Избавляемся от winlock’ов

 

Winlock

  1. Файл hosts

  2. Удаление винлока

  3. Устранение последствий

1.

http://support.kaspersky.ru/viruses/deblocker (85.12.57.118)

http://www.drweb.com/unlocker/index/?lng=ru (87.242.72.150)

На этих сайтах надо найти Код разблокировки, при чём не всегда надо искать и по номеру и по тексту!

Если по каким-либо причинам у вас нет возможности выполнить представленные на форуме рекомендации, то вы можете обратиться в службу поддержки оператора, обслуживающего указанный на баннере вредоносного ПО короткий номер, с требованием выдать вам код разблокировки.

Описываем (зло Изображение ) ситуацию, называем текст смс и номер… говорим, что хотели засудить своего сотового оператора, но он направил Вас к ним…

На dr.web написаны номера по которым можно требовать коды разблокировки:

3381, 3649, 4460, 5121, 7373, 8353 принадлежат А1: Первый альтернативный контент-провайдер + все их SMS-номера

Форум A1 — смотрим, оставляем «добрые» пожелания

Для номера 3381 и текста 18*********** пробуем 66788855 или 667877755 или 75633922 или нажать одновременно Ctrl+7

Для номера 5121 и текста 35****** пробуем нажать одновременно Ctrl+Alt+Shift+J или +I или +F или +G или +D

1350, 2474, 3354, 7132, 9800ИнкорМедиа 8(495)789-85-38, 8 800 5555 638 (звонок бесплатный) + все их SMS-номера

написать жалобу в службу поддержки ИнкорМедиа

Для всех локеров на номер 9800 код ответа: 54891

Найти владельца короткого номера для предъявления претензии, например: сервис мегафона, сервис http://smscost.ru/

2.

После того как нашли код и картинка не мешает, надо залезть в интернет и скачать CureIT и просканировать.

—— ПРИ ПРОБЛЕМАХ С ДОСТУПОМ К САЙТАМ ——

1- Обязательно проверьте файл host на наличие изменений!

Можно так: %SystemRoot%\system32\drivers\etc\hosts

Эту строку — прямо в адресную строку проводника и открыть блокнотом,

содержимое файла должно выглядеть так (все лишнее — удалить!):

(обычно он записан по английски, но не страшно если будет по русскии, так как эти строчки закомментированы)

ДЛЯ Win XP:

# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999#

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.

#

# Этот файл содержит сопоставления IP-адресов именам узлов.

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен

# находиться в первом столбце, за ним должно следовать соответствующее имя.

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

#

# Кроме того, в некоторых строках могут быть вставлены комментарии

# (такие, как эта строка), они должны следовать за именем узла и отделяться

# от него символом '#'.

#

# Например:

#

# 102.54.94.97 rhino.acme.com # исходный сервер

# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

 

ДЛЯ Win 7:

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.

# 127.0.0.1 localhost

# ::1 localhost

 

2- Если в host чисто, но на сайты НЕ заходит — нужно удалить все статические маршруты — команда в консоли

 

route -f

Может потребоваться перезагрузка (у меня помогала перезагрузкой соединения, откл.-вкл.)!

Вызов консоли: Пуск>Выполнить>cmd или %SystemRoot%\system32\cmd.exe — из адресной строки проводника.Для запуска с правами Админа нужно НАЙТИ файл cmd.exe и запустить его от имени Администратора.

3- Откройте планировщик заданий и удалите неизвестные и/или подозрительные задания! (я его пропускаю, но желательно проделать!)

В 7, например -> Панель управления \ Все элементы панели управления \ Администрированиеили %windir%\system32\taskschd.msc /s- из адресной строки проводника.

StaticDelete.zip,Зеркало ДЛЯ БЫСТРОЙ ПРОВЕРКИ, РЕДАКТИРОВАНИЯ host И УДАЛЕНИЯ ПОСТОЯННЫХ (СТАТИЧЕСКИХ) МАРШРУТОВ > запускать от админа!

