Всем здравствуйте!
Прошу помощи в моей беде:(
Словила злостный вирус на свой домашний компьютер! Пишет, что компьютер заблокирован, и надо положить 400р. на номер МТС, чтобы получить пин-код для разблокировки, если в течении 12 часов это не будет сделано, все данные будут потеряны и система полетит окончательно! Заходила на сайт Dr. Web, в разблокировку Windows, ввела номер телефона МТС, на который нужно положить заветную сумму, выдал мне 56 вариантов пин-кода, и ни один не подходит!!!:091: Перезагрузка, выключение тумблера тоже не помогают... Какие еще есть варианты? Или теперь можно только переустановить Windows?

Зачем переустанавливать. Можно вылечиться. Все решается либо откатом системы при помощи ERD либо лечением с Live CD
Данные ваши через 12 часов конечно же никуда не пропадут.

http://forum.littleone.ru/showthread.php?t=1697419

Спасибо, попробую!:)

Ну и традиционно.
Если ничего не получилось, приятное общение и гарантированная помощь в лице завсегдатаев раздела ;)

Вариант простейший - ERD и удаление правка одного параметра в реестре.
Вирусописатели, сцуки, совсем обленились.

Спасибо большое за предложение помощи, Anry13!:flower: Если совсем буду тупить, непременно обращусь к вам;)

Вариант простейший - ERD и удаление одного параметра в реестре.
Вирусописатели, сцуки, совсем обленились.

Ну это для вас вариант простейший! а я вот про это в первый раз слышу:)) ERD это антивирусная программа? и какой параметр нужно удалить?
А этих вирусописателей, убила бы!:wife:

ЕRD Commander это набор утилит для востановления работоспособности системы в виде загрузочного диска.

А править обычно надо два параметра.
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

ЕRD Commander это набор утилит для востановления работоспособности системы в виде загрузочного диска.

А править обычно надо два параметра.
1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

вы сознательно подводите пользователя под свой визит ?

Топикстартер эти параметры удалять ни в коем случае нельзя. их нужно отредактировать.

я никого ни к чему не подвожу. не надо провокаций.
про удаление там и слова нет. ТС спросила что надо править, я ответил.

я никого ни к чему не подвожу. не надо провокаций.
про удаление там и слова нет. ТС спросила что надо править, я ответил.

угу угу, только ТС спросила что надо удалить, а так конечно ни к чему не подводите :004:

у нас вроде как свобода мысли гарантирована конституцией. думайте что вам угодно.

Обалдеть! из-за меня тут уже ругаются?!!! Мальчики, не ссортесь пожалуйста!:))

читал подобное на другом форуме
не каждый "гомосапинс" справился
вот что пишет победивший

. Выдирал руками. Весьма продвинутая шляпа, умеет восстанавливаться после удаления основных исполняемых модулей.
Заменяет файлы userinit и taskmgr. Ломает систему загрузки учетных записей.
После лечения получаем комп в котором не грузится ни одна учетка.
Восстанавлено удаленым подключением реестра и правкой раздела winlogon.

Встречал :)

читал подобное на другом форуме
не каждый "гомосапинс" справился
вот что пишет победивший

ой, не пугайте меня пожалуйста! я и так вся в расстройстве!:( мне на работе говорят, что мне даже не удастся запустить Live CD. мне вообще никуда не зайти, все программы недоступны! только висит этот гадский баннер на рабочем столе!

мне на работе говорят, что мне даже не удастся запустить Live CDЭто они Вас пугают :))
Но скачать и записать такой диск нужно, разумеется, на другом компьютере.

читал подобное на другом форуме
не каждый "гомосапинс" справился
вот что пишет победивший

вот поэтому первое дело это откат системы из под ERD, если возможен конечно. А уж потом ковыряние ручками.

мне на работе говорят, что мне даже не удастся запустить Live CD
С какой это стати?

С какой это стати?

пробовали уже)))

Подозреваю, что Вы пробовали нечто немного другое вместо загрузки с liveCD.

