Windows заблокирован, отправьте смс — Trojan Winlock — решение

статьи
безопасность

Доброго времени суток, дорогие друзья.

Сегодня речь пойдет о таком гадком вирусе, который делает так, что windows заблокирован почти наглухо (как правило, нельзя открыть диспетчер задач, попасть в безопасный режим и вообще как-либо взаимодействовать с системой) и требуется отправить смс-ку или вовсе сходить к терминалу и положить деньги на счет автора вируса, а потом, якобы, наступит разблокировка.

Windows заблокирован, отправьте смс - Trojan Winlock - решение - иконка статьи

На деле же никакой разблокировки Вашего Windows не будет и Вы просто потеряете деньги, а посему, настоятельно не рекомендуется никогда отправлять что-либо кому-либо в любом виде.

Trojan Winlock и вводная

Не смотря на то, что это феноменальная пакость и она принесла много вреда обычным людям и их компьютерам, надо всё таки отдать должное изобретательности вирусописателей ибо, как-никак, наживаться на пользователях пиратской версии Windows (почему именно пиратской? Потому, что в лицензионной, постоянно обновляющейся Windows XP этот вирус попросту не работает) идея шикарная и, как я понимаю, прибыльная, ибо вирус постоянно модифицируется и улучшается всеми возможными способами. Во-вторых, дело даже не столько в идее, сколько в реализации, ибо сие чудо не прописано банально в автозагрузке, а заложено поглубже и срабатывает даже в безопасном режиме и при диагностическом запуске (загрузка только основных драйверов и служб), что составляет некие интересные трудности по разблокировки заблокированного windows, а трудности это всегда интересно.

В общем мне понравилось, но не остановило, а посему я предлагаю Вам набор решений по устранению этой гадости, блокирующей работу Windows и требующей оправки смс, а так же поведаю о том, что делать, если после удаления вируса у вас чистый рабочий стол или другие проблемы.

Описанные ниже решения актуальны почти для всех версий вируса за редким исключением. Если же у Вас по-прежнему windows заблокирован не смотря на все манипуляции и ухищрения, то свяжитесь со мной - займемся разблокировкой иначе и вместе. А теперь несколько вариантов и способов решения проблемы (пробуйте все, пока не придете к успеху):

к содержанию ↑

Вариант 1 - коды раблокировки

Описанные ниже решения актуальны почти для всех версий вируса за редким и

На сайте dr.web есть коды разблокировки и найти их можно тут. Просто нажмите на скриншот Вашего вируса и слева увидите, что это за вирус и код его разблокировки. Так же, как вариант, Вы можете ввести номер куда просят отправить смс и текст сообщения, а затем нажать на кнопку "найти" и получить код.

После разблокировки тут же начинаем лечить систему нормальным антивирусом.
Если после разблокировки у Вас чистый рабочий стол, то читайте конец статьи.

к содержанию ↑

Вариант 2 - с помощью AVZ

  1. Берем рабочий компьютер и флешку\диск.
  2. Скачиваем avz, записываем его на флешку или диск.
  3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем "Безопасный режим с поддержкой командной строки".
  4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
  5. Вставляем диск\флешку в компьютер.
  6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
  7. Ждем пока появится знакомый нам "Мой компьютер"
  8. Заходим на флешку\диск и запускаем avz.exe
  9. Выбираем "Файл - Мастер поиска и устранения проблем". В появившемся окошке выбираем: "Системные проблемы" - "Все проблемы" и жмем кнопочку "Пуск". Ставим все галочки кроме тех, что начинаются с "Разрешен автозапуск с.." и "Отключено автоматическое обновление системы". После чего жмем "Исправить отмеченные проблемы".
  10. Там же выбираем "Настройки и твики браузера" - "Все проблемы", отмечаем все галочки и жмем "Исправить отмеченные проблемы".
  11. Там же выбираем "Приватность" - "Все проблемы", отмечаем все галочки и жмем "Исправить отмеченные проблемы".
  12. Далее жмем "Закрыть", а затем, все в том же AVZ, выбираем "Сервис" - "Менеджер расширений проводника" и в появившемся списке снимаем галочки со всех строчек, которые написаны чернымт (а не зеленым цветом).
  13. После этого запускаем "Сервис" - "Менеджер расширений IE" и удаляем (именно удаляем, методом нажатия крестика) ВСЕ строки в списке.
  14. Перезагружаемся и видим, что этой гадости больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то либо воспользуйтесь способом третьим (ниже по тексту), либо просто все в том же "Безопасном режиме с поддержкой командной строки" проведите полное сканирование системы AVZ-том как написано мною тут.

