Что делать, когда вирус блокирует Windows

[ELEKTRO]

15 января 2010 в 18:05 Автор SATOR Источник newsland.ru Поступил тревожный звонок от пользователя, компьютер требует отправить СМС сообщение и угрожает потерей всех данных.
Зашел VNC, узрел красоты. Есть 2 разновидности этой дряни. Одна красным окошком, другая синим. Синее удаляется проще — достаточно удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником, я перезагрузился и нормально зашел в винду. А вот с красным окошком пришлось повозиться. Ибо о нём в интернете инфы было мало. Сфоткать красное не удалось, так что вот вам синее

Сразу вспомнил, что когда-то читал об этом на Хабре. Вирус выводит на экран окошко с предложением отправить смс на какой-то номер, чтобы разблокировать Windows. Ctrl + Alt + Del, Alt + Tab и прочие сочетания, которые должны свернуть/закрыть/переключить на другую программу естественно блокируются. Перезагрузка даже в безопасном режиме заканчивается этим же окошком.
Автор поста на хабре любезно написал мануал как с помощью 8 секундного удержания клавиши Shift он вызвал окно залипания клавиш. И через него добрался до эксплорера и системных дисков. Я добрался но к сожалению не смог вызвать ни диспетчер задач, ни редактор реестра, так как они оказались заблокированы администратором Я вроде ниче не блокировал.
При попытке запустить Диспетчер задач Windows (любым способом – или с помощью Ctrl+Alt+Del, или с помощью Пуск –> Выполнить… –> taskmgr –> OK) появляется диалоговое окно «Диспетчер задач» с сообщением «Диспетчер задач отключен администратором», то это, как правило, говорит о заражении системы вирусами.
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System] создается параметр REG_DWORD DisableTaskMgr со значением 1.
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.
Я подобным гемороем не занимался, подключился к реестру юзера через сеть и изменил ненужные ключи. Но вирус на этом не сдался, он открывался поверх всех окон, и прятал, все что открыто. Ладно хрен с ним. Пойдем через задницу.
DameWare NT Utilities рулит, и показывает мне в процессах чувака с именем don9CF6.tmp. Нашел, потушил, удалил его из папки Temp. Полез дальше рыть реестр на имя этого файла. Нашел
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)
А там было C:/windows/system32/userinit.exe; c:/документс&сеттингс/аккаунт/local settings/Temp/don9CF6.tmp.
Удалил вторую часть параметра и все загрузилось волшебным образом. Таким образом файл лежал не на алл юзерс, а на том аккаунте, где было поймано, при этом в папке Temp и расширение .tmp. Видать там тело вируса и было.
Удалил все плохие ключи и файлы и после перезагрузки компьютер стал работать как прежде, даже еще лучше А ведь секретарша, думала уже СМС отправить за 300 рублей ))
Кстати ДокторВеб написал генератор таких вот кодов.

[Léon Chame]

Вообще вирус этот, по наблюдениям за моей соседской "клиентурой", поражает мужчин старше среднего возраста, не предохраняющихся при случайном выходе на некоторые странички Интернета. То есть, не закрывающими их немедленно (хоть через Ctrl-Alt-Del !), а нажатием той или кнопки запускающих вирус вовнутрь. Итак, лучший способ, считайте, уже изложил . Не ходить, а уж зашел - так не трогать. Бесплатный сыр... и т.п.

Цитата:

Сообщение от ELEKTRO

Есть 2 разновидности этой дряни. Одна красным окошком, другая синим.

Всё написанное верно, но появилась новая, улучшенная версия. С ней возился дней 10 назад, ещё один сосед по дому подхватил (ох уж эти затянувшиеся праздники: нет, чтобы снег разгрести, так кнопЮт и кнопЮт!!!).

Отличие: вирус блокирует запуск любой программы

Цитата:

Сообщение от ELEKTRO

удалить файлы blocker.exe и blocker.bin. Удалив их тем же проводником

и этих тоже, и Проводника, и антивирусов, и редактора реестра.

Цитата:

Сообщение от ELEKTRO

Перезагрузка даже в безопасном режиме заканчивается этим же окошком.

Ес-сно!

Теперь sms предлагается удалить не просто так, а за якобы пиратскую копию Касперского (которого у моего клиента ВООБЩЕ И НЕ БЫЛО!!! у него был NOD32). Что наводит на подозрения о том, кто этот улучшенный вирус написал. - в совокупности с временем появления, пришедшимся на выходные, когда НИКТО на этом Касперском и даже на DrWeb вирусами не занимался! Я отослал туда даже dll с кодом вируса - ноль внимания в фонд призрения. Только предложения срочно купить и т.п.

Нефиг поддаваться на провокации лихоимцев!

Даже купив этого вонючего Касперского, вы его не установите, т.к. вирус блокирует и эту возможность! Вонючего потому, что никакой заплатки за время эпидемии Касперский не выставил. ДенюФки-то капают!!!

В общем, удалить эту бяку помог мне только запуск с CD-ROM с редактированием реестра в удалённом режиме и утилита avz4. Аналогичная утилита, убивающая запущенные процессы, описана и в статье ELEKTRO. Интерфейс так себе, много глюков, но - работать можно. Вирус побеждён, Касперский с DrWeb посрамлены.

Цитата:

Сообщение от ELEKTRO

Кстати ДокторВеб написал генератор таких вот кодов.

Поздно!!!

[Мамушкин]

Мне не раз приходилось бороться с этой дрянью (ПК приносят). Ни разу не удавалось сделать это одними и теми же приёмами (мошенники не дремлют). Каждый раз приходилось искать новый путь. Пока удавалось. Но однажды пришлось всё же переустановить систему: надоело искать.

[Владимир Александрович]

Из-за таких вымогателей у меня установлены две копии одной и той же оперативки. Одна основная, связана с интернетом. Другая вспомогательная, для восстановления первой, не связана с интернетом.

[StrangeR]

На сайте каперского есть раздел по деблокированию этой дряни: http://support.kaspersky.ru/viruses/deblocker
Там же форум по обсуждению особо сложных случаев. Если подбор кода разблокировки не помогает, то любой деблокиратор можно обезвредить по такой технологии: http://forum.kaspersky.com/index.php...owtopic=199377

[Redman_69]

Переходите на линукс и спите спокойно!

[Алексей Л]

С любыми вирусами борюсь самым простым способом - раз в неделю делаю образ системы.

[Ихалайнен]

Уже несколько лет пользуюсь исключительно программами защиты Agnitum Outpost и, несмотря на посещения любых сомнительных сайтов, никогда не сталкивался с поднятой здесь проблемой.
Рекомендую всем.

[Sергей]

Цитата:

Сообщение от Redman_69

Переходите на линукс и спите спокойно!

И что с этой Линукс дальше делать? Тем, кто не просто работает с основными программами, а любит устанавливать и тестировать все новые и снова новые программульки.

[neupkev]

ELEKTRO. Наберите в поисковике http://www.kaspersky.ru/.Потом в поисковике наберите Удаление баннера с рабочего стола, разблокировка Windows.
Или вот вам адрес страницы http://support.kaspersky.ru/viruses/deblocker.
Я пробовал помогает.