Только что избавился от такого же на своем домашнем ПК.
Этот вирус не лечится вводом кода, он подменяет два файла userinit.exe и taskmgr.exe
Соответственно лечим так. Загружаемся с любого или Live CD (у меня старый ноут, и единственный диск который он увидел это был диск восстановления от Висты) Соответственно функции восстановления были недоступны, осталась голая командная строка.....
Итак нужно взять с другого компьютера с такой же ОС 2 файла userinit.exe и taskmgr.exe и заменить их по пути
C:\Windows\System32\
Затем заменить эти же файлы на здоровые здесь C:\Windows\ system32\dllcache
Удаляем сам файл вируса 22СС6С32.exe обычно лежит c:\Documents and Settings\
Перезагружаемся. Делаем три пальца файл - выполнить explorer.exe
Запускаем редактор реестра и восстанавливаем значение Shell - explorer.exe
Работает

Только что избавился от такого же на своем домашнем ПК.
Этот вирус не лечится вводом кода, он подменяет два файла userinit.exe и taskmgr.exe
Соответственно лечим так. Загружаемся с любого или Live CD (у меня старый ноут, и единственный диск который он увидел это был диск восстановления от Висты) Соответственно функции восстановления были недоступны, осталась голая командная строка.....
Итак нужно взять с другого компьютера с такой же ОС 2 файла userinit.exe и taskmgr.exe и заменить их по пути
C:\Windows\System32\
Затем заменить эти же файлы на здоровые здесь C:\Windows\ system32\dllcache
Удаляем сам файл вируса 22СС6С32.exe обычно лежит c:\Documents and Settings\
Перезагружаемся. Делаем три пальца файл - выполнить explorer.exe
Запускаем редактор реестра и восстанавливаем значение Shell - explorer.exe
Работает

Спасибо!:)

Удалось?

Честно говоря не было времени этим заняться! Сегодня буду пробовать!

Только что избавился от такого же на своем домашнем ПК.
Этот вирус не лечится вводом кода, он подменяет два файла userinit.exe и taskmgr.exe
Соответственно лечим так. Загружаемся с любого или Live CD (у меня старый ноут, и единственный диск который он увидел это был диск восстановления от Висты) Соответственно функции восстановления были недоступны, осталась голая командная строка.....
Итак нужно взять с другого компьютера с такой же ОС 2 файла userinit.exe и taskmgr.exe и заменить их по пути
C:\Windows\System32\
Затем заменить эти же файлы на здоровые здесь C:\Windows\ system32\dllcache
Удаляем сам файл вируса 22СС6С32.exe обычно лежит c:\Documents and Settings\
Перезагружаемся. Делаем три пальца файл - выполнить explorer.exe
Запускаем редактор реестра и восстанавливаем значение Shell - explorer.exe
Работает

Что значит делаем три пальца файл?

И еще. Если на зараженном домашнем стоит Виндоус семерка домашняя, а на ноуте Виндоус семерка Starter - можно эти два файлика скопировать? Хотя мне уже, похоже, нечего терять, я уже и реестры почистила - а ОНО так и висит...

Что значит делаем три пальца файл?

И еще. Если на зараженном домашнем стоит Виндоус семерка домашняя, а на ноуте Виндоус семерка Starter - можно эти два файлика скопировать? Хотя мне уже, похоже, нечего терять, я уже и реестры почистила - а ОНО так и висит...
Ctrl+Alt+Del
Не вижу препятствий менять файлы. Должны подойти.

Ctrl+Alt+Del
Не вижу препятствий менять файлы. Должны подойти.

Спасибо. Я сравнила - у меня "родные" такие же точно. Вообще уже не понимаю, что делать :(

Затем заменить эти же файлы на здоровые здесь C:\Windows\ system32\dllcache
Удаляем сам файл вируса 22СС6С32.exe обычно лежит c:\Documents and Settings\

У меня в Виндоус 7 таких директорий нету :(

C:\Users

А файлы всё равно подмените - хуже им от здоровых всё равно не станет.

1. системные файлы не обязательно подменяются.
2. файл вируса может называться как угодно и быть не в единственном экземпляре.

я эту "бяку" (то бишь, вирус такой же) вылечила переустановкой винды...:( из нас никудышные вышли программисты, надо было сразу вызывать знающих людей:)

я эту "бяку" (то бишь, вирус такой же) вылечила переустановкой винды...:( из нас никудышные вышли программисты, надо было сразу вызывать знающих людей:)

У меня, похоже, тоже этим всё закончится. :(

У меня, похоже, тоже этим всё закончится. :(

сочувствую...
у меня столько инфы важной пропало...

сочувствую...
у меня столько инфы важной пропало...

Не, инфу я почти всю выцепила. В принципе, можно и просто так особо важные файлы выцепить (если долго жать правый шифт - появится окошко про залипание, через него можно выйти на Мой компьютер и всякие каталоги), но это муторно, я через ERD Commander действовала.

