категорії розділу

Статистика

Онлайн всього: 1

Гостей: 1

Користувачів: 0

46.4.130.245

комп'ютер заблокований

Сьогодні принесли ще один комп'ютер заражений цієї новомодної заразою. Включивши харчування на системнике і почекавши поки завантажиться хрюша (Windows XP) я побачив цікаве віконце з пропозицією заплатити 300 рублів злумишленнікам щоб компутер разблочіть. Віконце трохи відрізнялося від тих що я бачив до цього і було красиво оформлено витягами з КК (мабуть для залякування неурядових користувачів бажали тягнути з інету чергову mp3'шку =))). Ну що ж .. почали лікувати .. =)

Після завантаження з live cd (улюблений KUPR soft 2 Gb ,. а конкретно Alkid cd з його комплекту) я насамперед нацькував на вінду утиліту autoruns ( sysinternals.com ) І почикались всяку Левот =) Також в системі був виявлений новий користувач з оригінальним ім'ям aa. Його я пізніше зніс, а поки додав нового адміна утилітою PasswordRenew. Перезавантажився, залогінився новим користувачем і .. знову "Комп'ютер заблокований". Ну нічого, знову завантажився з лайва і поліз шукати далі.

Знайшов цікаві речі в гілці реєстру HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \. Там поправив значення ключів Shell = "Explorer.exe" і Userinit = "C: \ Windows \ system32 \ userinit.exe". Знову перезавантажився і ... знову "Комп'ютер заблокований!" Так що ж це таке то!

Знову поліз з лайва і почав все досконально перевіряти ще раз. Попутно зніс "програму для контакту" VPets (відомий розсадник вірусів на який дофіга людей ведеться). А потім виявив що в C: \ Windows \ system32 \ userinit.exe мешкає сама вірусних підмінила оригінальний файл. Довелося повернути його на місце запозичивши його з вінди встановленої на моєму ноут =) І лише тільки після всіх цих маніпуляцій винда запустилася без надокучливого віконця. Чекаємо що придумають шкідливі вирусописатели в наступний раз =)

Придатний рецепт для лікування:

1. Завантажитися з live cd
2. Почистити автозагрузку (утиліта autoruns від Марка Руссиновича ), Видалити нових створених користувачів (ERD Commander, утиліта PasswordRenew)
3. Перевірити шляху для ключів реєстру в гілці HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
4. Перевірити explorer.exe і userinit.exe на предмет підміни
5. перезавантажитися
6. PROFIT !!!

Якщо Ваш комп'ютер заблокований, тобто на робочому столі з'явилися н іже перераховані зображення, то швидше за все, це не має відношення до того, що Ви використовуєте неліцензійне програмне забезпечення. На цей раз комп'ютер заблокований вірусом.

Тут представлені найбільш часто зустрічаються варіанти вікон, коли комп'ютер заблокований.

Що потрібно зробити, коли Ваш комп'ютер заблокований?

По-перше, не відправляти смс! Код Вам все одно ніякий не надішлють. А рахунок на оплату послуг стільникового оператора надішлють, і досить скоро. Врятли Вам вдасться довести, що смс відправив сусід зловмисник, або Ви це зробили не по своїй волі.

По-друге. Подібних вірусів кілька. І ведуть вони себе по різному. Перші екземпляри вірусу, комп'ютер заблокований, самознищувалися через деякий час. Користувач не встигав як слід злякатися, як вірус пропадав, так само швидко як і з'являвся. Наступні версії вже не самознищувалися. Від них позбувалися, вводячи заповітний код, який можна було отримати на сервері DrWeb. Однак, час іде, і вірус комп'ютер заблокований, стає все кровожерливіше. Зараз, в більшості випадків, ніякі коди не допомагають.

Найкращий вихід із ситуації, коли комп'ютер заблокований, який ми Вам настійно рекомендуємо, це скористатися комплектом Анти-Банер . У цьому випадку, Ви з великою часткою впевненості збережіть Ваші дані.

Однак, якщо Ви впевнений користувач, і готові ризикнути Вашими документами, фотографіями та музикою, для Вас невелика інструкція на випадок, коли комп'ютер заблокований.

джерело

Вірус просить 400 рублів

У цій статті зняв відео, на якому показано як можна зняти банери з робочого столу комп'ютера на конкретному прикладі.

Знайомий на ноутбуці зловив вірус (банер), який видає такий зміст:

Ваш комп'ютер заблокований за перегляд, копіювання і тиражування відеоматеріалів містять елементи педофілії і насильства над дітьми. Для зняття блокування Вам необхідно сплатити штраф у розмірі 400 рублів на номер телефону МТС 8-911-291-76-49 begin_of_the_skype_highlighting 8-911-291-76-49 end_of_the_skype_highlighting, і т.д.

Авторські права на наданий матеріал належать автору сайту http://extremallife.ru

Цей вірус підміняє собою оболонку Windows (explorer), ну і звісно ж, блокує диспетчер задач, залипання клавіш (5 разів поспіль натиснути shift) і ін.

Для боротьби з вірусом я використовував так званий Live CD - диск, з якого можна завантажити операційну систему Windows без участі жорстких дисків, підключити «заражений» реєстр і в ручну видалити посилання на вірус і відновити стандартні значення.

Дивимося відео як позбутися від вірусу, який просить поповнити рахунок.

1. Необхідно скачати LiveCD xPE , Вірніше образ.

2. Записати образ на CD, наприклад, за допомогою програми неро або будь-який інший, подібної.

3. У Біосе вставити завантаження з CD-ROM

4. Вставити диск і завантажитися з нього.

До слова сказати, може бути безліч модифікацій вірусу і не для всіх цей спосіб може спрацьовувати, але пробувати в будь-якому випадку можна.

джерело

Категорія: Мої статті | додав: Chaika (18.05.2011) Переглядів: 1 271 | Коментарі: 1 | Рейтинг: 0.0 / 0 Всього коментарів: 1

Порядок виведення коментарів:

Частенько до мене приходять з плачем, розмазуючи соплі по замурзаним щоках вендузятнегі, підхопили популярну заразу, Коя блокує комп'ютери цього школоти геть і пише на екрані образливі слова: Ваш ПК, комп'ютер, Windows заблокований, за перегляд порнофільмів за участю неповнолітніх, перегляд фільмів з зоофілією і гомосека. Для розблокування Вам необхідно виконати наступні дії. У будь-якому терміналі оплати стільникового зв'язку, поповните номер такий то ... Інакше загрожує чимось на зразок: Якщо протягом 12 годин з моменту появи даного повідомлення, не буде введений код - всі дані, включаючи Windows і bios будуть БЕЗПОВОРОТНО ВИДАЛЕНІ, будинок згорить, дружина піде. Спроба перевстановити систему призведе до порушень роботи комп'ютера і статевого члена.
Вендузятнег в жаху - раптом мама або начальство дізнається, чим займається користувач даного комп'ютера, який основне коло його інтересів і пристрастей. Плакати перестаємо - і до справи.

1. При завантаженні компа тицяємо на кнопку F8 доки не отримаєте вибору варіантів завантаження венди.
2. Вибираємо режим завантаження - Безпечний, з підтримкою командного рядка
3. У командному рядку вводимо regedit.exe - запускаємо редактор реєстру
4. У редакторі слідуємо по папках таким маршрутом: HKEY_LOCAL_MACHINE-> SOFTWARE-> Microsoft-> ​​Windows NT-> CurrentVersion-> Winlogon. Тепер у вікні праворуч шукаємо параметр "shell". Стукало по ньому правою кнопкою миші і вибираємо редагувати. Замість необхідного значення - explorer.exe там був прописаний довгий шлях в одну з підпапок папки Temporary Internet Files, безпосередньо вказує на власне тіло ворога, який підміняє собою Провідник. Запам'ятовуємо цю адресу, копіюємо його в буфер обміну (це коли правою кнопкою мишки тирцаешь "копіювати" по виділеному фрагменту тексту), а в полі вводимо те, що треба, то є - explorer.exe (якщо там і варто explorer.exe - повністю видаляємо параметр shell - *** рада з коментарів)
5. Закриваємо редактор реєстру.
6. З командного рядка запускаємо Провідник (пишемо в ній: explorer.exe)
7. В адресний рядок вставляємо з буфера обміну той самий шлях, що був прописаний в реєстрі, АЛЕ! стерти в самому кінці адреси ім'я шкідника (щось на кшталт "xxx_video_ціфри.avi.exe" або наприклад "flash_plaer.exe"), щоб відкрилася тільки папка, його містить, тиснемо "Перейти".
8. Щоб довго його не шукав - повністю очищаємо всю папку. Усе.

Закриваємо експлорер, перезавантажується - все працює. Про всяк випадок шукаємо по всьому комп'ютеру подібні файли або файли з підозрілим закінченням avi.exe і грюкає їх. Якщо у вас все вийшло, в знак подяки можете разок-другий поклацати по рекламки, цим Ви - не надто переймаючись, посібник нам знайти жадані кошти на інтернет та на молочішко дітлахам). І скопируй собі цей текст, вендузятнег. Роздрукуй. Рано чи пізно він тобі знадобиться ...

Описаний вище троян зазвичай розташований в папці Temporary Internet Files (це папка кеша браузера)

Є ще версія подібної зарази. Вона сидить в папці браузера, наприклад для Мозилли - в його папці: C: \ Program Files \ Mozilla Firefox і має вигляд файлу з довгою назвою з цифр, щось на кшталт: 0.23456565534642.exe, має розмір близько 350 кБ, запускатися може звідки завгодно, наприклад так само - з реєстру. В принципі місць розташування та назв цієї вірусної може бути скільки завгодно, так що ...

Ставте Лінукс, бляді! © Віруси, черв'яки і інші трояни вам будуть не страшні
ДОПОВНЕННЯ від 4 берез. 2011

Розробники трояна Winlock продовжують винаходити нові схеми розповсюдження свого дітища. Схоже на те, що заробляти грошики розробники цього софта будуть ще дуже довго, незважаючи на постійно ведеться боротьбу з троянцями. Поки що виграє троянець, не в останню чергу, завдяки винахідливості своїх творців. Так ось, зараз, за ​​повідомленням експертів компанії «Доктор Веб», придуманий новий спосіб поширення зарази, яка блокує ОС Windows - коментарі в ЖЖ. Натиснувши на коментар, користувач потрапляє на фотохостинг, а звідти вже перенаправляється на ще один ресурс, з «полуничкою», де замість дівчаток користувач отримує троянця у вигляді exe-файлу.

Зрозуміло, що основна цільова аудиторія Winlock, що поширюється через ЖЖ - російськомовні користувачі, яких тут більшість. Це одна з перших спроб хакерів почати поширення трояна Winlock через соціальні мережі, оскільки до цих пір шкідливий ПО поширювалося через різні розважальні ресурси, на зразок сайтів з тієї самої «полуничкою» або підроблені файлообмінники.

Бережіть себе, дітлахи, які не клюйте на що попало, а краще підіть з соц.сетей, станьте анонімами, не довіряйте Інтернет нічого особистого ...

Звідси