Имя: Пароль:
IT
Админ
Как победить WinLocker?
, ,
0 Икогнито
 
23.07.11
20:42
При логине в WinXP выскакивает надпись на весь экран следующего содержания: вы шарились по порнухе ... бла-бла... нарушили закон, компьютер заблокирован, если не отправите SMS, то в 24 часа данные будут удалены.

Пробовал загрузочный диск от Касперского - не помогает. На клавиатуру не реагирует.

Что посоветуете, чтобы не сносить систему?
1 Krendel
 
23.07.11
20:49
посмотреть личилку в нете, и безопасный режим со всем отрубанием, далее сносишь всю автозагрузку и ищешь в лупой откуда этот гаденышь
2 Икогнито
 
23.07.11
20:58
(2) ни в какой безопасный режим войти не удается. При любом логине выскакивает надпись на весь экран.
3 Рэйв
 
23.07.11
20:58
(0)От частого хождения по порносайтам на ладонях растут волосыэ
4 Икогнито
 
23.07.11
20:59
(3) это личное дело каждого взрослого человека :)
5 Капитан Смоллет
 
23.07.11
20:59
Пробовал загрузочный диск от Касперского - не помогает. На клавиатуру не реагирует.

Подробнее. Там гента стоит. Почему клавиатура не работает? А мышка?
6 Рэйв
 
23.07.11
21:00
(4)Беспорно:-)...Как и последствия:-)
7 Икогнито
 
23.07.11
21:01
(5) до момента логина все работает. Логинюсь - весь экран закрывается этим объявлением и ничего сделать нельзя
8 Капитан Смоллет
 
23.07.11
21:03
(7) Ничего не понял. Есть лив-сиди от Касперского. Скачиваешь и ставишь на CD или флешку. Грузится Антивирус касперского под Gentoo. Проверяешь винт.
9 Икогнито
 
23.07.11
21:05
(8) у касперского на сайте скачал образ загрузочного диска для борьбы с винлокером. Не помогает.
10 Икогнито
 
23.07.11
21:06
(8) так же винт весь просканировал - ничего касперский не нашел
11 Капитан Смоллет
 
23.07.11
21:07
12 Krendel
 
23.07.11
21:09
Чот вас сегодня так и прет,
как снять локер?
13 Shandor777
 
23.07.11
21:09
(7) Не помог Касперский, скачивай Доктора веба. Делай то-же самое. Иногда один не находит, а другой находит.
14 sda553
 
23.07.11
21:09
Я удаляю какие то exe с dll ками из system32 (список забываю все время подсматриваю), после чего приходится накатывать восстановление с диска xp. Но зато избавляюсь.

Кстати, с тех пор как установил noscript ни одного lockerа, не сочтите за рекламу
15 Капитан Смоллет
 
23.07.11
21:12
(10) Ну тогда любой live-CD с ERD-коммандером и чисти реестр.
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
16 Икогнито
 
23.07.11
21:14
(15)
знакомый админ посоветовал качнуть hiren boot cd и через autoruns 9.5.3 как раз в эту ветку реестра залезть, пробую
17 Икогнито
 
