http://file.qip.ru/photo/YoMzGYTL/%D0%A4%D0%BE%D1%82%D0%BE001_2.html вот скрин.Требует оплаты на кошелек WebMoney
У товарища словился порнобанер требующий для разблокировки отправить деньги на счёт Телефона. Перепробовал все способы - ничего не помогло и в итоге по старинке снес и переустановил Винду.
Decker, Не сноси, дай нам дамп диска, т.е. C:/WINDOWS/, дальше делай че хочешь А по теме, то тебя не спасти...
Decker, обычный локер переписывающий MBR. Выводится запросто и не надо боятся слов "переписывающий MBR" это не TDL который не один антивирь пролечить не может. Как вывести такой локер? Да проще простого. Нам понадобится LiveCD(Kasperksy, ESET) и любая утилита для излечения от руткита TDL4.
Винблокиратор Выложу свою статейку. По ней я восстановил не одну сотню компов. Но так, как все постоянно усовершенствуется, может быть чего то не так, но это основной принцип работы блокиратора, если что логическим принципом можно доити и самому. В режиме LiveCD, в папке Windows\sistem32\ отыскать файл cmd.exe. Его нужно вырезать и переместить в какую то, заранее заготовленную, папку для последующего возврата на прежнее место (в любом случае). Это нужно для того, чтобы в процессе последующей перезагрузки отменить загрузку *.bat файлов. В большинстве случаев, программа (вирус) имеет такое расширение. После перезагрузки компа, если не включилось блокировочное окно, то выбрано правильное направление. В этом случае заходим в командную строку, запускаем rededit (редактор реестра) и идем по пути \HKEY_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell (примерно 8 строка снизу) смотрим значение файла. Должно быть Explorer.exe, или прописан путь нахождения вредоносного файла. Прописуем Explorer.exe , предварительно запомним путь вредоносного файла и сохраняем. По указанному пути находим вредоносный файл и удаляем. Не помешает поискать дубликаты. Обязательно возвращаем ранее перенесенный cmd.exe на место и делаем перезагрузку. Если после перемещения cmd.exe , при перезагрузке, всплывает «вредоносное окно», значит фай имеет расширение *.exe. Возвращаем cmd.exe на место и загружаемся с LiveCD. Обычным поиском ищем файлы с расширением *.exe за то число, когда и возник «вирус» и по очереди запускаем каждый. Который файл будет вредоносный, тот и запустит «ЗАСТАВКУ». Перегружаемся в LiveCD, находим этот файл и удаляем. Делаем перезагрузку компа. Винда загрузится но без ярлыков и прочего, будет только картинка рабочего стола. Нажимаем Ctrl+Alt+Del , в диспетчере задач нажимаем \Файл\Новая задача\, в командной строке вводим regedit и в редакторе реестра заходим по выше указаному пути и в строке Shell прописуем Explorer.exe. Через минуту все должно включится. Делаем перезагрузку и утилитами чистим реестры и ненужные файлы, также ищем дубликаты вредоносной программы. P.S. Обязательно почистить все Temp и Templorary Internet Fills. Кому помог – не откажусь от благодарности (на пивко): WebMoney U288174289659 R299711314744 Z418993230636
maksum1609 #66 В начале лучше запустить ЛайвСиДИ, затем сделать восстановление системы из точки восстановления, если она есть - то 80 процентов, всё теперь будет норм И ещё, исправь ошибки, вероятно ты их специально поставил, но поверь - далеко не прикольно..
По поводу ошибок - если они есть то я их сделал не специально! Укажите какие и я их с удовольствием исправлю. Тем более я не хакер и не программист, просто немного волоку в технике.
Windows\sIstem32\, правильно надо Windows\system32\ reDedit, правильно надо regedit Templorary Internet Fill[]s, пропустил букву, правильно Filles... P.S Есть и ещё вроде, почитай текст, посмотри.
Спасибо !!!! Люблю критику и работу над ошибками! Статью поправил, но не обессудте, подучиваю дочку и иногда отвлекаюсь, если что пишите В режиме LiveCD, в папке Windows\system32\ отыскать файл cmd.exe. Его нужно вырезать и переместить в какую то, заранее заготовленную, папку для последующего возврата на прежнее место (в любом случае). Это нужно для того, чтобы в процессе последующей перезагрузки отменить загрузку *.bat файлов. В большинстве случаев, программа (вирус) имеет такое расширение. После перезагрузки компа, если не включилось блокировочное окно, то выбрано правильное направление. В этом случае заходим в командную строку, запускаем regedit (редактор реестра) и идем по пути \HKEY_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell (примерно 8 строка снизу) смотрим значение файла. Должно быть Explorer.exe, или прописан путь нахождения вредоносного файла. Прописуем Explorer.exe , предварительно запомним путь вредоносного файла и сохраняем. По указанному пути находим вредоносный файл и удаляем. Не помешает поискать дубликаты. Обязательно возвращаем ранее перенесенный cmd.exe на место и делаем перезагрузку. Если после перемещения cmd.exe , при перезагрузке, всплывает «вредоносное окно», значит фай имеет расширение *.exe. Возвращаем cmd.exe на место и загружаемся с LiveCD. Обычным поиском ищем файлы с расширением *.exe за то число, когда и возник «вирус» и по очереди запускаем каждый. Который файл будет вредоносный, тот и запустит «ЗАСТАВКУ». Перегружаемся в LiveCD, находим этот файл и удаляем. Делаем перезагрузку компа. Винда загрузится но без ярлыков и прочего, будет только картинка рабочего стола. Нажимаем Ctrl+Alt+Del , в диспетчере задач нажимаем \Файл\Новая задача\, в командной строке вводим regedit и в редакторе реестра заходим по выше указаному пути и в строке Shell прописуем Explorer.exe. Через минуту все должно включится. Делаем перезагрузку и утилитами чистим реестры и ненужные файлы, также ищем дубликаты вредоносной программы. P.S. Обязательно почистить все Temp и Templorary Internet Filles. Кому помог – не откажусь от благодарности (на пивко): WebMoney U288174289659 R299711314744 Z418993230636
Способ третий найти оператора короткого номера и позвонить объяснив ситуацию с вирусом в 90% обезьянка на телефоне продиктует вам 1 или 2 разблокировачных кода. Далее чистим комп антивирусом.
При таком раскладе, я захожу на любой сайт с смс контентом, звоню оператору и говорю что у меня винлок требует тото тото отправить на номер такой-то. Они дают кей, я получаю контент нашару.
заражен MBR , ФАЙЛОВОЙ СИСТЕМЫ НЕ ВИДНО!! , лайф версии касперского и Веба не катят, так же не кактит восстановление с помощью виндовского загрузочного диска, так же не помогает АКРОНИС что в таком случае делать (((
Можно попробовать восстановить MBR с помощью загрузочного диска Paragon Partition Manager BootCD или R-Studio
MBRLocker как убрать MBRLocker у меня 7 винда сразу как влючаю комп пишутся буквы яяя и т.д как его в ручную убрать?
Что за вирус? Проверил Курелтом от доктора Вэба ноут-он обнаружил пару видов- Тrojan.SMSSend.1405 и 968... Что делают данные трояны?