Версия для печати темы

Автор: FildSnild 12.1.2011, 23:56

За последние два дня мне позвонили четыре друга из разных концов России с просьбой помочь в решении одной и той же проблемы. Эта проблема вызвана вирусом Trojan.Winlock, в результате чего зайти в окна невозможно, требуется отправить платное SMS или пополнить баланс абонента. Совершенно непонятно, на что эти люди рассчитывают при создании виря, так как номер очень оперативно блокируется СБ оператора мобильной связи. Однако, пострадавшим от этого не легче.
Итак, судя по количеству обращений, в нете начась мини-эпидемия локеров. Типовое окно заразы:

Что делать:
Скажу сразу, этот способ не охватывает все возможные версии вируса, но помог всем моим друзьям. Итак:
Дождитесь появления окна с требованием ввести код.
Вводите код 16342131
Загрузится пустой рабочий стол без иконок. Нажимаем Ctrl+Shift+Esc. Вылезает диспетчер задач.
Жмем: Файл-Новая задача (выполнить). Набираем в строке: explorer, нажимаем Ок.
Все, должны иконки появиться. Это еще не все. Потом надо залезть в инет и скачать с касперского бесплатную утилиту для удаления виря. Kaspersky Virus Removal Tool называется, через яндекс быстро находится.
Если не поможет, или нет инета, чтобы потом скачать антивирус, смотрим решение тут:
http://www.reelab.ru/erasebanner.php

Как защититься:
Не буду советовать не лазить по порносайтам - это ерунда. Заражены могут быть даже солидные ресурсы.
Судя по опрошенным другам, у всех них стояли бесплатные антивирусы типа аваст, которые против винлока не помогают. C касперский интернет секьюрити никаких заражений не наблюдается, DrWeb аналогично.

Да, и хочу предупредить, что плюнув на деньги и пополнив баланс абонента вы наверняка не избавите ваш компьютер от заразы.

Автор: rgraz 13.1.2011, 6:37

Коля, жжешь!
Format C и никакого мошенничества, заодно и комп очистится от залежей древней инфы, которую жалко выбросить, и кучи старых программ, которые не доходят руки снести.

Автор: swallow 13.1.2011, 10:28

Цитата: (rgraz @ 13.1.2011, 6:37) Format C и никакого мошенничества, заодно и комп очистится от залежей древней инфы, которую жалко выбросить, и кучи старых программ, которые не доходят руки снести. wink.gif

+100!!!

любой FW спасает от подобного го*на
например Agnitum или Kerio

Автор: TaG 13.1.2011, 14:10

Цитата: (FildSnild @ 12.1.2011, 23:56) За последние два дня мне позвонили четыре друга из разных концов России с просьбой помочь в решении одной и той же проблемы. Эта проблема вызвана вирусом Trojan.Winlock, в результате чего зайти в окна невозможно, требуется отправить платное SMS или пополнить баланс абонента. Совершенно непонятно, на что эти люди рассчитывают при создании виря, так как номер очень оперативно блокируется СБ оператора мобильной связи. Однако, пострадавшим от этого не легче. Итак, судя по количеству обращений, в нете начась мини-эпидемия локеров

из-за моей специфики работы мне такие зараженные компьютеры (с разными блокровщиками) приосят от 3 до 10 шт в день, по телефону примерно 10-15 обращений. Эпидемия началась в ноябре 2009, ее пик был весной-летом 2010г, сейчас стало заметно меньше...
по теме
ИМХО на ЭТОМ форуме такой тематике малость не место есть специальный сайты/форумы http://www.drweb.com/unlocker/index/?lng=ru и http://forum.drweb.com/ да и многие другие где все уже давным давно разжевано и пережевано...

Автор: maikal 13.1.2011, 14:32

Всем привет,есть одно золотое правело!чтобы несловить банер или так называемый троян.Нестоит посещать порно сайты И сайты С рекламай.также гадость можно засосать И С обменников. В инете юзаю С 2004года И нечего нецеплял.

Автор: p4s8x 13.1.2011, 20:04

да глупости всё это! все вирусняки и трояны попадают к нам через родной виндовый браузер Internet Explore 7 или 8, прежде чем чтото к вам попадёт всегда выскакивает какоето окошко с кнопками, вот нажатия на них и подкачивают всякую гадость и при перезагрузке компа эта гадость подгружается с системой и далее троян или вирус действует по заданию программиста-хацкера...
Чтобы меньше подхватывать всякую гадость, нужно пользоваться альтернативным браузером, я например использую гугл хром и фирефокс, оперу не люблю из-за её глюков в отображении сложных скриптовых сайтов на базе jQuery или битрикса. Так же в обязательном порядке должна стоять антивирусная программа, использую НОД32 года 4, до этого использовал доктора веба, нортона и естественно касперского, но касперский отпал из-за постоянной нагрузки на систему и сложной эвристики. Есть ещё отдельные програмки против троянов, их тоже желательно запускать если есть какието подозрения.. И не стоит посещать сайты сомнительного содержания, особенно если об этом предупреждает гугл или яндекс защита.