к содержанию ↑

Вариант 3 - с помощью скрипта

    1. Берем рабочий компьютер и флешку\диск.
    2. Скачиваем avz, записываем его на флешку или диск.
    3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем "Безопасный режим с поддержкой командной строки".
    4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
    5. Вставляем диск\флешку в компьютер.
    6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
    7. Ждем пока появится знакомый нам "Мой компьютер"
    8. Заходим на флешку\диск и запускаем avz.exe
    9. Выбираем "Файл" - "Выполнить скрипт".
    10. Вставляем в появившееся окно скрипт:
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
      QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
      QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
      DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
      DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
      QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
      QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
      QuarantineFile('Explorer.exe csrcs.exe','');
      QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
      DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
      DeleteFile('Explorer.exe csrcs.exe');
      DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
      DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
      DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
      DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
      DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
      DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
      DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
      DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
      DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
      DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
      BC_ImportDeletedList;
      ExecuteSysClean;
      BC_Activate;
      RebootWindows(true);
      end.

Важно! Где вместо Ваш_аккаунт надо вписать имя своего аккаунта в системе. Это может быть administrator, может быть sonik, может быть vasya или что-то еще, т.е. имя пользователя под которым Вы входите в систему.

  1. Жмем кнопочку "Запустить". Ждем окончания работы скрипта.
  2. Перезагружаемся и видим, что блокировки windows больше нету, а значит проводим полную очистку системы нормальным антивирусом.

PS: Если этот способ не помог, то все в том же"Безопасном режиме с поддержкой командной строки" проведите полное сканирование системы AVZ-том как написано мною тут.

к содержанию ↑

Вариант 4 - используем режим восстановления

Этот вариант порой помогает для старых версий вируса.

Заходим в BIOS (кнопочка DEL сразу после включения/перезагрузки компьютера) и переводим там часы на неделю вперед (как вариант, можно попробовать так же на неделю назад). Вирус, возможно, отключится, после чего запускаем систему и проверяемся нормальным антивирусом.

к содержанию ↑

Вариант 5 - сканируем систему с помощью LiveCD (или LiveUSB)

Используем LiveCD от компании Dr.web, который позволяет просканировать систему с CD-диска и очистить её от этой гадости, которая блокирует работу windows.

Скачать образ программы можно с сайта разработчика, т.е с сайта компании Dr.Web.
Что касается установки. Нам надо записать образ на диск. Сделать это можно несколькими способами, но я рекомендую один единственный, а именно:

  1. Берем чистый диск, вставляем его в CD-ROM
  2. Скачиваем программку для записи SCD Writer, которую я рекомендовал тут.
  3. Скачиваем образ по ссылке выше.
  4. Запускаем SCD Writer, там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.

Дальше нам, собственно, надо сделать так, чтобы загрузка происходила не с жесткого диска, а с только что записанного CD. Для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM. После чего сохранить изменения и перезагрузить компьютер. Загрузившись с диска выбираем первый пункт в появившемся меню, а затем запускаем Dr.Web Scanner, запускаем само сканирование кнопочкой Start и ждем окончания, после чего, обрабатываем найденные вирусы, давая команду удалить их. Подробнее о использовании Dr.web LiveCD можно прочитать тут.

к содержанию ↑

Вариант 6 - используем Kaspersky Virus Removal Tool

С помощью скриптов Kaspersky Virus Removal Tool.