Не, инфу я почти всю выцепила. В принципе, можно и просто так особо важные файлы выцепить (если долго жать правый шифт - появится окошко про залипание, через него можно выйти на Мой компьютер и всякие каталоги), но это муторно, я через ERD Commander действовала.

кто бы мне это раньше подсказал))) буду знать

кто бы мне это раньше подсказал))) буду знать

Я перерыла кучу сайтов в Инете, и нашла этот хитрый способ на единственном (и даже в закладки не кинула почему-то). Мне даже др Вэба удалось запустить с флешки и прибить непосредственно троян. Другое дело, что вирус уже серьезно покоцал систему, и с этим я сама уже не справилась. :(

Действия:
1. находим любыми путями утилиту (вернее загрузочный диск) ERD. Стартуем компутер с него.
2. когда ERD стартанет - запускаем утилиту "autoruns".
3. Нам показывают кусок записей реестра, где мы видим отвратительные следы вируса. Один находится в папке c:\Documents and settings\all users\Documents там сидит файл AACC3C63.exe. Имя может быть и другим, но система похожа. Убиваем этот файл и не забываем прибить запись в реестре, которую нам утилита показала.
4. Вторая запись относится к файлу userinit и ее нам грохать нельзя. Просто поиском ищем файлы userinit, которые на компе есть в системной директории и копируем любой не находящийся в папке system 32 именно в эту папку с заменой больного.
собственно и все.

Действия:
1. находим любыми путями утилиту (вернее загрузочный диск) ERD. Стартуем компутер с него

Оказалось, они разные бывают. Я скачала ERD65 - так он к моей ОС (Виндоус 7) не подошел почему-то, работал очень криво.

Оказалось, они разные бывают. Я скачала ERD65 - так он к моей ОС (Виндоус 7) не подошел почему-то, работал очень криво.
Видимо, дело было в разрядности, как мы уже обсуждали.

Видимо, дело было в разрядности, как мы уже обсуждали.

Да, возможно. А более старая версия ERD вообще отказалась работать. Это я к тому, что еще не всякая ERD спасет в этой ситуации.

Соответствующая :))

Я на этот случай имею весь набор ))

Всем привет!
Как я и думала, Live CD Dr. Web у меня даже не запустился:(
F8 тоже не помогает, черный экран не высвечивается. Всплывает окно, в котором мне предлагают удалить жесткий диск и т.п.

Завсегдатаи раздела всегда готовы помочь лично ) Выбирайте )

Вариант простейший - ERD и удаление правка одного параметра в реестре.
Вирусописатели, сцуки, совсем обленились.

Как сказать...

Мало ли, кто столкнётся и с новой дрянью....

Последняя модификация блокировщика с требованием положить денег на телефон билайн с номером 89067420682 за " за просмотр, копирование и тиражирование видео с элементами педофилии, детского порно, гей-порно", которую мне приносили с ноутбуком на лечение буквально на прошедших выходных, считает заражение просто виндов мелочью, а потому правит MBR.
В результате чего никаких там безопасных режимов виндов больше нет в принципе, F8 можно жать хоть до посинения :)
В качестве дополнительного симптома - дата на ноуте была сбита на 2 дня назад - пользователь ли это пошалил или вирус - фиг знает, изменение даты на реальную, а также хоть на год вперёд ничем не помогли.

Загрузочный диск с WinPE в данном случае мне по большому счёту показал, что сами диски и их содержимое на месте, а в реестре по наиболее часто встречающимся путям - ничего нет. Сканирование вшитыми в WinPE анитивирусниками (после обновлениях баз) в режиме "только поиск" смогли найти наличие дряни только два - касперский и дрвеб, но оба только в файлах на диске, в загрузочных секторах было якобы чисто, в связи с чем начал искать обходные пути. tdskiller от касперского, вроде как раз для таких случаев, ничем не помог, так же сказав - ничего нет у тебя нет, мол.