Автор: Tishka 13.1.2011, 22:27

Цитата: (p4s8x @ 13.1.2011, 20:04) да глупости всё это! все вирусняки и трояны попадают к нам через родной виндовый браузер Internet Explore 7 или 8, прежде чем чтото к вам попадёт всегда выскакивает какоето окошко с кнопками, вот нажатия на них и подкачивают всякую гадость и при перезагрузке компа эта гадость подгружается с системой и далее троян или вирус действует по заданию программиста-хацкера... Чтобы меньше подхватывать всякую гадость, нужно пользоваться альтернативным браузером, я например использую гугл хром и фирефокс, оперу не люблю из-за её глюков в отображении сложных скриптовых сайтов на базе jQuery или битрикса. Так же в обязательном порядке должна стоять антивирусная программа, использую НОД32 года 4, до этого использовал доктора веба, нортона и естественно касперского, но касперский отпал из-за постоянной нагрузки на систему и сложной эвристики. Есть ещё отдельные програмки против троянов, их тоже желательно запускать если есть какието подозрения.. И не стоит посещать сайты сомнительного содержания, особенно если об этом предупреждает гугл или яндекс защита.

вот первых это не троян и не вирус скорее всего, а файл сценариев windows, который прописывается в реестре, делает копии веток реестра и их запускает...
ты прав отчасти, эта хрень попадает на комп, только с согласия пользователя, пока он не принял эту хрень на свой комп сам, ничего у него не вылезит...

есть утилита, точнее даже уже больше антивирус от разработчика касперского, которая эту хрень лечит...avz4 называется...и еще бы не плохо поставить что то типа AnVir Task Manager, полезная утилита, которая в некоторых случаях может перехватить процесс,уго изолировать и удалить файлы...

Автор: Tishka 13.1.2011, 22:29

спасибо кэп за все, что ты до этого написал, даже читать не стал...советы они советами, но практика лучше...
а твою цитату

Цитата: (FildSnild @ 12.1.2011, 23:56) Да, и хочу предупредить, что плюнув на деньги и пополнив баланс абонента вы наверняка не избавите ваш компьютер от заразы.

надо переделать так:

Цитата: Да, и хочу предупредить, что плюнув на деньги и пополнив баланс абонента вы не избавите ваш компьютер от заразы.

Автор: p4s8x 14.1.2011, 2:57

Ставте виндоус 7))) ему подгрузить трояна проблематично...но мне винда эта просто не нравится в удобстве с хп

Автор: FildSnild 14.1.2011, 14:39

Коллег по работе, смотрю, полно ))))

Цитата: (swallow @ 13.1.2011, 10:28) любой FW спасает от подобного го*на

Я одно время держал агнитум, потом меня достало права программам прописывать, да и в KIS это реализовано.

Цитата: (TaG @ 13.1.2011, 14:10) Эпидемия началась в ноябре 2009, ее пик был весной-летом 2010г, сейчас стало заметно меньше...

Да вот фиг знает, раньше мне вообще не звонили по таким вопросом, а щас прямо пачками. Сегодня еще человек позвонил.

Цитата: ИМХО на ЭТОМ форуме такой тематике малость не место есть специальный сайты/форумы

Я очень хорошо умею пользоваться поисковиками, но быстро найти действенный способ у меня не получилось. При этом комп я не вижу, а консультирую человеков по телефону. Зачем написал здесь - чтобы вы могли быстро помочь своим друзьям, если они обратятся к вам с таким вопросом, а не лазить по нету. Я проверил на шести человеках уже - этот код разблокировки работает. Сам бы я, окажись в подобной ситуации взял бы диск с ERD-commander, загрузился бы с привода и вычистил RUN в реестре, не ища никаких кодов.

Цитата: (maikal @ 13.1.2011, 14:32) Нестоит посещать порно сайты И сайты С рекламай.также гадость можно засосать И С обменников.

Откуда угодно. На сайте "вести" в прошлом году трояна встречал.