Эта статья была переделана с оф.сайта drweb.ru

Генераторы кода для разблокировки + СОВЕТЫ! — Dr.Web users’ forum

Так же если загрузиться из под live cd Alkid, зайти в пуск-программы-администрирование-редактор реестра и там выбрать имя полязователя, обычно первый пункт, в реестре надо зайди в ветку

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

имя

shell

а значение

explorer.exe

при чём никаких ключей быть не должно! Эту ветку удалять нельзя, только изменить значение и запомнить, что там было написано, так как если вирус то должен быть к нему путь!В этой же ветке имя

 

C:\WINDOWS\system32\userinit.exe,

(с запятой!). Ветку нужно только изменить и ни в коем случае не удалять! Рядом в ветке

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

имя

AppInit_DLLs

AppInit_DLLsзначения быть НЕ ДОЛЖНО, но если стоит касперский или ещё какая-нибудь специфичная программа, то может быть использована дополнительная библиотека(*.dll), но это желательно проверить так как тут может быть вирус, а не библиотека касперского. Ветку удалять НЕЛЬЗЯ, только изменять на «пусто», если решили проверить способом изменения на «пусто», то запишите что там написано в значении, перезагрузитесь и проверьте, не ругается ли НУЖНАЯ программа на что-нибудь, если ругается, то опять в лайв сд и вернуть как было в этой ветке.

 

Shell — определяет программу-оболочку Windows, стандартное значение — explorer.exe. Если заменить его, допустим, на calc.exe (внимание: не делайте этого, это всего лишь пример), то после перезагрузки мы увидим лишь одно окно калькулятора. Этот параметр не задействуется при загрузке в «безопасном режиме с поддержкой командной строки»

Userinit — определяет… даже не знаю как написать… программу, отвечающую за выполнение одного из этапов загрузки ОС — запуск того же Shell и т.д. Этот параметр обрабатывается во всех режимах загрузки. Его исправить можно только через LiveCD или подключив HDD к другому ПК.

Эти ветки:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

и

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

отвечают за автозагрузку программ, вирусы так же там прописываются. Там все относительно просто: один параметр — одна программа.Узнал о ещё о нескольких путях-источник- Argon On-Line

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Это отвечает за использование групповой политики для автозапуска(Запускать указанные программы при входе в систему).
Синтаксис

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run

путь

"1"="notepad.exe"

"2"="iexplore.exe"

1, 2-номера программ (следующий номер 3 и т.д.) «notepad.exe» и «iexplore.exe»- программы, запускаемые Блокнот и Internet Explorer для всех пользователей
или
аналогично задаётся автозапуск для текущих пользователей 

 

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run

Вот тут как раз и прописываются некоторые вирусы.

Лечение:

Удалить из реестра, то что вы не добавляли в эту ветку или в груповую политику. По умолчанию эта ветка пуста, а точнее ветки Run нету или можно программой «gpedit.msс»- запустить через выполнить, дальше перейдите на вкладку «Конфигурация компьютера — Административные шаблоны — Система». В правой части оснастки перейдите на пункт «Запускать указанные программы при входе в систему». По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику (если вам не надо, то выключаем), нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе.(сдесь больше написано как создать, ну а удалить всё наоборот, просто у меня в home нету этой утилиты, она идёт тока в professional)Программы могут запускаться и из следующего раздела реестра:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows

Параметры:»load»=»programma» — программы запускаемые до входа пользователя в систему:»run»=»programma» — программы запускаемые после входа пользователя в систему.Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows

«load»=»iexplore.exe»

«run»=»notepad.exe»

Но, смотрите, не по удаляйте лишнего. Надо знать, что нужно, а что нет. Теперь когда у нас включается виндос без баннера, могут быть проблемы с:

