Переключись: [sonikelf.ru — основное] [sonikelf.com — Форум] [sonikelf.info — новости]

Главная » Интернет защита и сетевая безопасность » Windows заблокирован, отправьте смс [решение] [Trojan Winlock]

Windows заблокирован, отправьте смс [решение] [Trojan Winlock]

Доброго времени суток, дорогие друзья.

Сегодня речь пойдет о таком гадком вирусе, который делает так, что windows заблокирован почти наглухо (как правило, нельзя открыть диспетчер задач, попасть в безопасный режим и вообще как-либо взаимодействовать с системой) и требуется отправить смс-ку или вовсе сходить к терминалу и положить деньги на счет автора вируса, а потом, якобы, наступит разблокировка. На деле же никакой разблокировки Вашего Windows не будет и Вы просто потеряете деньги, а посему, настоятельно не рекомендуется никогда отправлять что-либо кому-либо в любом виде.

Не смотря на то, что это феноменальная пакость и она принесла много вреда обычным людям и их компьютерам, надо всё таки отдать должное изобретательности вирусописателей ибо, как-никак, наживаться на пользователях пиратской версии Windows (почему именно пиратской? Потому, что в лицензионной, постоянно обновляющейся Windows XP этот вирус попросту не работает) идея шикарная и, как я понимаю, прибыльная, ибо вирус постоянно модифицируется и улучшается всеми возможными способами. Во-вторых, дело даже не столько в идее, сколько в реализации, ибо сие чудо не прописано банально в автозагрузке, а заложено поглубже и срабатывает даже в безопасном режиме и при диагностическом запуске (загрузка только основных драйверов и служб), что составляет некие интересные трудности по разблокировки заблокированного windows, а трудности это всегда интересно.

block

В общем мне понравилось, но не остановило, а посему я предлагаю Вам набор решений по устранению этой гадости, блокирующей работу Windows и требующей оправки смс, а так же поведаю о том, что делать, если после удаления вируса у вас чистый рабочий стол или другие проблемы.

Windows заблокирован, отправьте смс.. Решаем проблему!

Описанные ниже решения актуальны почти для всех версий вируса за редким исключением. Если же у Вас по-прежнему windows заблокирован не смотря на все манипуляции и ухищрения, то свяжитесь со мной – займемся разблокировкой иначе и вместе. А теперь несколько вариантов и способов решения проблемы (пробуйте все, пока не придете к успеху):

Вариант 1 (коды раблокировки windows):

На сайте dr.web есть коды разблокировки и найти их можно тут. Просто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки. Так же, как вариант, Вы можете ввести номер куда просят отправить смс и текст сообщения, а затем нажать на кнопку “найти” и получить код.

После разблокировки тут же начинаем лечить систему нормальным антивирусом.
Если после разблокировки у Вас чистый рабочий стол, то читайте конец статьи.

Вариант 2 (с помощью avz):

  1. Берем рабочий компьютер и флешку\диск.
  2. Скачиваем avz, записываем его на флешку или диск.
  3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“.
  4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
  5. Вставляем диск\флешку в компьютер.
  6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
  7. Ждем пока появится знакомый нам “Мой компьютер
  8. Заходим на флешку\диск и запускаем avz.exe
  9. Выбираем “Файл - Мастер поиска и устранения проблем“. В появившемся окошке выбираем: “Системные проблемы” – “Все проблемы” и жмем кнопочку “Пуск“. Ставим все галочки кроме тех, что начинаются с “Разрешен автозапуск с..” и “Отключено автоматическое обновление системы“. После чего жмем “Исправить отмеченные проблемы“.
  10. Там же выбираем “Настройки и твики браузера” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.
  11. Там же выбираем “Приватность” – “Все проблемы“, отмечаем все галочки и жмем “Исправить отмеченные проблемы“.
  12. Далее жмем “Закрыть“, а затем, все в том же AVZ, выбираем “Сервис” – “Менеджер расширений проводника” и в появившемся списке снимаем галочки со всех строчек, которые написаны чернымт (а не зеленым цветом).
  13. После этого запускаем “Сервис” – “Менеджер расширений IE” и удаляем (именно удаляем, методом нажатия крестика) ВСЕ строки в списке.
  14. Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то либо воспользуйтесь способом третьим (ниже по тексту), либо просто все в том же “Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.

Вариант 3 (с помощью скрипта):

    1. Берем рабочий компьютер и флешку\диск.
    2. Скачиваем avz, записываем его на флешку или диск.
    3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“.
    4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
    5. Вставляем диск\флешку в компьютер.
    6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
    7. Ждем пока появится знакомый нам “Мой компьютер
    8. Заходим на флешку\диск и запускаем avz.exe
    9. Выбираем “Файл” – “Выполнить скрипт“.
    10. Вставляем в появившееся окно скрипт:

      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
      QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
      QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
      DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
      DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
      QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
      QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
      QuarantineFile('Explorer.exe csrcs.exe','');
      QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
      DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
      DeleteFile('Explorer.exe csrcs.exe');
      DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
      DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
      DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
      DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
      DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
      DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
      DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
      DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
      DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
      DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
      BC_ImportDeletedList;
      ExecuteSysClean;
      BC_Activate;
      RebootWindows(true);
      end.

Важно! Где вместо Ваш_аккаунт надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть sonik, может быть vasya или что-то еще, т.е. имя пользователя под которым Вы входите в систему.

  1. Жмем кнопочку “Запустить“. Ждем окончания работы скрипта.
  2. Перезагружаемся и видим, что блокировки windows больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то все в том же”Безопасном режиме с поддержкой командной строки” проведите полное сканирование системы AVZ-том как написано мною тут.

Вариант 4

Этот вариант порой помогает для старых версий вируса.
Заходим в BIOS (кнопочка DEL сразу после включения/перезагрузки компьютера) и переводим там часы на неделю вперед (как вариант, можно попробовать так же на неделю назад). Вирус, возможно, отключится, после чего запускаем систему и проверяемся нормальным антивирусом.

Вариант 5

Используем LiveCD от компании Dr.web, который позволяет просканировать систему с CD-диска и очистить её от этой гадости, которая блокирует работу windows.

Скачать образ программы можно прямо с моего сайта – ссылка.
Что касается установки. Нам надо записать образ на диск. Сделать это можно несколькими способами, но я рекомендую один единственный, а именно:

  1. Берем чистый диск, вставляем его в CD-ROM
  2. Скачиваем программку для записи SCD Writer, которую я рекомендовал тут.
  3. Скачиваем образ по ссылке выше.
  4. Запускаем SCD Writer, там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.

Дальше нам, собственно, надо сделать так, чтобы загрузка происходила не с жесткого диска, а с только что записанного CD. Для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM. После чего сохранить изменения и перезагрузить компьютер. Загрузившись с диска выбираем первый пункт в появившемся меню, а затем запускаем Dr.Web Scanner, запускаем само сканирование кнопочкой Start и ждем окончания, после чего, обрабатываем найденные вирусы, давая команду удалить их. Подробнее о использовании Dr.web LiveCD можно прочитать тут.

Вариант 6

С помощью скриптов Kaspersky Virus Removal Tool.

  1. Берем рабочий компьютер и флешку\диск.
  2. Скачиваем Kaspersky Virus Removal Tool и устанавливаем оный на флешку или диск.
  3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем “Безопасный режим с поддержкой командной строки“.
  4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
  5. Вставляем диск\флешку в компьютер.
  6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
  7. Ждем пока появится знакомый нам “Мой компьютер
  8. Заходим на флешку\диск и запускаем Kaspersky Virus Removal Tool
  9. В программе переходим на вкладку “Ручное лечение” и вставляем в окошко, по очереди, скрипты ниже, а затем нажимаем кнопочку “Выполнить”. Внимание! “По очереди” означает, что сначала вставляем первый и жмем кнопочку “Выполнить”, затем первый убираем, вставляем второй и снова жмем кнопочку “Выполнить” и так все скрипты.


    begin
    SearchRootkit(true, true);
    QuarantineFile('Base.sys', 'CHQ=N');
    QuarantineFile('explorer.ex', 'CHQ=N');
    QuarantineFile('hpt3xx.sys', 'CHQ=N');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
    QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
    BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
    BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
    BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
    BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
    BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
    BC_Activate;
    RebootWindows(true);
    end.


    var
    qfolder: string;
    qname: string;
    begin
    qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
    qfolder := ExtractFilePath(qname);
    if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
    CreateQurantineArchive(qname);
    ExecuteFile('explorer.exe', qfolder, 1, 0, false);
    end.


    begin
    Executerepair(16);
    ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.


    begin
    ExecuteStdScr(3);
    RebootWindows(true);
    end.

  10. Ждем перезагрузки, смотрим заблокирован windows или нет. Если все в порядке, то проверяемся на вирусы

Вариант 7. В случае особо злостного вируса.

Некоторые разновидности вируса довольно хитрым образом перезаписывают загрузочную область диска так, что устранить оный обычными методами не представляется возможным. Однако, в общем-то, способ есть и заключается он в следующем..

Вставьте установочный диск Windows и выставьте загрузку в BIOS с CD-ROM и, загрузившись с этого диска (для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM, после чего сохранить изменения и перезагрузить компьютер), вместо установки новой системы нажмите кнопочку R, чтобы открылась консоль восстановления. В этой самой консоли Вам предложат выбрать из списка ту систему, которую хотите восстановить (для этого надо нажать, например, 1 и Enter, а так же, отвечая на вопрос консоли, возможно, потребуется нажать следом кнопочку Y и Enter) и набрать команды FIXBOOT и FIXMBR (см.картинки ниже).

fixboot восстановление загрузки системы
fixmbr восстановление системы после ntldr is missing

Перезагружаемся, смотрим. Вирус, блокирующий работу системы должен был исчезнуть.

Далее у Вас могут появиться проблемы с работой Windows (последствия действий вируса) в виде голого рабочего стола, заблокированного диспетчера задач и пр. Если это так, то читайте статью дальше.

На случай, если не работает безопасный режим или Dr.Web LiveCD не помогает

Часто некоторые пишут о модификациях вируса, которые не позволяют попасть в безопасный режим (т.е баннер актуален и там, либо же безопасный режим вовсе не грузится), либо же LiveCD вирус не находит и не удаляет.

Действительно такое имеет место быть, но и здесь можно сделать, как говорится, ход конём, а именно, начать с восстановления интерфейса, а потом уже убить вирус. Чтобы восстановить интерфейс (т.е сначала разблокировать систему хоть как-то) необходимо воспользоваться всеми рекомендациями с подзаголовка “Решаем проблемы после удаления вируса, который блокировал систему“, а именно, ниже по тексту.

К слову, после проделывания оного (т.е упомянутой разблокировки путём всего, что идет ниже по тексту) рекомендуется сначала загружать систему в безопасном режиме дабы очистить вирус, а потом уже в обычном (ибо возможна повторная блокировка, если вирус прописан в автозагрузке).

Решаем проблемы после удаления вируса, который блокировал систему

Просто удалить вирус, который заблокировал windows и требует отправки смс, далеко не всегда достаточно, т.к. он меняет настройки реестра, а именно, скорее всего после удаления Вы увидите чистый рабочий стол и курсор мышки. Скорее всего, не откроется ни диспетчер задач, ни что-либо еще, не будет никакого доступа в панель пуск и никуда вообще. Можно конечно попробовать вылечить систему из безопасного режима, но, как правило, и он заблокирован и компьютер попросту перезагружается при попытке входа туда. Однако есть способ лечения.

Раз компьютер не загрузить с жесткого диска, то мы будем грузить его с CD, благо есть дистрибутивы загрузочных дисков Windows XP, которые позволяют грузится с себя напрямую. И так, что делаем:

  • Берем другой компьютер, флешку и диск.
  • Скачиваем вот этот архив. Распаковываем.

    Специально для тех кто в танке и постоянно пишет грозные и гневные комментарии/письма на тему того, что в упомянутом выше архиве хранится вирус, трояны и прочие ужасы жизни. Я уже неоднократно писал, что никаких вирусов там нету, зато там есть ряд софта на который антивирус, на всякий случай, перестраховываясь, реагирует, так сказать, нервным способом (а именно воплями о вирусе и тп), что логично, учитывая, что там (в архиве) есть редакторы реестра, антивирусы с базами и прочие программы, которые позволяют копаться Вам внутри системы и возвращать её работоспособность в самых критичных ситуациях.

    Если Вы не доверяете моему архиву и моим словам, то можете смело отказаться от его использования и сидеть с вирусом-блокиратором дальше.

  • Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
  • Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.
  • Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
  • После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
  • Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, – тогда откройте мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, – во второй раз откажитесь, если все уже проделали.
  • В редакторе реестра есть два типа ветвей (ветвь – это что-то вроде структуры с папками, – в окне редактора они слева). Одни, – это текущие, т.е. той системы в которой мы сейчас находимся, а другие, – это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(…), где (…), – название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
  • И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(…)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой, после чего справа появляется список настроек этого раздела. Там должна быть строка shell где вместо того, что там указано надо написать (два раза щелкнув по настройке мышкой) ничто иное как explorer.exe. Так же там есть строка userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если конечно папка с системой на диске C, если же нет, то укажите свою букву диска). Внимание! Эта строка должна заканчиваться запятой! Так же внимательно просмотрите все другие строчки на предмет наличия левых путей, ведущих не в систему.
  • Далее мы открываем Мой компьютер и идем в папку с системой, а именно в windows/system и там ищем user32.exe. Его может и не быть, но если находим – удаляем. Затем смотрим корневые разделы дисков (открываем диск С, диск D если есть и т.д. – все диски что у вас есть) и удаляем оттуда файлы autorun.inf и любые файлы с расширением .exe. После этого загружаем dr.web cureit и проверяем зараженную систему.
  • Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.
  • Обязательно сканируемся на вирусы хорошим антивирусом.
  • Если Windows таки не загрузился вообще, то пытаемся перегрузиться в безопасном режиме.

На случай, если не работает диспетчер задач:

  • Скачиваем avz.
  • Распаковываем архив, запускаем программу.
  • В окне программы выбираем “Файл” – “Восстановление системы”
  • Ставим галочку “Разблокировка диспетчера задач” и давим в кнопочку “Выполнить отмеченные операции“.
  • Закрываем программу, пробуем запустить диспетчер задач.

На этом всё.
Должно ожить  :-)

Послесловие.

Надеюсь, что вышеописанные методы Вам помогли разблокировать Ваш заблокированный Windows без лишних потерь денег и переустановки системы.

Если не помогли, то пишите или оставляйте комментарии, – будем бороться вместе.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile(‘C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe’,”);
QuarantineFile(‘C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe’,”);
QuarantineFile(‘C:\Program Files\AskBarDis\bar\bin\askBar.dll’,”);
DelBHO(‘{638E9359-625E-4E8A-AA5B-824654C3239B}’);
DelBHO(‘{1A16EC86-94A1-47D5-A725-49F5970E335D}’);
QuarantineFile(‘C:\Documents and Settings\All Users\Application Data\zsglib.dll’,”);
QuarantineFile(‘C:\Documents and Settings\All Users\Application Data\phnlib.dll’,”);
QuarantineFile(‘Explorer.exe csrcs.exe’,”);
QuarantineFile(‘C:\WINDOWS\System32\drivers\68ed4e7b.sys’,”);
DeleteFile(‘C:\WINDOWS\System32\drivers\68ed4e7b.sys’);
DeleteFile(‘Explorer.exe csrcs.exe’);
DeleteFile(‘C:\Documents and Settings\All Users\Application Data\phnlib.dll’);
DeleteFile(‘C:\Documents and Settings\All Users\Application Data\zsglib.dll’);
DeleteFile(‘C:\Program Files\AskBarDis\bar\bin\askBar.dll’);
DeleteFile(‘C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe’);
DeleteFile(‘C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe’);
DelBHO(‘{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}’);
DelBHO(‘{3041d03e-fd4b-44e0-b742-2d9b88305f98}’);
DelBHO(‘{201f27d4-3704-41d6-89c1-aa35e39143ed}’);
DelCLSID(‘{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}’);
DeleteFileMask(‘C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5′, ‘*.*’, true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ВАЖНО! Прежде чем писать - прочитайте комментарии, быть может, то, что Вам нужно, там уже есть. Так же, ознакомьтесь с правилами комментирования.

У проекта есть свой форум. Именно там Вы можете получить ответы на многие вопросы.

Что-то пригодилось и помогло? Понравился проект? Скажите спасибо и поделитесь ссылкой с друзьями!.

Не справляетесь сами, но не хотите платить сомнительным сервисам компьютерной помощи? Попросите меня.

Комментарии. Присоединяйтесь к обсуждению!

  1. Алина
    13 августа 2010 - 10:08

    И то что новое устройство, появляется уже третий раз, при запуске компа(

  2. smilyk
    17 августа 2010 - 16:42

    столкнулся с такой ситуацией, когда вирус не давал запустить AVZ и вместе с тем отключал антивирус и файервол. Пришлось на другой(логический) диск ставить новую винду и через нее сканить систему. Сработало.

  3. MuayTai
    31 августа 2010 - 23:30

    Тут, часто встречал: не запускается CMD, AVZ и т.д.. И так, не вдаваясь в глубины защиты программ от взлома и вирусологии, скажу, что зловредный процесс скорее всего использует следующие API-функции CreateToolhelp32SnapShot, Process32First, Process32Next для нахождения заранее заданного в коде вируса процесса и его завершения, либо используется FindWindowA и ищется заранее заданое окно по имени или классу и после нахождения убивается процесс его породивший. Итак как с этим бороться. Самое простое решение (доступное пользователю) это переименовать тоже самое AVZ допустим в Deathvirus или что нравиться. Если метод не сработал, то вирус использует поиск процесса по классу окна и рядовому пользователю без готового патчера с этой проблемой не справиться.

    Хочу заметить по поводу Winlock, большая их часть для своего запуска модифицирует ключ запуска проводника и для устранения их загрузки достаточно загрузиться в SafeMode c поддержкой командной строки, вызвать CMD и при ее помощи запустить AVZ, а там либо через восстановление системы, либо через менеджер автозапуска восстановите ключ запуска проводника. А далее отыщите заразу на диске, чаще всего она находится в Applicathion Data и удалите ее(подскажет вам ее нахождение менеджер автозапуска)

    Касательно невозможности загрузки SafeMode. Многие вирусы защищая себя портят ключ реестра отвечающий за безопасный режим. Восстановить его может либо AVZ, либо специальная прграммка(в сети таких множество), либо заранее припасенный .reg файл с неиспорченным ключом.

  4. MuayTai
    8 сентября 2010 - 21:54

    И снова я. Еще один дельный совет по поводу SafeMode, чтобы не оказаться в ситуации, в которой понадобиться восстанавливать безопасный режим, установите разрешения вот на эту веточку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    исключающие ее перезапись.
    И воспользуйтесь мудростью линуксоидов – НЕ СИДИТЕ ПОД ROOTом (администратором)

  5. 14 сентября 2010 - 15:03

    Да уж, популярная в сети болячка этот вирус. Статья ваша очень своевременна.

  6. WM
    16 сентября 2010 - 13:12

    Здраствуйте !!! У меня проблемма ,ну очень серьёзная Диск , Model:ST3200826AS
    Всё перепробывал . Заходиш в диск .пытаешся открыть папку Аон, раз и пропал Повсякому сним боролся лечение,формат.пропайка.заморозка,разогрев И НЕ ФИГА С НИМ стойкий солдат Обращаюсь к Вам как к специалистам, просто помогите если можно…

  7. MuayTai
    20 сентября 2010 - 00:35

    Друг ни в тот топик пишешь, но все равно. Причин может быть масса от шлейфа и блока питания до контроллера, так что неси в сервис его хард надо тестить.

  8. игорь
    27 сентября 2010 - 18:52

    здравствуйте.спасибо за проэкт.3 раза скачивал windows pe и все время с вирусами.в последний раз аж 27штук.это так и должно быть?

  9. 24 октября 2010 - 12:54

    Спасибо за статью, наткнулся случайно и узнал много нового.
    Очень понравился стиль написания, а точнее – качество: подробные указания, ссылки на скачивание со своего сайта.
    Молодец!

  10. Прохожий
    23 ноября 2010 - 13:17

    Может кому поможет данная инфа.
    У меня недавно тоже был случай.
    Картинка с двумя гомиками и просьба пожертвовать 400 руб. на номер 9645972905.
    AVZ и DRWEB с последними базами оказались слепыми, к сожалению.
    Обнаружил только с помощью КIS 2010. Тоже с обновлёнными базами. Подцепив винт вторым к здоровому компу. Дрянь сидит в “Documents and Settings”. Папка с трояном может иметь произвольное название. Главное в ней создаётся файл timer.txt. Каспер определяет эту дрянь как Trojan-Ransom.Win32.HomoBlocker.cg. Кому интересно – наберите в поисковике и узнаете об этом трояне больше. Да. эта пакость ещё и в реестре гадит.
    Информация по трояну на буржуйском сайте:
    ввв.threatexpert.com/report.aspx?md5=e36f81d5cb176bcf4cda396253bba7ed
    Удачи и не болейте!

  11. GOR2604
    28 ноября 2010 - 22:11

    Вчера поймал похожий вирус.Попробовал ввести взятый с сайта доктор Веб код разблокировки,теперь в окошке ввода кода даже ввести ничего невозможно.Вышеуказанные способы в моем случае не действуют, при загрузке в безопасном режиме ничего нельзя в командной строке прописать,программы рекомендованные здесь (avz,LiveCD,WindowsPE) и другие с диска не загружаются:после выхода из BIOS все виснет,загрузка не происходит- черный экран с курсором.Причем пробовал загрузить с разных дисководов(на компе два привода),ничего не получается.Даже тупо форматнуть системный диск не могу.Может кто-нибудь сталкивался с таким зверем – помогите дельным советом.Заранее благодарен!

  12. Virus DV
    30 ноября 2010 - 15:59

    AVZ вылетает с ошибкой. Установлена лицензия Win 7 Home. Есть варианты решения данной проблемы? Заранее спасибо умным людям!

  13. Skat
    1 декабря 2010 - 19:12

    Спасибо ОГРОМНОЕ!!!!!!!:):):):):)

  14. Екатерина
    4 декабря 2010 - 02:09

    Спасибо огромное! Второй способ оказался очень действенным.

  15. Branigan
    9 декабря 2010 - 19:08

    Вариант 2 работает. Спасибо огромное.

  16. Катюша Н.
    17 декабря 2010 - 01:12

    СПАСИБО ВАМ БОЛЬШОЕ!!!!!!!!ПОМОГЛО))))))))…2 вариант респект и уважуха!!!!!!

  17. ЧеЛоВеК
    18 декабря 2010 - 13:30

    Автор большое спасибо всё просто супер УИППИ

  18. Вадим
    21 декабря 2010 - 01:41

    Спасибо огромное!!! Всё сработало!!!

  19. Дмитрйи
    21 декабря 2010 - 18:45

    Способ Без всяких программ и.т.д..
    1) Не отправляйте смс. Это на*бка..
    Загружаемя в безопасном режиме с поддержкой коммандной стоки (При загрузки виндовс жмем F8)
    2) Жмем потом (когда загружить разумеется) alt+ctr+del. В диспетчере делаем следующее: файл-новая задача(выполнить). Пишем в открывшемся окошке regedit
    3)Идем по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    4) В параметре Shell дожнро быть explorer.exe
    А у вас там прописан путь к зараженному файлу (стирайте там всё. Потом и файл удалите по тому пути)
    5)В параметрах userinit должно быть значение c:\windows\system32\userinit.exe
    Перегружаем комп и радуемся

  20. мakc
    22 декабря 2010 - 16:57

    Norton Internet Security-поставил и забыл! 6 лет пользуюсь и никаких проблем с вирусами нет.

  21. Денис
    22 декабря 2010 - 19:36

    Добрый вечер, я может повторюсь конечно, но, проблема заключается в следующем, процедура вся сработала отлично, но при запуске у меня винда загружается и все, черный экран, прописываю explorer- только так работает, что делать?)))))

  22. 23 декабря 2010 - 12:19

    Друг, у меня возник тормоз на моменте:
    Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, – это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, – тогда откройте мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку “Скрытый“, нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat.

    Все равно не видит! При предложении выбрать файл профиля – я нажал НЕТ. Понял что пока файл не найду ничего не выйдет. Вообщем плохи дела.

  23. 23 декабря 2010 - 12:46

    Далее мы открываем Мой компьютер и идем в папку с системой, а именно в windows/system и там ищем user32.exe.

    Наверное ошибка в слеше?

  24. 23 декабря 2010 - 17:31

    Дамы и господа. В связи с огромным количеством комментариев и вопросов (и как следствие снижением скорости загрузки данной страницы), а так же наличием у данного проекта своего полноценного форума, обсуждение данной проблемы перенесено в соответствующую тему форума, т.е. сюда. Отныне все Ваши вопросы Вы можете задать там и там же получить на них ответы. Спасибо за внимание и прошу прощения за некоторое перенаправление, – так или иначе, всё делается для Вас и Вашего удобства.

Комментарии закрыты.