Цитата: (p4s8x @ 13.1.2011, 20:04) все вирусняки и трояны попадают к нам через родной виндовый браузер Internet Explore 7 или 8, прежде чем чтото к вам попадёт всегда выскакивает какоето окошко с кнопками

Я насчет механизмов инфицирования не в курсе, но что-то мне подсказывать, что не всегда окошки вылезают.. Скриптик выполнился и привед.

Цитата: (Tishka @ 13.1.2011, 22:29) надо переделать так:

Народ то ли продуманный, то ли денег жалко - я в нете не нашел упоминания о людях, пополнивших баланс мошенникам. Поэтому написал "скорее всего"

Автор: swallow 14.1.2011, 17:19

Цитата: (FildSnild @ 14.1.2011, 14:39) Коллег по работе, смотрю, полно smile.gif))))

тогда предлагаю сделать соответствующую тему и трындеть там на около рабочие моменты.

Автор: BigMan 14.1.2011, 17:43

+100

Автор: Finist 14.1.2011, 18:51

Всем привет!!!
А мы используем правильное юниксойдное ПО, которому это усе по.........

Всем удачи в борьбе!!!

P.S. Тема действительно актуальна, Николай молодчина!!!

Автор: Tishka 14.1.2011, 19:20

Цитата: (FildSnild @ 14.1.2011, 14:39) Народ то ли продуманный, то ли денег жалко - я в нете не нашел упоминания о людях, пополнивших баланс мошенникам. Поэтому написал "скорее всего"

у меня есть примеры)))

Автор: Tishka 14.1.2011, 19:21

Цитата: (Finist @ 14.1.2011, 18:51) Всем привет!!! А мы используем правильное юниксойдное ПО, которому это усе по......... Всем удачи в борьбе!!! P.S. Тема действительно актуальна, Николай молодчина!!!

ну да, юникс рулит)))

Автор: p4s8x 16.1.2011, 0:42

ставте ubuntu ))).

Автор: TaG 16.1.2011, 1:09

Цитата: (p4s8x @ 16.1.2011, 0:42) ставте ubuntu )))

к сожалению под убунтой не све проги корректно работают...

Автор: ogirya2010 21.1.2011, 15:36

http://www.drweb.com/unlocker/index/?lng=ru и http://forum.drweb.com/ TaG выше эти ссылочки привёл, очень пользительные ссылочки, я тоже ими пользуюсь помогают! блин!! где только такие уроды беруться, которые все эти винлоки сочиняют, лучше бы пошли бы снег почистили. уже даже с приличных сайтов винлоки сыпаться стали, даже на авто ру выкладывают объявление о продаже с очень смешной ценой и ссылку, якобы на сайт автоломбарда, который распродается, заходишь туда и ЗДРАВСТВУЙТЕ! я недавно поймал с авто ру. Как сказала моя жена - надо презервативом пользоваться, чотб не словить чего либо. )))

Автор: Tishka 21.1.2011, 17:36

Цитата: (ogirya2010 @ 21.1.2011, 15:36) http://www.drweb.com/unlocker/index/?lng=ru и http://forum.drweb.com/ TaG выше эти ссылочки привёл, очень пользительные ссылочки, я тоже ими пользуюсь помогают! блин!! где только такие уроды беруться, которые все эти винлоки сочиняют, лучше бы пошли бы снег почистили. уже даже с приличных сайтов винлоки сыпаться стали, даже на авто ру выкладывают объявление о продаже с очень смешной ценой и ссылку, якобы на сайт автоломбарда, который распродается, заходишь туда и ЗДРАВСТВУЙТЕ! я недавно поймал с авто ру. Как сказала моя жена - надо презервативом пользоваться, чотб не словить чего либо. )))

без лоха и жизнь плоха...кто то работает руками, кто то головой...если ты так не можешь, то это не значит, что так не должен поступать другой...

Автор: Tishka 23.1.2011, 22:00

ну че ребята, только вот что удалил эту порнуху у себя с компа, зашел на сайт с музыкой и вуаля, уже пару винлоков висит)))...аж сам попутал сначала)))...но ничего AnVir Task Manager, справился в очередной раз...советую всем взять себе на вооружение...avz4 уже пятый раз пытаюсь натравить на winlock, бесрезультатно...

Автор: CROLL 3.3.2011, 14:41

Ребята, я не так давно слушал вебинары по антивирусам(Каспер, и Есет, Веб) там есть такие услуги как разьлокииииировка, достаточно просто переслать слово в слово требование .... а они на основе требований уже подбирают программу для удаления вредоносной утилиты. Ставится элементрарно просто скидываете прогу на флешку и потом вставляете в компьютер.... он всё сам делает. У меня лицензия ESET 4х за месяц выловил 3 таких проги....и червя в оперативке... рекомендую ЕСЕт(ь это не реклама))))) просто я внём не разочеровался.....