23.07.11
21:17
(11) да, этот, ничего не находит
18 АСанСаныч
 
23.07.11
22:12
(17) Kak udalit' virus vruchnuyu
Zagruzite Windows v tak nazyvaemoi «chistoi srede», naprimer, vospol'zovavshis' zagruzochnym avariino-vosstanovitel'nym diskom, tipa Windows miniPE ili ERD Commander:
– vstav'te disk s ERD Commander v lotok CD-ROM, perezagruzite PK;
– vo vremya perezagruzki najmite Delete dlya vhoda v CMOS Setup Utility;
– ustanovite zagruzku PK s CD-ROM, najmite F10, sankcioniruite sdelannye izmeneniya, nachnetsya perezagruzka;
– v poyavivshemsya menyu Master vosstanovleniya Windows XP vyberite Zagruzka ERD Commander –> Enter;
– vnizu poyavitsya stroka sostoyaniya Starting Winternals ERD Commander;
– posle zagruzki draivera videokarty v poyavivshemsya okne najmite knopku Skip Network Configuration;
– v okne Welcome to ERD Commander vyberite svoyu OS –> OK;
– kogda zagruzitsya Rabochii Stol, dvajdy schelknite znachok My Computer;
– v okne ERD Commander Explorer raskroite disk, na kotorom ustanovlena OS (kak pravilo, C:\);
– udalite original'nyi fail virusa, kak pravilo, on raspolojen vo vremennom kataloge tekuschego pol'zovatelya Windows – %Temp%\<rnd>.tmp (mojet imet' atributy Skrytyi, Sistemnyi, Tol'ko chtenie);
– zakroite okno ERD Commander Explorer;
– najmite Start –> Administrative Tools –> RegEdit;
– v okne ERD Commander Registry Editor naidite razdel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon];
– isprav'te znachenie strokovogo REG_SZ-parametra Userinit na C:\WINDOWS\system32\userinit.exe, (esli sistema ustanovlena na diske C:\, esli na drugom diske, to <bukva_diska>:\Windows\system32\userinit.exe,). Virus ustanavlivaet znachenie etogo parametra %Temp%\<rnd>.tmp;
– v etom je razdele isprav'te (pri neobhodimosti) znachenie strokovogo REG_SZ-parametra Shell na Explorer.exe;
– zakroite okno ERD Commander Registry Editor;
– najmite Start –> Log Off –> Restart –> OK;
– vo vremya perezagruzki najmite Delete dlya vhoda v CMOS Setup Utility;
– ustanovite zagruzku PK s vinchestera, najmite F10, sankcioniruite sdelannye izmeneniya, nachnetsya perezagruzka;
– zagruzite Windows v obychnom rejime;
– prover'te sistemu antivirusom so svejimi bazami.

Извиняюсь за латиницу, но ERD коверкает кириллицу.
Последнее время, началась ещё подмена системных файлов.
Встречал подмену userinit.exe. Лечится подсовыванием файлов с рабочей копии окон.
19 АСанСаныч
 
23.07.11
22:15
18+ определяется по дате создания в папках \windows и \system32
20 Jackman
 
23.07.11
23:04
Номер телефона какой?
21 Икогнито
 
23.07.11
23:07
89111350605
22 Икогнито
 
23.07.11
23:08
+(21) у доктора Веба коды не подходят. Все 60 уже прогнал :)
23 Jackman
 
23.07.11
23:09
Поставь в БИОСе 2040....2050 год
24 Jackman
 
23.07.11
23:12
(21) Это твой личный или на который просит выслать денег?
25 Икогнито
 
23.07.11
23:16
Обновил Касперский Rescue Disk, прогнал еще раз.
Что-то касперский нашел и почикал.

НО ТЕПЕРЬ ДРУГАЯ проблема: локер исчез, при логине тут же автоматом идет завершение сеанса.
26 Икогнито
 
23.07.11
23:17
(24) 500 рублей который просит
27 Jackman
 
23.07.11
23:20
28 Икогнито
 
23.07.11
23:20
видать придется винду сносить(((((
29 Sedoy
 
23.07.11
23:22
На XP боролся очень просто, нужна просто некоторая ловкость пальцев. Нажимаешь одновременно тремя пальцами Ctrl Alt Del начинает мигать и исчезать диспетчер. Если отпустить, сразу исчезает. Надо одновременно держа три пальца подвести четвертым мышку и закрыть приложение винлокера. Оно закрывается и начинаешь спокойно искать и удалять винлокера или просто работать до следующей перезагрузки. Я так как то целую неделю с ним работал, пока не вычистил.
В Висте такое сделать не удалось...
30 Икогнито
 
23.07.11
23:23
(27) спасибо, буду пробовать
31 ТатьянаТВ
 
23.07.11
23:25
(30) Восстановление системы.
32 Jackman
 
23.07.11
23:25
(31) Мы спасены :)
33 ТатьянаТВ
 
23.07.11
23:26
(32) А то)
34 ТатьянаТВ
 
23.07.11
23:26
Вот на счет даты - правильно было.
35 Jackman
 
23.07.11
23:30
(34) А то)
36 ТатьянаТВ
 
23.07.11
23:33
(35) Затем чистила Temp- и всё ОК.
37 andrewks
 
23.07.11
23:34
и где вы их хватаете, что потом убрать не можете...
38 Капитан Смоллет
 
23.07.11
23:35
(37) Контакты, твиттеры, аськи  и пр. поебень...
39 sanja26
 
23.07.11
23:37
Мне помог Dr Web cure IT в безопасном режиме.
40 АСанСаныч
 
23.07.11
23:44
(34) Это только на старинных локерах срабатывает
41 Икогнито
 
24.07.11
00:34
(27) Jackman, спасибо!
Помогло. После удаления WinLocker пропал userinit.exe в windows\system32

Спасибо всем за помощь. Вопрос с локером закрыт :)
42 Икогнито
 
24.07.11
00:37
(39) у меня локер был и в безопасном режиме
43 smaharbA
 
24.07.11
08:46
больные люди
44 VladZ
 
24.07.11
08:51
(8) Обычно локеры не воспринимаются, как вирусы.
45 VladZ
 
24.07.11
08:54
+44 Лечится правкой реестра, как в (18).
Пару раз было такое, что userinit.exe был подменен. Приходилось заливать с другой тачки.
47 БалбесВ1с
 
24.07.11
09:27
(0)Скачай "локофф" и не парься вася.Каспер удалил зараженный юсеринит.А надо его заменить просто на здоровый.
48 zfadina
 
24.07.11
12:45
Как быть если не работает клавиатура?
49 zfadina
 
24.07.11
12:49
Единственно реагирует Enter
50 VladZ
 
25.07.11
06:59
Вот нужный инструмент: http://www.antiwinlocker.ru/AntiWinLockerLiveCD_features.html
51 smaharbA
 
25.07.11
07:04
(48) скриншот ?
53 smaharbA
 
25.07.11
08:13
(52) как ты себе это представляешь с домашним ноутом в котором к томуже отключен нетбиос и удаленный рееестр ?
54 filh
 
25.07.11
08:19
(50) хех, тоже подумывал написать такое...
55 aki_rezak
 
25.07.11
08:20
(0) поставь linux там это реализовано
57 smaharbA
 
26.07.11
06:51
(56) молодец, вот только не понятно зачем удаленное управление твоей подруге (к примеру)
58 zak555
 
26.07.11
08:08
порнушники
59 Визард
 
26.07.11
08:30
(0) нех порно смотреть и не будет вирусов
61 smaharbA
 
26.07.11
10:28
(60) в какой сети, а у бабушки твоей деушки то же есть админы ?
64 smaharbA
 
26.07.11
10:29
(62) ты неудачнег
65 smaharbA
 
26.07.11
10:29
(63) тогда еще раз прочти внимательно (53) и (57)
67 smaharbA
 
26.07.11
10:30
(66) ты уверен про "трепло" ?
69 smaharbA
 
26.07.11
10:36
(68) то есть - "Вы не знаете кто такой Паниковский, вот поезжайте в Киев и спросите"
70 stix2010
 
26.07.11
10:39
(0) переходите на линукс  и геморы больше вас не посетят
72 ЧеловекДуши
 
26.07.11
10:41
Как это люди умудряются подсадиться такие вирусы :)
Поди поверил натписи "Вирусов нет, отключите антивирусники" :D
73 stix2010
 
26.07.11
10:43
не, флешплеер видимо обновлял на прон сайте
74 Rebelx
 
26.07.11
10:49
загрузку с поддержкой коммандной строки уже предлагали?
75 Rebelx
 
26.07.11
10:52
кстати, поделитесь ссылкой на подобный вирь - буду тестить защиту
76 smaharbA
 
26.07.11
11:38
для одаренных мальчиков

http://www.n-d.ru/files/2011/
77 smaharbA
 
26.07.11
11:38
видео первые два вполне понятны, хотя и страдают от качества
79 bizon2008
 
26.07.11
11:52
У меня менеджер такую каку подхватил. Лечили просто. Винт к подбросили в рабочей машине, и прошли Касперским и Курейтом. Причем. Касперский что-то одно нашел, курей другое. Перестал загружаться рабочий стол. Но правкой реестра решили вопрос.
80 Terve-R-
 
26.07.11
12:18
Вчера весь вечер мучился удалял блокировщик
В базах на сайтах такого номера телефона не было. DrWeb только советовал набрать любые 6 букв. но не помогло.

Kaspersky WindowsUnlocker не помог. В текстовом режиме написал только, что ветки реестра им открыты и "Нажмите любую клавишу", потом возвращался в меню. Блокировщик никуда не девался.

Спасло только это чудо: AntiWinLockerLiveCD
http://www.antiwinlocker.ru/
Оказался на загрузочной флешке у меня, ну и попробовал.

Правда автоматически ничего прога не нашла, а вручную я методом тыка понажимал на кнопочки "вернуть по умолчанию" всяких стартовых операций, каталога пользователя, веток реестра и проч. В итоге после перезагрузки блокировщик исчез и больше не всплывал.
81 zfadina
 
26.07.11
17:48
Каспер и веб CD не помогли.Клава не работает. Помогло перевести дату в биосе.