указан издатель, потом перезапусти ие. Затам удали все файлы надстроеек которые отключил." ответил чуть выше 1 час 15 мин назад, написав "к сожалению с последним, описанным мною выше, информером, который блокирует винду напрочь, таким способом бороться невозможно, потому как до ентой галочки просто не добраться..((("
5. Про "Скачай CureIT (free.drweb.com)- у меня на одной клиенткой машине убил все порноинформеры, к слову они относятся к AdWare" - в первых 2-ух вариантах информеров это возможно и помогло бы (я правда пробовал пользоваться подобным, но не этим - не помогло, так как ничего найдено небыло). Но с данным, последним третьим информером этот фокус не прокатывает, так как заблокированно буквально ВСЕ и открыть доступ к чему либо из-под зараженной винды клиента я пока не нашел способа, кроме как грузиться с другой ОС и смотреть, что в этой лишнего.

P.S. По набору клавиш Ctrl+Alt+Delete для узнавания, что же за процесс сейчас работает и вышибить его, реакция нулевай. Как выяснил позже, эта функция заблокирована этим информером.

Ну а теперь про то, что я сделал из-под другой винды с виндой клиента:
1. Вычистил все кеши и содержимое всех временных папок, особенно тут C:\Documents and Settings\ххх\Local Settings
2. Отредактировал в корне диска C:\ файл boot.ini, оставив только то, что нужно, а именно
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
- в конце последней строки были добавленны еще 2 параметра.
3. Из корня диска C:\ удалил\переместил все файлы, кроме, естесственно, нужных для загрузки винды.

Понимаю, что комуто это будет сложно сделать самому, но я для того и создал тему, чтобы найти более простой путь.

Сейчас ставлю Sp3 + все обновления + блокирую шары и порты вышеуказанными программами. Винда сейчас работает исправно, за исключением невозможности запустить "Диспетчер задач" (пока недошли руки, чтобы это исправить)

Многа букаф - ниасил...
Юзаю Mozilla Firefox (+дополнение Adblock с русской подпиской) и KIS (всегда со свежимы базами).
Никаких порноинформеров, тупых баннеров и прочего хлама не наблюдал уже года 2 (при ежедневном серфинге).

согласен, вариант, раз теьбе помогает, но мои клиенты (от 6 до 70 лет) обычный IE юзают..

НЕ ПУТАТЬ С ПОРНОИНФОРМЕРАМИ КОТОРЫЕ В IE!!! ВИНДА НЕ ГРУЗИТСЯ ВОБЩЕ НИ В КАКОМ РЕЖИМЕ!

всё что он описал! это новый вид информера который появился 2 дня назад!!! и быстро распространяется! антивири по крайней мере до вчерашнего дня его не видели!!!! подвержены в основном ХР (загрузчик не такой как у висты)
винда полностью блокируется!!!
на сегоднишний день 15 компов мене попалось с этой проблемой! благополучно вылечены!

Святой, глянь в личку, пока ты тут, пожалуйста..)))

Вот эта програмка мне часто помогала в таких случаях.. Этакая подтирка нарушений после действия виря. http://razblocker.narod.ru/(внешка!!!!)

не существует пишет..((

P.S. извинтиляюсь..щелкнул неглядя..)))

поступил проще...создал новую учетку и все стало работать как в былые времена...а старую удалил, предварительно переместив все с рабочего стола и из моих документов - профили игрушек и все остальное. Надеюсь они тоже будут работать, но предупрежу, что возможно нужно их будет переустановить....уффф...со вчерашним первым компом все..закончил..щас второй возьму и сфоткаю енту заразу, чтоб сюда для "наглядности" какой он показать..)))

блин...облом-с с фоткой..((((...как тока что выяснил, клиент уже отправил до того, как ко мне привести, sms... баланс при ентом у него вроде как на 200 или 300 рублей уменьшился..он сам просто не помнит сколько было...в общем ента зараза мне 1 лишь раз показала свое "личико" в виде того окна, что винда заблокирована и бла-бла-бла и фсе...винда грузится уже 5 раз раз без проблем.....пытаюсь его поймать, а его как будто нет....думаю что все-таки он где-то сидит и после нескольких загрузок винды вновь ее заблокирует....неужель ентот информер самоустранился после ввода ответного кода?...ща попробую откатить винду, надеюсь он появится снова и я, возможно, найду где ента херь сидела..)))