  1. Берем рабочий компьютер и флешку\диск.
  2. Скачиваем Kaspersky Virus Removal Tool и устанавливаем оный на флешку или диск.
  3. Идем к зараженному компьютеру. Перед загрузкой Windows, а именно перед экраном где ползет полосочка Windows XP, жмем F8 и выбираем "Безопасный режим с поддержкой командной строки".
  4. Ждем загрузки и, если все получилось, то в конце видим перед собой командную строку.
  5. Вставляем диск\флешку в компьютер.
  6. В командной строке пишем команду: explorer и тыкаем в кнопочку enter.
  7. Ждем пока появится знакомый нам "Мой компьютер"
  8. Заходим на флешку\диск и запускаем Kaspersky Virus Removal Tool
  9. В программе переходим на вкладку "Ручное лечение" и вставляем в окошко, по очереди, скрипты ниже, а затем нажимаем кнопочку "Выполнить". Внимание! "По очереди" означает, что сначала вставляем первый и жмем кнопочку "Выполнить", затем первый убираем, вставляем второй и снова жмем кнопочку "Выполнить" и так все скрипты.
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe','');
    QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
    QuarantineFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll','');
    DelBHO('{638E9359-625E-4E8A-AA5B-824654C3239B}');
    DelBHO('{1A16EC86-94A1-47D5-A725-49F5970E335D}');
    QuarantineFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll','');
    QuarantineFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll','');
    QuarantineFile('Explorer.exe csrcs.exe','');
    QuarantineFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys','');
    DeleteFile('C:\WINDOWS\System32\drivers\68ed4e7b.sys');
    DeleteFile('Explorer.exe csrcs.exe');
    DeleteFile('C:\Documents and Settings\All Users\Application Data\phnlib.dll');
    DeleteFile('C:\Documents and Settings\All Users\Application Data\zsglib.dll');
    DeleteFile('C:\Program Files\AskBarDis\bar\bin\askBar.dll');
    DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
    DeleteFile('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5\FNM62GT9\lexa2[1].exe');
    DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
    DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
    DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
    DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
    DeleteFileMask('C:\Documents and Settings\Ваш_Аккаунт\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.


    begin
    SearchRootkit(true, true);
    QuarantineFile('Base.sys', 'CHQ=N');
    QuarantineFile('explorer.ex', 'CHQ=N');
    QuarantineFile('hpt3xx.sys', 'CHQ=N');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\AVGIDS Shim.Sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\drivers\cmudau .sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\System32\Drivers\dump_n vatabus.sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\Drivers\SPT2Sp 50.sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\Drivers\usbVM3 1b.sys', 'CHQ=S');
    QuarantineFile('C:\WINDOWS\system32\DRIVERS\wg111v 2.sys', 'CHQ=S');
    QuarantineFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\Y KI224.tmp', 'CHQ=S');
    BC_QrFile('C:\WINDOWS\System32\Drivers\dump_nvatab us.sys');
    BC_QrFile('C:\WINDOWS\system32\Drivers\SPT2Sp50.sy s');
    BC_QrFile('C:\WINDOWS\system32\Drivers\usbVM31b.sy s');
    BC_QrFile('C:\WINDOWS\system32\DRIVERS\wg111v2.sys ');
    BC_QrFile('C:\DOCUME~1\FE66~1\LOCALS~1\Temp\YKI224 .tmp');
    BC_Activate;
    RebootWindows(true);
    end.


    var
    qfolder: string;
    qname: string;
    begin
    qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
    qfolder := ExtractFilePath(qname);
    if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
    CreateQurantineArchive(qname);
    ExecuteFile('explorer.exe', qfolder, 1, 0, false);
    end.


    begin
    Executerepair(16);
    ExecuteWizard('TSW', 2, 2, true);
    RebootWindows(true);
    end.


    begin
    ExecuteStdScr(3);
    RebootWindows(true);
    end.

  10. Ждем перезагрузки, смотрим заблокирован windows или нет. Если все в порядке, то проверяемся на вирусы
к содержанию ↑

Вариант 7 - используем консоль и диск Windows

Некоторые разновидности вируса довольно хитрым образом перезаписывают загрузочную область диска так, что устранить оный обычными методами не представляется возможным. Однако, в общем-то, способ есть и заключается он в следующем..

Вставьте установочный диск Windows и выставьте загрузку в BIOS с CD-ROM и, загрузившись с этого диска (для этого надо зайти в BIOS (кнопочка Del на САМОЙ ранней стадии загрузки компьютера), а затем найти там раздел, связанный с Boot и выбрать как первый источник загрузки Ваш CD-ROM, после чего сохранить изменения и перезагрузить компьютер), вместо установки новой системы нажмите кнопочку R, чтобы открылась консоль восстановления. В этой самой консоли Вам предложат выбрать из списка ту систему, которую хотите восстановить (для этого надо нажать, например, 1 и Enter, а так же, отвечая на вопрос консоли, возможно, потребуется нажать следом кнопочку Y и Enter) и набрать команды FIXBOOT и FIXMBR (см.картинки ниже).

fixboot восстановление загрузки системы и Trojan Winlock - скриншот 1
fixmbr восстановление системы после ntldr is missing - Trojan Winlock - скриншот 2

Перезагружаемся, смотрим. Вирус, блокирующий работу системы должен был исчезнуть.

к содержанию ↑

Дополнительная информация

Далее у Вас могут появиться проблемы с работой Windows (последствия действий вируса) в виде голого рабочего стола, заблокированного диспетчера задач и пр. Если это так, то читайте статью дальше.

Часто некоторые пишут о модификациях вируса, которые не позволяют попасть в безопасный режим (т.е баннер актуален и там, либо же безопасный режим вовсе не грузится), либо же LiveCD вирус не находит и не удаляет.

Действительно такое имеет место быть, но и здесь можно сделать, как говорится, ход конём, а именно, начать с восстановления интерфейса, а потом уже убить вирус. Чтобы восстановить интерфейс (т.е сначала разблокировать систему хоть как-то) необходимо воспользоваться всеми рекомендациями с подзаголовка "Решаем проблемы после удаления вируса, который блокировал систему", а именно, ниже по тексту.

К слову, после проделывания оного (т.е упомянутой разблокировки путём всего, что идет ниже по тексту) рекомендуется сначала загружать систему в безопасном режиме дабы очистить вирус, а потом уже в обычном (ибо возможна повторная блокировка, если вирус прописан в автозагрузке).

к содержанию ↑

Как решить проблемы, оставшиеся после очистки

Просто удалить вирус Trojan Winlock, который заблокировал windows и требует отправки смс, далеко не всегда достаточно, т.к. он меняет настройки реестра, а именно, скорее всего после удаления Вы увидите чистый рабочий стол и курсор мышки. Скорее всего, не откроется ни диспетчер задач, ни что-либо еще, не будет никакого доступа в панель пуск и никуда вообще. Можно конечно попробовать вылечить систему из безопасного режима, но, как правило, и он заблокирован и компьютер попросту перезагружается при попытке входа туда. Однако есть способ лечения.

Раз компьютер не загрузить с жесткого диска, то мы будем грузить его с CD, благо есть дистрибутивы загрузочных дисков Windows XP, которые позволяют грузится с себя напрямую. И так, что делаем:

  • Берем другой компьютер, флешку и диск.
  • Скачиваем вот этот архив. Распаковываем.

    Специально для тех кто в танке и постоянно пишет грозные и гневные комментарии/письма на тему того, что в упомянутом выше архиве хранится вирус, трояны и прочие ужасы жизни. Я уже неоднократно писал, что никаких вирусов там нету, зато там есть ряд софта на который антивирус, на всякий случай, перестраховываясь, реагирует, так сказать, нервным способом (а именно воплями о вирусе и тп), что логично, учитывая, что там (в архиве) есть редакторы реестра, антивирусы с базами и прочие программы, которые позволяют копаться Вам внутри системы и возвращать её работоспособность в самых критичных ситуациях.

    Если Вы не доверяете моему архиву и моим словам, то можете смело отказаться от его использования и сидеть с вирусом-блокиратором дальше.

  • Внутри архива лежит образ загрузочного диска с ОС WindowsPE, программа для его записи + альтернативный редактор реестра (надо дописать на тот же диск после записи образа или же скопировать на флешку и потом запустить с флешки)
  • Запускаем SCD Writer (программа для записи, что была в архиве), там выбираем Диск - Записать ISO-образ на диск, выбираем скачанный образ на диске, выставляем скорость записи и ждем окончания записи.
  • Идем к пораженному компьютеру, перезагружаем и заходим в BIOS (сразу после перезагрузки давим в кнопочку DEL, чтобы туда попасть), находим пункт выбора устройств для загрузки (boot) и на первое место ставим CD-ROM. Сохраняем настройки, выходим из BIOS, вставляем диск и флешку с редактором реестра.
  • После перезагрузки ждем начала загрузки с CD-диска, в появившемся меню жмем в кнопочку 1, т.е. выбираем WindowsPE, долго ждем пока система загрузится. Возможно, что потребуется указать где (на каком диске и в какой папке на компьютере) стоит пораженная система. Укажите.
  • Открываем мой компьютер и проходим к флешке. Там запускаем рекдактор реестра. Возможно, что программа попросит Вас указать место расположение файла ntuser.dat в пораженной системе с целью получения доступа к реестру. Укажите C:\Documents and Settings\имя_аккаунта\ntuser.dat, где имя_аккаунта, - это Ваше имя пользователя в пораженной системе. Возможно, что программа не будет видеть, - тогда откройте мой компьютер, пройдите по указанному пути, найдите ntuser.dat, затем нажмите на него правой кнопкой мышки и выберите Свойства. Далее снимите галочку "Скрытый", нажмите ОК. Теперь вернитесь в редактор реестра и укажите на появившийся ntuser.dat. Возможно, что программа предложит Вам указать путь к ntuser.dat еще одного пользователя, - во второй раз откажитесь, если все уже проделали.
  • В редакторе реестра есть два типа ветвей (ветвь - это что-то вроде структуры с папками, - в окне редактора они слева). Одни, - это текущие, т.е. той системы в которой мы сейчас находимся, а другие, - это как раз пораженной системы. Нам нужны вторые. Они в редакторе реестра либо указаны со скобочками HKEY_LOCAL_MACHINE(...), где (...), - название Вашего компьютера или что-нибудь типа (W_IN_C). Так же возможно, что не будут продублированы ветви, а только подветви или что название ветвей пораженного компьютера будет не в скобках, а после подчеркивания HKEY_LOCAL_MACHINE_W_IN_C. В общем посмотрите повнимательней.
  • И так, мы с Вами проходим по пути HKEY_LOCAL_MACHINE(...)\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. На Winlogon мы тыркаем мышкой, после чего справа появляется список настроек этого раздела. Там должна быть строка shell где вместо того, что там указано надо написать (два раза щелкнув по настройке мышкой) ничто иное как explorer.exe. Так же там есть строка userinit, где должно быть указано C:\WINDOWS\system32\userinit.exe, (если конечно папка с системой на диске C, если же нет, то укажите свою букву диска). Внимание! Эта строка должна заканчиваться запятой! Так же внимательно просмотрите все другие строчки на предмет наличия левых путей, ведущих не в систему.
  • Далее мы открываем Мой компьютер и идем в папку с системой, а именно в windows/system и там ищем user32.exe. Его может и не быть, но если находим - удаляем. Затем смотрим корневые разделы дисков (открываем диск С, диск D если есть и т.д. - все диски что у вас есть) и удаляем оттуда файлы autorun.inf и любые файлы с расширением .exe. После этого загружаем dr.web cureit и проверяем зараженную систему.
  • Вынимаем диск, перезагружаемся, заходим в BIOS, возвращаем загрузку с HDD. Выходим из BIOS, загружаем систему.
  • Обязательно сканируемся на вирусы хорошим антивирусом.
  • Если Windows таки не загрузился вообще, то пытаемся перегрузиться в безопасном режиме.
к содержанию ↑

Если не работает диспетчер задач

На случай, если не работает диспетчер задач после Trojan Winlock:

  • Скачиваем avz.
  • Распаковываем архив, запускаем программу.
  • В окне программы выбираем “Файл” – “Восстановление системы”
  • Ставим галочку “Разблокировка диспетчера задач” и давим в кнопочку “Выполнить отмеченные операции“.
  • Закрываем программу, пробуем запустить диспетчер задач.

На этом всё.
Должно ожить  :-)

к содержанию ↑

Послесловие

Надеюсь, что вышеописанные методы Вам помогли разблокировать Ваш заблокированный Windows и удалить Trojan Winlock без лишних потерь денег и переустановки системы.

Если не помогли, то пишите или оставляйте комментарии, - будем бороться вместе.

сказать «спасибо»подписатьсяобучаться
Хотите знать и уметь, больше и сами?

