| Частенько ко мне приходят с плачем, размазывая сопли по чумазым щекам вендузятнеги, подхватившие популярную заразу, коя блокирует компы сей школоты напрочь и пишет на экране обидные слова: Ваш ПК, компьютер, Windows заблокирован, за просмотр порнофильмов с участием несовершеннолетних, просмотр фильмов с зоофилией и гомосеками. Для разблокировки Вам необходимо выполнить следующие действия. В любом терминале оплаты сотовой связи, пополните номер такой то... Иначе угрожает чем то вроде: Если в течении 12 часов с момента появления данного сообщения, не будет введен код - все данные, включая Windows и bios будут БЕЗВОЗВРАТНО УДАЛЕНЫ, дом сгорит, жена уйдёт. Попытка переустановить систему приведет к нарушениям работы компьютера и полового члена . Вендузятнег в ужасе - вдруг мама или начальство узнает, чем занимается пользователь данного компьютера, каков основной круг его интересов и пристрастий. Плакать перестаем - и к делу. 1. При загрузке компа тычем на кнопку F8 пока не появится список выбора вариантов загрузки венды.
2. Выбираем режим загрузки - Безопасный, с поддержкой командной строки
3. В командной строке вводим regedit.exe - запускаем редактор реестра
4. В редакторе следуем по папкам таким маршрутом:
HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows NT->CurrentVersion->Winlogon. Теперь в окне справа ищем параметр "shell". Стукаем по нему правой кнопкой мыши и выбираем редактировать. Вместо необходимого значения - explorer.exe там был прописан длинный путь в одну из подпапок папки Temporary Internet Files, непосредственно указывающий на собственно тело врага, который подменяет собой Проводник. Запоминаем этот адрес, копируем его в буфер обмена(это когда правой кнопкой мышки тырцаешь "копировать" по выделенному фрагменту текста), а в поле вводим то, что надо, то есть - explorer.exe (если там и стоит explorer.exe - полностью удаляем параметр shell - ***совет из комментариев) Тут же смотрим параметр "Userinit", должно быть – "C:\WINDOWS\system32\userinit.exe," (в конце запятая!)
Если это значение изменено, то скорее всего заражен и файл C:\WINDOWS\system32\userinit.exe . В любом случае лучше заменить этот файл, взяв его с другого компьютера или скачать тут(архив, userinit.exe+ветка реестра HKEY_LOCAL_MACHINE\SOFTWARE) - http://letitbit.net/download/43830.454b787a4541a78b7b0056781cd1/software_userinit.zip.html. Обычно значение параметра бывает изменено вирусом на C:\WINDOWS\system32\ файл 03014D3F.exe, и в папке system32 будет такой файл, который надо удалить. В папке C:\WINDOWS\system32\dllcache имеется резервный файл userinit.exe - замените его тоже.
Для Win 7:
Чистим кеш браузера по пути: c:/users/User(Ваше имя в системе)/AppData/Local/Microsoft/Windows/Temporary Internet Files/
Чистим папку: с:/Windows/SysWOW64/rserwer
Как правило, эти действия производятся при загрузке с внешнего загрузочного диска, так как вирус блокирует все возможности входа в систему, в т.ч. и командную строку. Если до реестра добраться затруднительно или нечем, после замены userinit.exe временно подмените и ветку реестра C:\WINDOWS\system32\config\software, скопировав её со здорового компа, это позволит вам загрузиться и работать дальше уже со своего диска и в своей системе. Родную же ветку временно переименуйте например в "_software", потом с ней разберетесь.
Удаляем раздел Explorer.exe в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (если он там есть)5. Закрываем редактор реестра.
6. Из командной строки запускаем Проводник (пишем в ней: explorer.exe)
7. В адресную строку вставляем из буфера обмена тот самый путь, что был прописан в реестре, НО! стереть в самом конце адреса имя вредителя(нечто вроде "xxx_video_цифры.avi.exe" или например "flash_plaer.exe") , чтобы открылась только папка, его содержащая, жмем "Перейти".
8. Чтобы долго его не искать - полностью очищаем всю папку. Всё. Закрываем эксплорер, перезагружаемся - всё работает. На всякий случай ищем по всему компу подобные файлы или файлы с подозрительным окончанием avi.exe и грохаем их. Если у вас все получилось, в знак благодарности можете разок-другой поклацать по рекламкам, этим Вы - не слишком утруждая себя, пособите нам обрести вожделенные средства на интернет и на молочишко детишкам). И скопируй себе этот текст, вендузятнег. Распечатай. Рано или поздно он тебе пригодится... Описанный выше троян обычно расположен в папке Temporary Internet Files (это папка кэша браузера) Есть ещё версия подобной заразы. Она сидит в папке браузера, например для Мозиллы - в его папке: C:\Program Files\Mozilla Firefox и имеет вид файла с длинным названием из цифр, нечто вроде: 0.23456565534642.exe, имеет размер около 350 кБ, запускаться может откуда угодно, например так же - из реестра. В принципе мест расположения и названий этой вирусни может быть сколько угодно, так что... Еще одна версия пишет что Вы смотрели гей-порно в течение трех часов. Эта штучка посложнее, по крайней мере та её разновидность, что попалась мне под руки. Чуть позже сообщу, что получилось, а пока работаю с ней... Нашел вот это у Касперского, берите там: http://support.kaspersky.ru/viruses/deblocker
Ставьте Линукс, бляди! © Вирусы, черви и прочие трояны вам будут не страшны ДОПОЛНЕНИЕ от 4 февр. 2011
Разработчики трояна Winlock продолжают изобретать новые схемы распространения своего детища. Похоже на то, что зарабатывать денежку разработчики этого софта будут еще очень долго, несмотря на постоянно ведущуюся борьбу с троянцом. Пока что выигрывает троянец, не в последнюю очередь, благодаря изобретательности своих создателей. Так вот, сейчас, по сообщению экспертов компании «Доктор Веб», придуман новый способ распространения заразы, блокирующей ОС Windows — комментарии в ЖЖ. Нажав на комментарий, пользователь попадает на фотохостинг, а оттуда уже перенаправляется на еще один ресурс, с «клубничкой», где вместо девочек пользователь получает троянца в виде exe-файла. Понятно, что основная целевая аудитория Winlock, распространяющегося через ЖЖ — русскоязычные пользователи, коих здесь большинство. Это одна из первых попыток хакеров начать распространение трояна Winlock через социальные сети, поскольку до сих пор зловредное ПО распространялось через различные развлекательные ресурсы, вроде сайтов с той самой «клубничкой» или поддельные файлообменники. Берегите себя, ребятишки, не клюйте на что попало, а лучше уйдите из соц.сетей, станьте анонимами, не доверяйте интернетам ничего личного...
Как лечить Bundespolizei Achtung Fake
Реестр находится по адресу: с:\windows\system32\config
UPD by fill:
fill 29.11.2011 03:04 ID-12532
- все до боли просто и без live cd
1 вызываем залипание клавиш,нажимая SHIFT 5 раз
2 в появившемся окне нажимаете на переход в центр спецвозможностей
3 нажимаете в самой первой строке на значок <<
4 далее Мой компутер,далее в windows ищем regedit,жмем на него и заходим в реестр
5 Перейдите в раздел "HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon"
6 Перейдите на правую панель редактора реестра и проверьте два параметра "Shell” и "Userinit”. Значением параметра Shell должно быть "Explorer.exe", а параметра "Userinit" – "C:\WINDOWS\system32\userinit.exe," (обязательно в конце запятая)!
7 перезагрузите комп
|
