Компания «
Доктор Веб» предупреждает о появлении новой вредоносной программы, блокирующей доступ к инфицированному компьютеру.
Обнаруженный троян получил название Winlock.19. Программа распространяется через Интернет под видом поддельных кодеков и при включении компьютера предлагает ввести специальный код, якобы необходимый для регистрации нелицензионной копии операционной системы Windows. Ну а чтобы получить этот код, необходимо отправить текстовое сообщение с мобильного телефона на платный номер.
В какую сумму доверчивым пользователям обойдется отправка сообщения, не уточняется…
Примечательно, что Winlock снабжен функцией самоуничтожения и удаляет себя через два часа после запуска. Компания «Доктор Веб» не рекомендует пользователям идти на поводу у злоумышленников и отправлять куда бы то ни было СМС.
Для тех, кто не хочет ждать два часа до автоматической деинсталляции трояна, «Доктор Веб» подготовил специальную форму, в которую можно ввести текст предполагаемого короткого сообщения и получить код разблокировки.
Народное творчество
1. Лечиться досточно просто.
Загружаем с любого Boot CD (Эмулятор виндоуса).
Далаем откат системы до начальной точки, перезагружаемся внормальный режим виндоуса.
Далее ищем там файл finish.exe через regedit.
Снова запускаем бут сиди и и делаем отмену отката системы. После это перезагрузка - далее запускаем CureIt (www.freedrweb.com).
Удалям два файла билиотеки dll один сидит в windows/system32, другой где то в С:\Document and Settings\....
Вообще подобную программу видел еще в 2003-2004 годах.
И удалялась точно так же)))). Тока прописывалась чуть проще)))
2. Я поступил по другому: Грузите с диска ERD Commander. Ищите на диске в С:\Document and Settings\... и удаляете файл blocker.exe. В реестре в ветке HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon находите ключ Userinit, в нем оставляете только - C:\WINDOWS\system32\userinit.exe Все остальное что там есть удаляете. Загружаетесь и начинаете лечить комп от вирусов.
3. Словил сегодня вирус. Вылез на экран баннер,типа отправьте смс и это больше не будет появляться. Работать невозможно было, эта сволочь загородил процентов 70 экрана по центру, остались только небольшие участки по бокам. Восстановление системы не удалось, т.к. этот баннер закрывает все окна. Но решилось все просто. На свободном участке экрана создал txt-файл,что-то там написал.Затем нажал кнопку выключения на системнике. Вирус закрылся, а винда не выключилась,всплыло окошко типа «документ не был сохранен, желаете закрыть без сохранения?» ну я его трогать не стал, вычистил все темповые файлы, сверху прошелся антивирусом, перезагрузил систему- все, больше никакого мозгоклюйства =)
Спасибо, Дмитрий. Ваш способ с созданием текстового документа отлично сработал. Прогнал сканером Dr.Web и AVZ исправил проблемы с настройками реестра (диспечер задач отключен администратором).
4. Простейшее решение:
Пуск –>
Программы –>
Стандартные –>
Служебные –>
Восстановление системы –> далее выбираете прошлый период и запускаете восстановление с контрольной точки.
Не путайте вышеописанные вирусы с рекламным приложением к браузеру Internet Explorer.
Если при открытии браузера (IE) открывается окно типа "Введите пароль чтобы убрать информер"!
На самом баннере написано:
1)Информер удалится автомотически через 30 дней.
2)Бесплатный доступ порно и видео архивам.
3)Служба технической поддержки! И ещё справа анимация (девушка).
Тогда читайте ниже...
Инструкция по удалению
1. Ваши действия - скачать программу
AVZ 4.32 отсюда...2. Запустить AVZ.
3. В меню идете по пути Сервис -> Менеджер расширений IE (BHO, панели)
4. Удалите (при помощи черного крестика или сняв галочку в квадрате слева) оттуда всё ненужное, по идее все неизвестное программе будет черным цветом, а безопасное - зеленым, но это не факт! Если вы ничего не понимаете, то удаляйте всё оттуда нахрен (потом установите заново ваши любимые бары Яндекса , Гугла и Майлы.Ру),
5. Закрываете окно менеджера расширений, закрываете AVZ.
После перезагрузки Ваш надоедливый баннер должен исчезнуть с вашего компьютера! )))))
Если вы не можете воспользоваться решениями из-за зловредных ограничений на вашем компьютере например:
У вас не запускаются антивирусы (AVZ, DrWeb, Nod32 и т.д ) читайте
здесь... и здесь...
Или вот так:
Если при открытии любой страницы в Internet Explorer у вас в нижней части экрана появляется информер порнушного содержания: развратные порно картинки и предложение убрать всё это дело через отправку SMS на короткий номер не отправляйте SMS не в коем случае. Это нечего не даст. Один мой знакомый отправил сообщение – информер не убрался, а деньги с телефона снялись 300 рублей с копейками. И так приведу два варианта, как избавиться от этой штуки совершенно бесплатно.
Вариант 1: Открываем наш IE. Выбираем пункт меню "Сервис->Свойства обозревателя”. В "Свойства обозревателя” выбираем вкладку "Дополнительно” и нажимаем сначала на кнопку "Сброс”. Перезагружаемся.
Вариант 2: Открываем наш IE. Выбираем пункт меню "Сервис->Надстройки ->Включение и отключение надстроек”. В поле соответствующему надписи файл ищем все файлы оканчивающиеся на lib.dll. Отключаешь настройки для первого попавшегося такого файла. Перезапускаешь Internet Explorer. Если информер остался включаешь для этого файла надстройку и отключаешь для следующего имя которого оканчивается на lib.dll. Потом удаляешь найденный файл из папки system32.
Реклама порно-товаров!
В свойствах папки включить функцию - Отображать скрытые файлы и папки!
Удалить (AdSubscribe) из C:\Documents and Settings\User\Application Data\AdSubscribe Подчистить реестр в Пуск-Выполнить-regedit- в найти-введите AdSubscribe и удали все ссылки которые найдет и очисти папку Windows\Temp.
Удалить файлы из папки (AdSubscribe) можно с помощью программы
Unlocker , крторая позволяет удалить файлы и папки, которые обычным способом удалить не удается(когда системой выдается сообщение, что файл удалить невозможно, так как он используется другим приложением).
ВНИМАНИЕ! Вместо папки AdSubscribe могут быть другие вирусные папки AdRiver или CMedia.
Далее удаляем файлы порно-рекламы:
В папке Windows\System32\4rs23515.dll
удаляем 4rs23515.dll
В реестре необходимо поиском найти и удалить все, что связано с
4rs23515.dll
Helper_bho
reklosoft
Чистим реестр от всего что связано с Mozilla Firefox
Заново переустанавливаем Firefox."
Удаляем папку RS в с:\ProgramFiles
Если реклама появляется на компе с периодичностью в 5-10 минут, даже если вы не заходите в интернет, вот несколько способов удаления:
1. Если хотите убрать это своими руками, тогда так:
1.1. Пуск-Панель управления-Оформление и темы-Свойства папки-Вид-Поставить галочку возле "Показывать скрытые файлы и папки"- применить
1.2. "Documents and Settings" > свое имя пользователя > Application Data > AdSubscribe > AdSubscribe.dat открываем блокнотом, ищем строчку "
ADSR=976 (или то кол-во показов, которое у вас на счетчике)" и меняем на "
ADSR=0" , затем запускаем там же
uninstal.exe.
2. Удаление при помощи программы
GMER ~ 300 kb
а) Запустите программу
Gmer
б) Кликните на кнопку "
>>>", что бы развернуть список вкладок.
в) Перейдите на вкладку
Files. Выделите файл
AdSubscribe.dll лежащий в папке Application Data/App Data и нажмите на кнопку
Delete.
г) Перезагрузитесь. Всё. Вирусная реклама удалена.
Далее действия не обязательные, но нужные для борьбы с любыми вирусами!!!
6. Запускаете Total Commander (любой версии), в его Настройках, в закладке Содержимое панелей -> Показать скрытые/системные файлы (только для опытных) ставим галочку. Нажимаем кнопку ОК.