Мы предлагаем Вам скачать бесплатные книги от автора. Компьютеры, программы, администрирование, сервера, сети и другое. Не является рекламой. Предложение от sonikelf.ru

Скачать книги
Sonikelf's Project's логотип Космодамианская наб., 32-34 Россия, Москва (916) 174-8226

251
Комментарии — присоединяйтесь!

10000
174 Диалогов
77 Ответов
0 Подписались
 
Смотрят
Ключевой диалог
145 Авторов
  Подписаться  
Уведомить о
GumZoom

Очень приятно что ты осветил эту тему... Можно сказать что за пол года, с момента появления этой гадости в сети, появилось множество модификаций... Только сегодня убирал такой экран, ноооо... там можно было вызвать диспетчер задач ибо этот экран просто отображался поверх остальных окон... В результате множественных нажатий комбинации Ctrl+Alt+Delete всетаки удалось снять процесс который назывался "Sound", после этого получил доступ к системе... А там и AVZ:)... Но есть экраны и по серьезней... Например который показан на скриншоте, неприятная вещь... При таком экране можно использовать комбинацию Win+U и появится "Диспетчер служебных программ" а там есть интернет справка, которая открывает нам InternrtExplorer а через него можно тоже делов натворить, и запустить тот же самый великий и ужасный AVZ:)но опять же, Win+U не всегда срабатывают, есть модификации вируса в которых и эта комбинация отключена, и тогда нужно делать так как говорит уважаемый sonik

def

я добрался до рабочего стола через многократное нажатие шифта(кнопка shift ))) , потом потер из авторанов и стер ехе-шник
вотъ

GumZoom

Кстати Sonikelf, если мне не изменяет память, то большая часть модификаций этого вируса использует уязвимость InternetExplorer(Стоит лишний раз задуматься о использовании стандартного браузера) поэтому со своей Мозилкой ты и не смог закачать себе этот вирус:)
P.S. Появился еще один интересный экземпляр вируса, описание и фото пришлю на почту

totyXXX

Не знаю, но у меня Windows лицензионный и обновления приходят, но этот вирус всё равно ко мне попал. Недавно Windows мне переустановили. Почему-то в основном все пользуются этим "кардинальным" методом - переустановкой Windows. Жалко, что я раньше не знала ваш сайт. Собственно, "благодаря" этому вирусу, я ваш сайт и нашла. И очень рада, как говорится, нет худа без добра.

GumZoom

Решать все проблемы переустановкой... самый простой и на мой взгляд глупый выход, вот когда совсем край, тогда и можно переустанавливать, но в начале сделать все возможное что бы система ожила и радовала пользователя...

GumZoom

эээ... sonikelf своим последним коментом вызываешь у меня вопрос... SP4-реально сушествует??? натыкался на обновления до SP4 winXP pro, но решил что это чья то шутка 0_o

Сергей

У кого-нибудь этот вирус еще остался?
Если да, выложите пожалуйста...мне тоже хочется его протестировать :-)

Dimka

Хахаха... Жесть.. Помню год назад сам столкнулся с этим вирусом))) Забавно было время)))

Morse

Только что подруга позвонила - сказала что у нее эта фигня с текстом что-то типа "онлайн проверка антивирусом касперского выявила у вас злой вирус который сотрет все ваши файлы спалит ваш комп убъет вашу кошку... короче отправте смс" посоветовал ей безопасный режим с поддержкой cmd и оттуда дрВеба запустить. Сейчас жду чем дело кончится.
Что посоветуете чтобы такого впредь не случалось? Брандмауэра будет достаточно?

GumZoom

Как уже писал sonik, следует обновить систему последними обнавлениями(будьте аккуратнее если у вас левая винда), + нормальный антивирус(DR.web, или Каспера) + можно бы и фаерволом обзавестись, советую переити с стандартного IE на что либо другое..... Но все это бесполезно если вы щелкаете на все ссылки подряд, аккуратней

GumZoom

надо быть... В интернете "смутные времена настали, смутные"(c) ваше благоразумие и аккуратность залог защиты от вирусов(но невсегда):)

Drago

Есть аналогия данного вирия, но она пишется в hosts и Вас просят отправить смс при поппытке войти на вконтакте или при попытке проверить почту на яндексе.

размер файла источника бывает разный!!! все льется в локал сеттингс/темп - с расширением tmp потом если запустится пишет себя в автозапуск, копируется в систем32 и правит hosts, добавляя строки:

91.212.198.20 vkontakte.ru
91.212.198.20 mail.yandex.ru
91.212.198.20 odnoklassniki.ru
91.212.198.20 www.vkontakte.ru
91.212.198.20 vkontakte.ru
91.212.198.20 mail.yandex.ru
91.212.198.20 odnoklassniki.ru
91.212.198.20 www.vkontakte.ru

Арок

Sonik!Помоги мне пожалуйста, сегодня включив интернет и пробыв в нем не менее пяти минут весь рабочий стол исчез в прозрачном сером фоне и с текстом:
Пошлите данный текст на номер 6008 для активации виндоус, по истечению 3 часов данные на компьютере уничтожатся, а при попытке переустановки системы данные будут потеряны.
Я перепробовал много способов, но ни один не помог, прикол в том что комп блокируется только тогда когда я включаю интеренет.
Помоги плиз мне инет срочно нужен сам сижу с компа друга пишу.

Leneno4ek

А что можно сделать с этим вирусом, если не загружается вообще безопасный режим, а остальные способы не помогают?

Leneno4ek

Зашла в безопасном режиме и сдела все как было написано, но все равно не помогло. Что можно еще попробовать?

Leneno4ek

Спасибо огромное! Это помогло!

Myzamir

И ко мне тоже попало "Windows заблокирован, отправьте смс...". Все сделал, как прописано, и ... БРАВО! Все получилось. Огромное СПАСИБО!!!

антоша

а я оооооофигительно избавился от подобного глюка...на одном из форумов вычитал что нужно часа 2 дать компу поработать просто так...я как послушный гражданин оставил компьютер на ночь (время было итак около 2 ночи. завёл будильник на 4 )..само собой монитор отключил чтобы не мешал. просыпаюсь в 4 смотрю комп выключен полностью ) даже из розетки ))) с утра оказалось отец ночью чё-то искал, пришёл в окмнату услышал включенный комп и спросил меня (СПЯЩЕГО) можно ли выключить. Я сказал что-то типа "Можно"..и он не долго думая выдернул кабель из розетки! ))) я с утра пошёл включил его! НИКАКИХ ПРОБЛЕМ! вот и до сих пор не знаю что помогло...)))

punch

а как вернуть деньги за смс??

Art

Первый способ не помог, при втором способе при запуске скрипта пишет ошибку в позиции 4 : 16

gggg

короч столкнулся с етой хренью , еслиб не я со своей логикой , пришлось бы пробовать все ети способы выше указанные , и так в асе зашол на ссылку там фото , знал же что вирь и все же открыл ,думал нож32 спасет если че , ага спас ! Короч не нашол в инете ключа етого ,а ключ крылся в цыфрах , Например код для смс

228 099808 и сам номер куда отправлять смс 7278 и так ,пробел после 3 цыфр показался мне подазрительным и я просто напросто угодал етот код ,код состоял из цыфр 228- те цыфры до пробела и номера 7278 и так пробуйте ввести такой код сначало цыфры до пробела и номер или наоборот номер -цыфры до пробела , мне помогло угодал!!!!!

bart

У брата появился это вирус. Проблема в том, что запустить в безопасном режиме Винду не удается. Переустанавливать придется?

Slayer

Подскажите что делать не грузиться виндовс написано ваша система заблокирована типа сделаите 3 действия ну вообщем отправте смс с текстом 1n01pe на номер 6008...и введите ключ активации.... диспечер задач не включаеться безопасный режим не работает подскажите че делать!!! Слышал чтото на счет генератора кодов у меня друг так от этой штуки избавился а вот я немогу наити искал я его по тексту и по самому номеру !