1. Реестром

2. Комбинацией клавиш «Ctrl+Shift+Esc»(Alt+Ctrl+Del), то есть диспетчером задач

3. Проблемы с доступом к интернету (писал в самом начале)

Решение данных проблем:

1. Проблема с реестром если при запуске реестра пишет «Редактирование реестра запрещено администратором системы» — может быть всё таки вы не админ, но если админ, тогда вам надо

Запусти gpedit.msc, там откройте "Конфигурация пользователя" - "Административные шаблоны" - "Система" - "Сделать недоступными средства редактирования реестра" поставь в "Отключен"

(по умолчанию «не присвоено»)- источник Как получить доступ к реестру/Regedit в Windows XP Prof SP2 при его запрете? — Конференция iXBT.com

Но если у вас XP Home, то там данной утилиты нет, тогда надо создать файл-реестра и запустить

Windows Registry Editor Version 5.00 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000

Готовый файл

Если напишет то же самое, то с решением этой проблемы будет по труднее, если я не ошибаюсь, то malwarebytes вылечивает проблемы с реестром. Но можно решить проблему с помощью лайв сд, там надо отредактировать

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
ключ: DisableRegistryTools 

тип значения: REG_DWORD

значение по умолчанию: 0x0

(чтобы запретить запуск regedit надо поставить 0x1)

2. В ветке

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Имя

DisableTaskMgr

DisableTaskMgrзначение dword:

00000000

Готовый файл

3. Я выложу файл, для автоматического восстановления файла

C:\WINDOWS\system32\drivers\etc\hosts

и удаления всех статических маршрутов(route -f).

Рабочие файлы

userinit  MD5: 03F3D2816B2E84DB753F2D877E76BC5F

explorerMD5: 846AF5C748F3499E782F74F3D00E0508

logonui —    MD5: 94A93531D0E5A58267F5302A8CDE1C6C

hosts —        MD5: D0B34EB5ACAAA9A505926C83D66AA172

А вообще в этой теме уже говорилось о программе WinUnlocker_v2.0 , в ней интуитивно понятный интерфейс, написано по-русски, может разблокировать ещё больше программ, чем я описывал.

Подробнее о программе

Возможности:
1) Разблокировка диспетчера задач (в диспетчере выловить гада, и убить процесс)2) Разблокировка кнопки пуск (бывали случаи что разблокировка пуска реально помогала)

3) Разблокировка панели задач

4) Открыть проводник

5) Открыть IE на странице DrWeb CureIt (сразу начинается скачивание)

6) Возможность открыть командную строку (для продвинутых юзеров)

7) Кнопка «Разблокировать всё»

8) + Возможность посмотреть запущенные процессы, и убить нужные (встроенный диспетчер задач)

9) + добавил обработку некоторых комбинация горячих клавиш (на случай если клавиатура будет заблокирована троем)

[New:]

10) Разблокировка клавиатуры (используются два метода разблокировки)

11) Встроенное меню «Выполнить»

12) Избавился от второй формы (так-как она не хотела быть над всеми окнами), и сделал горячие клавиши (винды) в этой же форме.

[New:]

13) Трей

14) Завершение работы *.scr файлов (скринсейверы. Был замечен троян, работающий как скринсейвер)

+ во время выполнения программы, запуск трояна скринсейвера невозможен.

15) [fix] Исправлена работа кое каких процедур.

Качаем по ссылке  Windows unlocker v2.0

 

Не успел я подумать как автоматизировать удаление винлоков, как уже кто-то сделал до меня и лучше, чем сделал бы я.

Нашёл один образ и одну программу:
Образ: AntiWinLockerLiveCD_3_3
Автоматически всё находит
Зеркало

Программа: WinHelper
Лечит последствия многих вирусов (разблокируе диспетчер задач и т.п.) из «заражённого» windows’а
Зеркало

P.S. Желательно прочитать данный мануал от начала и до конца.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *