Как разблокировать Windows

Как разблокировать Windows В последнее время наблюдается рост количества вредоносных программ-вымогателей, требующих отправить sms-сообщение для получения доступа к заблокированной системе или к пользовательским файлам. В окне доступны текстовое поле Ввести полученный код и кнопка Активация.
8 апреля 2009 г. компания «Доктор Веб» сообщила о появлении нового образца подобной троянской программы, которая при запуске Windows предлагает ввести «регистрационный код» – якобы для регистрации нелицензионной копии Windows. Для разблокировки доступа к системе (якобы для получения регистрационного кода) требуется отправить платное sms-сообщение – с указанным текстом (последовательность случайных цифр) на указанный номер. Примерный текст сообщения: «Windows заблокирован. Для разблокировки необходимо отправить смс с текстом 4128800256 на номер 3649. Попытка переустановить систему может привести к потере важной информации и нарушениям работы компьютера». Что представляет собой вирус, блокирующий запуск Windows Данная вредоносная программа была добавлена в вирусную базу Dr.Web 08.04.2009 г., под названием Trojan.Winlock.19. Ее модификации автоматически распознаются технологией Origins TracingTM как Trojan.Winlock.origin. Trojan.Winlock распространяется в виде поддельных кодеков. Антивирус Касперского распознает вирус с 13.04.2009 г., как Trojan-Dropper.Win32.Blocker.a. Panda Security с 20.04.2009 г. идентифицирует вирус, как Trj/SMSlock.A. Вирус представляет собой троянскую программу, устанавливающую в систему другую вредоносную программу, которая блокирует работу операционной системы Windows. Программа является приложением Windows (PE EXE-файл). Имеет размер 88576 байт. Написана на C++. Деструктивные действия вируса После активации вирус извлекает из своего тела файл во временный каталог текущего пользователя Windows – %Temp%\<rnd />.tmp (<rnd /> – случайная последовательность цифр и букв латинского алфавита). Данный файл имеет размер 94208 байт и детектируется Антивирусом Касперского как Trojan-Ransom.Win32.Agent.af. После успешного сохранения файл запускается на выполнение, выполняя следующие действия: – для автоматического запуска в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] системного реестра вирус изменяет значение строкового (REG_SZ) параметра Userinit – на %Temp%\<rnd />.tmp; – в зависимости от текущей даты вирус отправляет http-запрос: %3Crnd1%3E.com/regis***.php?guid={<rnd2 />}&wid=<rnd3 />&u=<rnd3 />&number=<rnd4 />install=1, где <rnd1 /> – url-ссылка, сформированная по специальному алгоритму в зависимости от текущей даты, <rnd2 /> – специально сформированный уникальный идентификатор, <rnd3 /> – случайное число, <rnd4 /> – серийный номер жесткого диска. – после перезагрузки ПК вирус выводит окно с предложением отправить sms-сообщение на указанный номер для разблокировки; – при разблокировании операционной системы Windows в рабочем каталоге вируса создается файл командного интерпретатора под именем a.bat. В данный файл записывается код для удаления оригинального файла вируса и самого файла командного интерпретатора. Затем файл a.bat запускается на выполнение (кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен). Как разблокировать Windows Для ручной разблокировки Windows, заблокированной вирусом Trojan.Winlock, вы можете воспользоваться формой, разработанной специалистами «Доктор Веб»: – в текстовое поле Текст для SMS введите текст sms (с экрана монитора заблокированной системы), нажмите кнопку OK; – в текстовом поле Код активации появится код, который нужно ввести в текстовое поле Ввести полученный код на заблокированной системе. Как удалить вирус вручную Загрузите Windows в так называемой «чистой среде», например, воспользовавшись загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander: – вставьте диск с ERD Commander в лоток CD-ROM, перезагрузите ПК; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с CD-ROM, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – в появившемся меню Мастер восстановления Windows XP выберите Загрузка ERD Commander –> Enter; – внизу появится строка состояния Starting Winternals ERD Commander; – после загрузки драйвера видеокарты в появившемся окне нажмите кнопку Skip Network Configuration; – в окне Welcome to ERD Commander выберите свою ОС –> OK; – когда загрузится Рабочий Стол, дважды щелкните значок My Computer; – в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\); – удалите оригинальный файл вируса, как правило, он расположен во временном каталоге текущего пользователя Windows – %Temp%\<rnd />.tmp (может иметь атрибуты Скрытый, Системный, Только чтение); – закройте окно ERD Commander Explorer; – нажмите Start –> Administrative Tools –> RegEdit; – в окне ERD Commander Registry Editor найдите раздел [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]; – исправьте значение строкового REG_SZ-параметра Userinit на C:\WINDOWS\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то :\Windows\system32\userinit.exe,). Вирус устанавливает значение этого параметра %Temp%\<rnd />.tmp; – в этом же разделе исправьте (при необходимости) значение строкового REG_SZ-параметра Shell на Explorer.exe; – закройте окно ERD Commander Registry Editor; – нажмите Start –> Log Off –> Restart –> OK; – во время перезагрузки нажмите Delete для входа в CMOS Setup Utility; – установите загрузку ПК с винчестера, нажмите F10, санкционируйте сделанные изменения, начнется перезагрузка; – загрузите Windows в обычном режиме; – проверьте систему антивирусом со свежими базами. Примечания 1. Внимание! Не поддавайтесь на уловки вирусописателей, – не отправляйте sms по указанному номеру, не дарите деньги вымогателям, создавшим вирус. 2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами с регулярно (не менее одного раза в неделю!) обновляемыми базами. Валерий Сидоров
  • +8
  • 03 января 2010, 10:30
  • Freedom

Комментарии (17)

RSSсвернуть /развернуть
+
0
Была такая фигня. Никакой генератор не помог.
avatar

Andron0808

  • 03 января 2010, 10:41
+
0
хм а еше на башорге байку травят что можно еше проше его убить))\nв обшем алгорит описанный там прост)\nбереж и зажымаеш Ctrl+alt+Delet с помошью какихнит суровых и тежелых предметов(хз мона пробнуть шариком из подшыбника для трактора белорусь)и дело начинает моргать фатически мона реально с зажатыми кнопачками исползую мышку заипашить его и исползую инструкию(читай статью) убить файлики этого вирусячки ag
avatar

Valkira

  • 03 января 2010, 10:47
+
0
Я по-моему выкладывал эту новость, но её не пропустили. \nНечестно. ac
avatar

Returs

  • 03 января 2010, 10:51
+
0
Returs То что ты выкладывал было в ДВЕ строчки, даже и не сравнивай
avatar

FrikerOla

  • 03 января 2010, 10:59
+
0
-=] FrIkEr [=-,\nВо-первых, я разделил статью на несколько частей, \nВо-вторых, читал советы и подробные описания программистов по этому поводу. \n\nПросто времени нет на полнле оформление стоящей новости
avatar

Returs

  • 03 января 2010, 11:07
+
0
у меня было такое, он сам пропадает через 2 часа ab
avatar

WraGer

  • 03 января 2010, 11:44
+
0
безопасный тоже не запускается так то
avatar

eXtreme

  • 03 января 2010, 11:58
+
0
ахха месяца 2 назад отмучался… тоже его подцепил… даже никакие ключи не помогают все равно через 30 сек вылазит окно… я так ключ наверное сгенерированный вводил раз 500 пока вир не удалил с компа… а еще закрытие процесса explorer.exe помогал при старте системы, чтобы окно не вылазило а там уже через "выполнить" включал оперу и юзал ресурсы чтобы удалить вирус… Троян винлок 302 был...............
у меня было такое, он сам пропадает через 2 часа
он у меня даже через 2 дня не пропал… я в биосе время менял на месяц вперед он все равно вылазил\n
avatar

Anti-Gomosek

  • 03 января 2010, 12:28
+
0
кстати, этот вирус «склонен к самоубийству»: через 2 часа после запуска он делает себе «харакири», то есть самоуничтожается, если в течение 2-х часов код разблокировки не введен
\n\nдва часа не подходишь к компу и ВУАЛЯ)))
avatar

Fanfirel

  • 03 января 2010, 14:46
+
0
 FrIkEr [=-]Можно было хотя бы ссылку дать где можно сгенерировать ключик
\nЗайди по ссылке в Первоисточник, там побольше и с комментаориями…
avatar

Freedom

  • 03 января 2010, 18:28
+
0
фигня это, а не вирус! хоть и безопасный режим блокирует.
avatar

pop-punk

  • 03 января 2010, 18:28
+
0
фигня. так то, летом сталкивался. просто сходил к другу — подсоединил винт к его компу — удалил все файлы связаные с этим вирусом, антивиром почистил на всякий случай и всё.
avatar

antysc

  • 03 января 2010, 19:09
+
0
было такое, снес систему на нетбуке, а установить не получается (пишет ошибка)… вот дерьмо((\n\nкстати реально много где читал, чо стоит просто подождать 2-3 часа
avatar

MiSHko

  • 03 января 2010, 19:43
+
0
Это для нас может и возможно подрубить винт к другой системе и удалить "вирусню". А вспомните обычных пользователей...\nЛично с такими вредоносными программами я не сталкивался. Зато мои знакомые сталкивались с различными модификациями этого вируса (они были обычными пользователями). По телефону объяснить толком ничего не могут, загрузочного диска у них нет (да и наврятли многим он помог), а добраться я до них не имел возможности.\nТак что автору респект и уважуха за эту статью. Закину в свой базу данных и при следующей нашей встречи с этой вредоносной программой буду готов (надеюсь).
avatar

Ghost-kun

  • 04 января 2010, 03:12
+
0
ненадо ни каких ключей у мну такая хрень была просто комп на ноч оставил и все прошло!
avatar

SIDOROVICH

  • 04 января 2010, 08:44
+
0
блин где я был раньше, ну чайник(((
avatar

MiSHko

  • 05 января 2010, 02:54

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
Валидный HTMLВалидный CSSRambler's Top100