Alex

Да прикольный этот вирус!
Андрей спасибо за статью, помогло. Но есть одно НО.
Помог первый способ. Запускаю в командной строке explorer, рабочий стол открывается,вроде все идет по плану :). Запускаю Avz с флэхи и тут бац! вылезает это окно "Отправте SMS...". Что самое интересное другие проги запускаются без проблем, а вот антивирусы, файл навигаторы дают "жизнь" этому гаду. Пришлось просто Avz на винт кинуть и в командной строке не explorer, а Avz.exe вызывать и все вуаля выруса как не бывало:)))

Kozak_Dmytro

Уважаемый sonikelf!!!
У меня та же ситуация ("Ваша система заблокирована"). Я перепробывал все выше сказаные методы (правда при втором, как и у Artа пишет ошибку в позиции 4 : 16) и у меня ничего не получилось. Просит выслать СМС с текстом 212525 на номер 3649 и написать код активации. Подскажите, пожалуйста, что делать!!! Заранне большое спасибо!!!

nanoRainger

Вечер добрый! Та же история, НО. Позавчера был вирус этот, вчера комп включаю-всё хорошо, сегодня- опять эта заставка, только другого цвета, через час включаю-всё чисто...как это объяснить?лечить или как?

nanoRainger

спасибо, будем искать заразу)

Kozak_Dmytro

Я вычитал в инете, что можна с помощью горячих клавиш открыть что-то на подобие проводника(как тогда, когда в ворде нажимаем "Сохранить как..."). Так вот, я нажал Win+U, выскочил "Диспетчер программ". Нажал "справка". В новом окне "Параметры">"Печать". В новом окне ("Печать раздела") - ОК. В новом окне, в "Общих" выбрал свой Еpson и нажал "Настройка". В новом окне - "Техническая поддержка". В открывшемся браузере: "Файл"> "Открыть". Открылось подобие проводника. Вставил флэшку с AVZ, открыл, поставил поиск с параметрами, которые вы советовали. в это время в "Файле" поставил исследование системы. Сохранил открыл этот образ или что это такое. В этом образе в "Автозагрузке" удалил подозрительные файлы, типа сmon.exe. В "реестре" скриптов, или как там его поудалял всё, что писало типа
НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NTCurrent\Version...
В конце этого обзора скопировал скрипт. Пока я это все делал меня "обрадовало" очередное, уже второе извещеие о "Блокировке Windows" с другим дизайном, но с теми же номерами и текстами(3649, тексты 212525 и 212530. Я не выдержал и отправил СМС, в ответном пришло: типа ... Спасибо за участие в ComedyClub, вы можете посмотреть нашы файлы по адресу xxx.jump.ua. ( Причём я могу стопроцентно Вас уверить, что подцепил эту заразу НЕ на порносайтах)... СМС сняло почти доллар(7 грн.). Я вспомнил про скрипт и выполнил его. AVZ написало красным цветом, что для удаления определенных файлов нужна перезагрузка. И тут, моментально, после завершения скрипта выскакивает окно(как я понял, вируса) что удалилась там какая-то директория и что срочно нужна перезагрузка. Я перезагрузил. Выскакивает: "winlogon.exe-не удалось найти компонент": Приложению не удалсь запустится, поскольку SHELL32.dll не был найден. Повторная установка приложения может исправить эту проблему.
Нажимаю "Ок", пишет в следущем окошке: "lsass.exe-не удалось найти компонент": Приложению не удалсь запустится, поскольку SHELL32.dll не был найден. Повторная установка приложения может исправить эту проблему. Дальше: выскакивает "Ошибка пользовательского интерфейса": Невозможно загрузить DLL msgina.dll пользовательского интерфейса входа. Обратитесь к системному администратору или восстановите исходную библиотеку DLL. Под этим кнопка "перезагрузка", после которой все тоже самое, а вверху крестик, который ничего не выключает!!! Помогите, пожалуйста! Неужели, это значит, что компьютер "полетел"? Или нужно копатся в BIOSе? Заранне спасибо...

Kozak_Dmytro

Забыл сказать, что в безопасном режиме тоже выскакуют все эти штуки.

Nastassie

А у меня другая проблема :( Началось все с сегодняшнего дня.Никуда не заходила, просто сижу играю в WoW. Тут на меня вылезает извините какая то реклама секс-шопа со всеми картинками! Причем ни как окно браузера а просто. И поверх всех окон! И закрыть ее сразу нельзя! Нажимаешь "закрыть" он отсчитывает 60 сек и только потом закрывается. И пишет типа у вас еще 900 с чем то просмотров!!!!!!!!! А где написано не смотреть рекламу нужно платное смс отправлять!!! И так повторяется каждые 10 мин. Прошу вас, помогите! (таблички "виндоус заблокирован" не было. Видимо это что-то другое, но я не знаю как с этим бороться..)