мдя...с откатом тоже беда...сам же настраивал и восстановление вырубил сделав потом образ ентой системы Acronis -ом....)))...блин...хочу его поймать...он по-моему 100-пудов сидит в каком нить месте на компе и ждет...хотя...может "честные" те программеры оказались и почестному сделали его самоустраняющимся после ввода кода?
Кстати, а ведь по ентому короткому номеру можно найти чела, так как, насколько я уже в курсе, такие номера не просто так даются и требуется, чтобы бабло до "хозяина" доходило при регистрации типа ЧП или организации?

Тогда тебе в отдел "К". Пусть выясняют.
Теперь вопросы. Как подцепить(именно подцепить) подобную заразу ?? Как удачно вылечиться ?? Как обезопасить машину от этой заразы ??

дык и я о том же...все что сам методом тыка использовал - уже описал...ставлю то, что написал...незнаю как еще попробовать...файервол конечно мощь, но насколько он хорошо будет блокировать всю енту заразу и с настройками простому юзеру там вовек не разобраться, а самому настраивать под нужды клиента - не один день уйдет..(((...так что нада знать конкретно, че за файлики на компе нада убивать...хотя и тут...я ж грю, уже 3 вида их...и каждый раз они под совершенно разного рода ПО маскируются...((

Просто хотел протестировать на машине отрезанной от сетки, вылечить и тд, потом обезопасить и опять попробовать заразить. И если всё пройдет удачно, то "поставить" защиту на остальные 50+ машин...
Кстати, не там ты тему создал...

да вот..тоже задумался, где бы ентот информер найти, чтоб в виртуалке протестировать...)))...а посчет не там тему создал - пусть модераторы перенесут ее в нужное место, я непротив...лишь бы побольше народу увидело, а особенно буду рад тем, кто что то реально дельное посоветует...хотя и тут уже кое что для себя нашел..))))))))) Ноопять же повторюсь - найдем способ избавиться от ентого информера - будет новый и вновь искать пути обхода придется..(((...а чтобы враз и навсегда...хм...самое реальное ставить файервол, настраивать так, чтобы пускал туда, куда ты точно знаешь, что неопасно и все...больше никуда не лезть..но енто не выход, ведь в мире стока интересного...особенно вот с ентим информером мне столько "удовольствия" он составил...)))))))))

В тему про новые пути обходы защиты
Лаборатория Касперского анализирует новую версию вредоносной программы KIDO (от 10.04.09):
Ссылка - http://www.kaspersky.ru/news?id=207732945 (Внешка)

Эти информеры и в башорге появились...ещё раньше антивирсных баз Касперского Х х ...у меня знакомый (один из многих) SMS отправил от злости и оно больше не появлялось...Хотя я убеждал, что "это для лохов" )) нет, ну правда, я не верю, что я бы это чудо не убил...хотя нет. Утверждение не верно. Я бы никогда это чудо к себе не пустил...а вот тем, кто пустил - уже и не убил бы собственноручно О_о но с программами так легче..просто. Как я уже где-то развивал тему - я активно использую и-нет без всякого файрвола и антивируса. Хотя с установленными онными, но отключенными (даже службы фонового режима) дабы не загружать и без того копеечную оперативку...для особых прадзничных случаев я звключаю это дело, через ту же консоль ммс (службы) и просто запускаю...да и переодически проверяю антивирусом, когда уезжаю куда на время более полусуток.

*color gray, BEGIN*

До сих пор не осилил стянутую (оч'очевидно не полностью) с нашего ftp папку !MUSIC BY NAME! размером в 290Гб (место кончилось на жд). Ну это мало относится к сабжу...(ну и что?) на которой Касперский нашел совсем не здоровое кол-во вирусов/троянов etc.

*color gray, END*

p.s. Не работает гад,цветоменялка и лень писать в ручную..ТТ

Если найдет источник, ссылку киньте в личку, тоже поковыряюсь на досуге...

По поводу заблокированного рабочего стола, скорей всего у тебя сбит дефолтный шел, как исправить:
1. Когда загрузится/заблокируется, жмем Ctrl+Shift+Esc или Ctrl+alt+del. Если запустился диспетчер задач, то можно продолжать дальше.
2. Жмем "Новая задача", вводим "Explorer.exe" если появился проводник то хорошо -)
3. Подобным образом запускаем "regedit.exe", проверяем ветку hklm\software\microsoft\windows nt\current version\winlogon
в параметре shell должен стоять "explorer.exe" без ковычек. Если там что то другое исправляем на explorer.exe. Перезагружаем.

Если это не помогло, берем диск с которого ставили винду (лчень важно чтобы дистрибутивы совподали, т.е. если ставили с диска хомяка сп2 то вставлять надо диск хомяка сп2), если диистрибутивы сопадают то установщик винды предложит восстановить винду. Соглашаемся. Это не чистая переустановка винды, а именно восстановления системных файлов, все установленные проги сохранятся.

Что касается обрезания прав пользователя, в одной из фирм которую я админю, всем пользователям отрубили права админа, и обьяснили как пользоватся Ranus чтобы поставить новую игруху на комп. И но проблемс =)

Не открывается у него Диспетчер.

А терь, чисто поржать: внешка
Зацените первйы комент к новости.

эх,не там немного тему сделали,сюда надо было---> http://forum.kazandom.ru/index.php?showtopic=18978

Запуск диспетчера задач включается и выключается через реестр, но редактирование реестра тоже скорей всего через сам реестр запрещено.
Хотя если машина в домене можно было бы и групповыми политиками спустить настройки.

Поэтому надо искать софт, который имеет возможность редактировать реестр не загружая винду. Вроде Hiren boot cd умеет, пока проверить не могу, под рукой нет его.

Она уже там, только сливать их влом... может Kluch потом сольет их вместе, если посчитает нужным...

C сайта http://www.securitylab.ru/news/377686.php

Примерно так:
При заражении машины, файлы blocker.exe и blocker.bin, копируется в директорию C:\Documents and Settings\All Users\Application Data, а также меняет в
разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon с параметра "Userinit"
"C:\\WINDOWS\\system32\\userinit.exe"
на
C:\\WINDOWS\\system32\\userinit.exe,C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\blocker.exe"

Жаль попробовать пока не на чем...((( Да и потом, если все так, уж больно подозрительно простые названия файлов blocker.exe и blocker.bin - сразу понятно, что для какой-то блокировки чего то.....)))))...Но в Application Data я не заходил, особенно которая под All Users-ом...вычищал временные папки, кеши и System Volume Information, в которой инфа для отката винды сидит...помогло..)))))))

вот оно че http://virusinfo.info/showthread.php?t=12248 Аж в 2007 году впервые подобное появилось..мдяяя...жаль тогда мне такое не попадалось..

Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker

Компания «Доктор Веб» информирует о появлении новой троянской программы, которая при запуске компьютера предлагает ввести регистрационный код якобы для регистрации нелицензионной копии Windows. Для получения регистрационного кода требуется отправить платное SMS-сообщение.

В последнее время значительно возросло число вредоносных программ-вымогателей, требующих отправить SMS-сообщения для получения доступа к системе или к пользовательским документам. 8 апреля 2009 года вирусными аналитиками компании «Доктор Веб» был получен образец очередной программы, которая распространяется в виде поддельных кодеков и при запуске Windows выводит сообщение о необходимости отправить SMS с текстом для разблокировки доступа к системе.

Trojan.Winlock обладает особенностью, позволяющей ему удалять себя через 2 часа после запуска. Для тех, кто не хочет ждать, специалисты компании «Доктор Веб» подготовили специальную форму, в которую можно ввести текст предполагаемого sms-сообщения и получить код разблокировки.

Компания «Доктор Веб» в очередной раз призывает пользователей не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS.

В свою очередь мы рекомендуем установить последние критические обновления (KB885250, KB921883, KB923414) и воспользоваться инструментами для удаления опасных червей из системы.

Размер : 39.8 Mb http://depositfiles.com/ru/files/fch5hsype

почет обновлении вот еще свежее http://poleznosti.ru/soft/file_catalog/?fi...=20080528205228 - сегодняшнее нашел..)))))))

http://news.drweb.com/show/?i=304&c=5



Знакомому помогло. Главное потом убить вирь который вызывает это

2СВЯТОЙ и vzhik777
Чет выложили одно и тоже... тоже самое я ссылкой выше указал... тему, чтоль не читаете? ;)

Проблема острая -пусть отдельно висит. Ато в " вирусах" затеряется..

...Спасибо..))))))

Ad Muncher 4.72.30400 - рекомендую, чтобы всякая рекламная пакость поверх страниц с сайтов не запускалась..)))...а то бывает, закрываешь енту рекламу, а она все-равно в новом окне запускается и ... последнюю версию информера так и словили те, кто ко мне за помощью обращался...

а-фи-геть! жена вчера с работы пришла и рассказала про свою напарницу, у которой баннер на полэкрана вылез с порнухой (муж грит куда то залез. Долго за енто его ругала..)))...). Она 2 раза sms отправляла и оба раза по 600 руб снималось. После ввода второго кода банер исчез. Мдя...(((

Сегодня поюзал генератор на сайте Доктора Веба... Сработало...

поделитесь ссылкой... и инструкцией

Я одного не понимаю. Как и где а главное какие чайники подцепляют такие информеры? Вот я сколько работаю за своим компом, никогда такой шняги не подцеплял. А где его можно подцепить то? В личку пожалуйста ссылочку

У мня Каспер Kido поймал. С флешки. Ходил фотки печатать. никаких последствий не было.
У коллеги на работе порно информер вылез. НОД32 пофиксил с последними базами.


Я щик скинь в личку. я тебе kido вышлю

Вот здесь (внешка)

и снова здравствуйте. Принесли комп, где "при попытке выйти в инет через браузер выводится сообщение о его (тобишь браузере) блокировке и снова отправить sms и как всегда с обещанием счастья..." - так мне рассказал сам клиент, я пока такого окна не увидел (вожусь с компом второй день). У кого то уже подобное встретилось?

P.S. Дочка у клиента залезла на сайт "В контакте" и там словила сию заразу.

Заметил другое...многие файлы в разных папках ЗАБЛОКИРОВАННЫ!!! Не удается не перезаписать, ни стереть их... Причем файлы от простых прог...

Хитрый вариант как получить доступ к заблокированному компу Удаление Trojan-Ransom.Win32.Blocker своими руками (внешний траффик)

Информеры-поразиты часто прописываются в в эксплорере. бывает что стартовой делает различные страницы и потом убрать невозможно, стоят трояны, запускающиеся при юзаньи ярлыка. Для ликвидации подобных есть хорошая прога. установки не требует, весит мало, проста в обращении. Называется HijackThis (по крайней мере у меня под таким названием валяется).

Не понимаю зачем лечить дырявый браузер?
Не лучше ли использовать альтернативный браузер, разновидностей которого сейчас море.
Opera, Mozilla Firefox, Google chrome, Safari, Netscape в конце концов...

А для удаления неудаляемых файлов советую Unlocker - http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe (Внешка ~255Кб)

Есть люди консервативных взглядов предпочитающие эксплорер другим программам.
оффтоп

Или просто не хотят якобы "усложнять" свою жизнь и "нагружать" свой мозг якобы "лишней" галиматней.
Но ни одного параметра, который выделялся бы в сравнение с параметрами других браузеров, даже в Internet Explorer 8 я как ни старался - не нашел...

оффтоп

Тем неменее, статистика показывает, что около 70% пользователей интернета используют IE!
Все дело в том, что эти 70 % -это обычные пользователи, которые смотрят на ОС как на икону и боятся что либо менять, да и при западных скоростях , какая разница кто быстрее открывает кто медленнее...
оффтоп , извиняюсь..

На этих 70% консервативных людей ориентируются в первую очередь разработчики сайтов и сервисов. А уж во вторую (и 32-ю) очередь на всяческие мозиллы файрфоксы и прочие оперы. Поэтому очень нередок вопрос "а чё в моем любимом браузере чего-то не работает" в т.ч. и на этом форуме и у тех кто выше пропагандирует другие хорошие браузеры.
Тема про браузеры в другом месте, здесь про информеры.
Оффтоп. Устное предупреждение

Сегодня обнаружился еще один интересный информер, вернее паразит -)

Как все получилось:
Пользователю, в аське пришло сообщение со ссылкой на картинку, от человека, который находится в его спике контактов, после открытии картинки, компьютер перезагрузился и на экране синий экран смерти. В безопасном режиме не грузится.
Просит отправить смс на номер 2090 и мол разблокируется комп.

Чтобы разблокировать комп и удалить паразита, достаточно ввести слово "ЗАЧИСЛЕНЫ", все после этого паразит самоубивается.


P.S. Этот паразит как-то умудрился через drweb пройти, с самыми свежами базами.

ну вполне возможно, что drweb о нем еще не знал....и не удивлюсь, если и другие антивири его тоже пропустили...