42 replies to this topic

[PingwiN]

В общем вчера дернули из-за очередного винлокера.

Сам по себе какой то новый - загружается до загрузки винды. Текст стандартный - порно, педофилия прочии радости, срочно киньте бабла или через 12 часов все нахрен удалится.
Отличительные особенности - сумма 500р, номер телефона 89636196172

Как лечить это гумно? Желательно максимально быстро - много времени на эту херь тратить не хочется.
К сожалению мой метод - выкинуть ПК взять мак не подходит =(

[Dirol]

Варианты слов отсюда не подходят?

[Илюша]

Варианты слов отсюда не подходят?

нее... то что пишет Пиня, это что-то новое

[CherryPah]

гугол шлет сюда

http://avs-911.ru/

[glebka]

а чего нового то?
уже полгода такое гуляет....
каспер диск(только обновить через нет) ,после этого комп загружатся не будет ( не сможет в профиль пользователя войти, каспер сносит нафиг ), ручками рабочий стол и профиль загрузки восстанавливать(заготовь файлы из папки system32 с рабочей машины если там ХР. на семерке не попадалось)
з.ы приноси, по твоим расценкам с клиента ты мне вполне денег дать можешь....

[GalielO]

Kaspersky WindowsUnlocker
89636196172 баннер, помогите с разблокировкой и далее по ссылкам...

[pifa]

Восстановление системы задним числом? мне помогло...

[GUNman]

когда я с таким столкнулся, я нагуглил инструкцию, где именно в реестре он заменяет explorer.exe на свой экзешник, достаточно это пофиксить (из-под Win PE) и система заведется, дальше прогон антивирусом решит все проблемы. Гуглил по запросу "лечить winlock" или как-то так. Метод лечения подходит для любых винлоков. К сожалению, в закладки забыл прописать =(

UPD: а, все, нашел
http://www.winlock-t...u/udalenie.html
Итак, заводимся с чего-нибудь Live, лезем в реестр пострадавшей машины, дальше читаем что в нем искать и как лечить.

[DarkTwin]

Простите за рекламу, у меня уже давно в в памяти отложилось как это лечить, но http://madbadjack.co...?t=10832&page=6 на всякий случай в закладке... загружаемся с WinPE (лично я предпочитаю http://nnm-club.ru/f...ic.php?t=336550 ) - заходим в реестр - ищем указанные пути и меняем на то что надо.. не забываем архивировать "гадость" и делиться ею с любителями "вымогателей"

[_Andy_]

Подцепил вроде на ванилинка.ру (не точно)
Пытался восстановить винду с диска - после первой же перезагрузки остановка на этих "угрозах".
Тогда, в "консоли восстановления":
fixboot
fixmbr
Потом я сделал "восстановление предыдущей копии(версии) windows". Может и не надо было...
Пока всё работает.

[DarkTwin]

_Andy_,

fixboot
fixmbr

О да
При чем тут это ?
Правится все элементарно. Два ключа в одной ветке реестра и после этого смотрим автораны.. все ... делов на пять минут работы.. PE загружается дольше чем исправить

[_Andy_]

Перед этим проверялся с USB-DrWeb - не помогло, USB от Касперыча почему то не загрузился, вот и поддался на уговоры пользователля - восстановить...
Тоже кстати видел на форуме каспера пост с номером мобильника (там его ... послали на 911).
По поводу реестра - у меня сложилось такое ощущение, что вылезало оно ещё до загрузки реестра. Там даже клава USB-шная не работала чтобы код ввести.

[GalielO]

Для данного случая хватит Win PE из дистрибутива Windows \sources\boot.wim
Распаковать (например, архиватором 7z) и записать на FlashUSB/СD/DVD используя любой загрузчик (GRUB, Syslinux, BCDW).

[DarkTwin]

_Andy_, антивирусы в 99% не видят эти "вирусы" так как это собственно и не вирус, а просто "картинка".

у меня сложилось такое ощущение

Не верное ощущение.

Для данного случая хватит Win PE из дистрибутива Windows \sources\boot.wim

Выбор PE это религия... вариантов до *цензура*.. каждый выбирает то что ему удобнее и сказать что одно лучше другое хуже просто напросто нельзя.

Не верно выразился. PE он и есть PE. Я про всякие лайв CD на его основе.

[bmv]

AntiWinLocker

- это защита от блокировщиков Windows, от блокировки порнографическими баннерами, которые требуют перечислить деньги на счёт или послать sms. Автоматическое восстановление работы операционной системы без переустановки Windows. Диск восстановления AntiWinLockerLiveCD для лечения уже заблокированной ОС Windows. Простое и эффективное решение. Защитите свой компьютер - установите AntiWinLocker. В пробном режиме 30 дней - полностью функционален. Скачайте и запишите диск AntiWinLockerLiveCD, и Вы сможете помочь не только себе избавиться от заразы, но и своим близким и друзьям.

http://www.antiwinlocker.ru/

[GalielO]

_Andy_

По поводу реестра - у меня сложилось такое ощущение, что вылезало оно ещё до загрузки реестра. Там даже клава USB-шная не работала чтобы код ввести.

При загрузке Win PE её реестр и грузится. Вам нужно подгрузить куст реестра повреждённой Windows.
Для этого нужно в Win PE запустить редактор реестра REGEDIT и подгрузить куст реестра повреждённой Windows через меню -> файл.
 regedit.png   60.73KB   2 downloads
Реестр обычно прячется в файлах SOFTWARE, SYSTEM ... по пути %Windir%\System32\config

[glebka]

когда я с таким столкнулся, я нагуглил инструкцию, где именно в реестре он заменяет explorer.exe на свой экзешник, достаточно это пофиксить (из-под Win PE) и система заведется,

ну собственно это одна из первых модификаций, сечас они стали немного более сложнее...

[GalielO]

[MadFrost]

Сколько их удалял, ни разу не было проблемы загрузиться в безоасном режиме с поддержкой командной строки. Дальше тупо cureit запускаешь... 2 действия, 0 проблем.

[DarkTwin]

Сколько их удалял, ни разу не было проблемы загрузиться в безоасном режиме с поддержкой командной строки. Дальше тупо cureit запускаешь... 2 действия, 0 проблем.

Везло.