Далее переходим к чистке компьютера от временных файлов. В этих файлах, как правило у вирусов находиться главный "муравейник"...
7. Далее осторожно!!! Не перепутайте папки при удалении временных файлов! Удалите не то, что нужно - я не виновен! Я вас предупредил. Будьте внимательнее.
Используя Total Commander отмечаете и удаляете всё содержимое папки TEMP (в с:\Documents and Settings\имя текушего пользователя\Local Settings\Temp\) все подпапки и файлы. Если предложит пропустить файл - согласитесь (кнопки пропустить, пропустить все).
8. Отмечаете и удаляете всё содержимое папки Content.IE5 (в с:\Documents and Settings\имя текушего пользователя\Local Settings\Temporary Internet Files\Content.IE5\) все подпапки и файлы. Если предложит пропустить файл - согласитесь (кнопки пропустить, пропустить все).
9.Скачайте "
Обновленную бета-версия Dr.Web CureIt! для борьбы с Trojan.Winlock"
отсюда... и им проведите полную проверку компьютера. Отмечаете и удаляете найденые Вебом вирусы. Перегружаете компьютер. Всё...
Продолжение про вирус с сообщением о нарушении Лицензионного соглашения Download Master...
"Если при открытии браузера вылетает окно с отправкой СМС на номер 4460 с текстом про Download Master."
Вирус новый, я его пока не видел. 8-)))
Если вы не можете воспользоваться решениями (указанных на форумах по ссылкам вверху) из-за зловредных ограничений на вашем компьютере например:
У вас не запускаются антивирусы (AVZ, DrWeb, Nod32 и т.д ) читайте
здесь...
Продолжаем воспитательную работу... Программы помогающие в поиске кодов от вирусов SMS (СМС)
Генератор кодов eKAV антивирус
Так же можно скачать
Генератор кодов для eKAV антивирус отсюда... , ввести текст SMS, нажать "
Генерировать" и получить код разблокировки.
RansomHide 0.1.11
RansomHide 0.1.11 - крошечная утилита, которая позволит разблокировать Ваш компьютер в случае, если Вы в результате лазания по Интернету и случайного нажатия "не той кнопочки" получили на экран баннер о блокировании компьютера и требованиями денег за его снятие с помощью sms.
Скачать можно отсюда...
Список изменений:
- обновлена база (добавлено 2 номера)
- добавлено 4 ответа по маске "9800, текст 7331692+...+.."
- добавлена функция stay on top (поверх окон), но против вирусных окон все равно будет ниже
- увеличена длина строки ответных кодов, для полного их отображения.
Сервисы деактивации вируса Trojan.Winlock от производителей антивирусных программ
Если Вы не получили код на одном из сервисов, то Вам необходимо воспользоваться другими сервисами из списка ниже!
| Сервис деактивации вымогателей-блокеров от Касперского |
здесь |
 |
| ESET (NOD32) - бесплатный он-лайн сервис, который позволяет вернуть работоспособность компьютера, если он был заблокирован вредоносной программой. |
здесь |
 |
| Доктор Веб подготовил специальную форму, в которую можно ввести текст предполагаемого короткого сообщения и получить код разблокировки. |
здесь |
 |
| Dr.Web CureIt! для борьбы с Trojan.Winlock. Новый стартер, включенный в утилиту, активизирует самозащиту всех файлов и процессов Dr.Web CureIt! до начала сканирования. Стартер обеспечивает запуск утилиты на альтернативном рабочем столе, что позволяет избежать блокировки ее работы в случае заражения системы вредоносными программами семейства Trojan.Winlock. |
скачать |
 |
Почитать
подробнее о вирусах-вымогателях можно
здесь...
|
После разблокировки вируса необходимо обязательно проверить компьютер антивирусами!!! |
|
Рекомендуем скачать и использовать для проверки новый Dr.Web CureIt! для борьбы с Trojan.Winlock. |
Начало 
Регистрация 
RSS 
Скачать Dr.Web CureIt!
Прогноз валютных пар на Forex
Голосовые конференции на TeamTalk