Автор: swallow 3.3.2011, 15:35

эт где такие вебинары? дай ссыль!

Автор: CROLL 12.3.2011, 10:41

Я даже не знаю, доступно ли вебинары ......
Просто у меня приходят ссылки на партнёрские вебинары..... но партнеррский раздел закрыл от обычных людей........ там много всего того что не стоит знать.... цены и тому подобное..... по объективнымпричинам ссылки не дам... уж извиняй....))))

Автор: CROLL 12.3.2011, 10:45

У макрософта есть открытые серии вебинаров на сайте но эт про винду и тому подобное......кстати вы знаете что в последней версии Win 7 есть встроенный антивирус....который может конфликтовать с не рекомендованным антивирусом))) а сайт http://www.microsoft.com/ru/ru/default.aspx
Ну а там по ссылкам искать надо там рекламмы и тому подобного тнет..... так что особо не сложно найти

Автор: sfayrat 22.4.2011, 20:25

Цитата: (CROLL @ 12.3.2011, 14:45) У макрософта есть открытые серии вебинаров на сайте но эт про винду и тому подобное......кстати вы знаете что в последней версии Win 7 есть встроенный антивирус....который может конфликтовать с не рекомендованным антивирусом))) а сайт http://www.microsoft.com/ru/ru/default.aspx Ну а там по ссылкам искать надо там рекламмы и тому подобного тнет..... так что особо не сложно найти

И вовсе он не встроенный и ставится не только на win7. Но лучше уж ESET или Каспер на толстый конец. От подобной бяки спасает элементарная внимательность, читать нужно куда тычеш. Вот почему если вам на "хонда" сервисе вам скажут что у вас карбюратор засорился и его нужно помыть и отрегулировать, то вы наверняка пошлете их нафиг, а если в браузере выскакивает сообщение, что антивирус "интернет секъюрити" обнаружил у вас на компьютере вирусы и предлагает их срочно вылечить, большинство соглашаетИся даже не подумав что у них на компе стоит совершенно другой антивирусник, который до этого никогда не выдавал подобных сообщений. Или флеш плеер который на одних сайтах прекрасно показывал видео а на другом вдруг оказывается, что он не установлен вовсе и нужно "его" скачать.

Автор: p4s8x 22.4.2011, 23:59

Пользовался года 3-4 нодом32, впринципе всё устраивало, но решил попробовать другой антивир... Bitdefender, как то он мне больше понравился, както стал чаще пищать на всё, но посмотрим...

Автор: Ded Mustdie® 26.4.2011, 14:03

Акронис в помощь, с посекторным откатом системы, один раз сделал и забыл, а антивиры фтопку, мешают только)))
з.ы. ну и АнВир Таск Манагер для мониторинга полезен

Автор: hAhol13 1.6.2011, 17:25

Жутко полезная в таких делах вещь - загрузочный диск с uVS. Кажется так и называется - AntiWinlocker. В форумах касперского есть. Лечит быстро и непринужденно, зачастую автоматом. Реже - вручную. Ни разу не подвел такой специнструмент.

http://forum.kaspersky.com/index.php?showtopic=199377

Автор: Script-dv 9.9.2011, 12:08

Цитата: (hAhol13 @ 1.6.2011, 18:25) Жутко полезная в таких делах вещь - загрузочный диск с uVS. Кажется так и называется - AntiWinlocker. В форумах касперского есть. Лечит быстро и непринужденно, зачастую автоматом. Реже - вручную. Ни разу не подвел такой специнструмент. http://forum.kaspersky.com/index.php?showtopic=199377

Чёт ссыль пургу выдаёт, для таких вещей должно быть всё максимально доступно.

Вот видео

Согласен с собеседником. Диск реально помогает. По роду деятельности частенько людям компы реанимировать приходится
http://www.antiwinlocker.ru/

Автор: protei 23.9.2011, 11:29

У меня компьютеры в САР работают (чё даром не использовать свободный ресурс) , так недели две назад такую ерунду поймал, только на вебмани деньги скинуть предлагалось, форматировали и 7-ку поставили.
Всю важную информацию дублируем на независимым источниках, потому не пострадали фактически.
Но вот за это мошейничество в принципе уголовная ответственность полагается, почему правоохранители не реагируют никогда, вот в этом вопрос и к Вашему Путину (или кто там сейчас им работает) или к нашему любимому В Ф.