По базам касперского это называлось Trojan-Ransom.Win32.PornoAsset.mn, вылечено было с помощью их же загрузочного диска Kaspersky Rescue Disk 10 (http://support.kaspersky.ru/viruses/rescuedisk), образ которого их же утилитой был записан на флэшку, после загрузки был выпущен в интернет за обновление баз, которые "отставали" на несколько дней (поддерживаются как минимум проводные сетевушки с позвожностью перенастройки IP).
При загрузке (win7 + скрытый раздел на винте) предлагается выбрать раздел, при проверке скрытого и был обнаружено 2 объекта, которые удалены, после чего уже на диске с самой 7-кой (содержимое диска С со вложенными папками пришлось добавлять в сканирование через "добавить" отдельно, в отличие от Virus removal Tool того же касперского этот сканирует только корень без вложенных папок при выборе просто диска в списке). Сканер отработал нормально, после перезагрузки система уже загрузилась штатно, повторное сканирование утилитами касперского и дрвеба уже из-под работающей системы больше ничего не нашло, повторная проверка реестра, в т.ч. с учётом найденных при сканировании с флэшки заражённых файлов, ничего не нашла. Блокировки антивирусных сайтов или ещё чего-либо замечено не было.

Как сказать...

а потому правит MBR.


Честно говоря я видимо что то не понял....
Вы удалили вирусы и загрузили систему?
А кто правил MBR и половину ключей в реестре?

p.s. мне уже довелось полечить комп от этой "радости" и подобной симптоматики я не заметил. В моем случае были подменены taskmgr и userinit, да в реестре вместо эксплорера запускалось тело вируса.......

MBR оне уже давно не трогают!

на сайте DrWeb'a есть утилиты для сноса таких вирусняков...совершенно бесплатно..и весят немного.
http://www.drweb.com/unlocker/index/?lng=ru

где там утилиты? Там только коды предлагают. Я все ввела - и тишина. Более того, я даже курейт исхитрилась запустить - он нашел трояна и якобы даже вылечил его, но комп при перезагрузке продолжал быть заблокированным.

Как ни крути, а обрабатываемые при запуски ключи реестра смотреть всё равно надо.

Аурелита, а Вы в итоге решили свою проблему?

Аурелита, а Вы в итоге решили свою проблему?

Угу, решила - комп уехал к компьютерному мастеру. :(

Зато будет как новый :)

Честно говоря я видимо что то не понял....
Вы удалили вирусы и загрузили систему?
А кто правил MBR и половину ключей в реестре?

p.s. мне уже довелось полечить комп от этой "радости" и подобной симптоматики я не заметил. В моем случае были подменены taskmgr и userinit, да в реестре вместо эксплорера запускалось тело вируса.......

Ок, я видно напрасно упустил вступление.

Вместо загрузки windows (7) сразу после заставки биос в DOS-подобном окне появлялось следующее сообщение:
"Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии, детского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 510 рублей. В любом терминале оплаты, пополните счет абонента БИЛАЙН номер 89067420682
В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. Если в течение 5 часов штраф не будет оплачен, все данные на Вашем персональном компьютере будут безвозвратно уничтожены".
В нижней части экрана находился текст "Enter code: " и мигающий "Dos"-курсор.

Вылечено это было с помощью загрузочной флэшки с Kaspersky Rescue Disk 10 с обновлёнными базами. MBR правил в нормальное состояние он, были ли ключи в реестре, которые он правил, не скажу, он мне не доложил, обнаружив exe'шный вирус-источник только в кэше браузера и в Temp'е локального пользователя, как по ссылке в описании ниже на секьюрелистком.
На привычных местах в реестре я сам ничего не видел, на первый взгляд всё было чисто, юзеринит и диспетчер задач были родные и нетронутые.

С подменой файлов userinit.exe и taskmgr.exe в system32 и system32\dllcache и заменённым shell я уже сталкивался ранее, это была совсем другая ерундовина, которая работала под загруженными виндами.
В том случае, с которым я разбирался на выходных, ни сами винды, ни средства диагностики и восстановления со служебного раздела семёрки не грузились вовсе, DOS-подобное окно с процитированным выше текстом и предложение ввести код - это всё, что грузилось с винта.


MBR оне уже давно не трогают!
Я тоже так думал, но если смотреть краткое описание этого вируса, он относительно свежий, обнаруженный 1 июня (http://www.securelist.com/en/descriptions/15738941/Trojan-Ransom.Win32.PornoAsset.mn).

В том случае, с которым я разбирался на выходных
Операционка патченая, лицензия?
Пользователь, наверняка сидел под админом? Что с UAC?

Операционка патченая, лицензия?
Пользователь, наверняка сидел под админом? Что с UAC?
Лицензия, предустановленная производителем (ноут), 32-битная.
пользователь - с правами админа, а вот UAC не трогали, уровень был "рекомендуемый". Нр владелец честно признался, что мало помнит чего нажимал или не нажимал, пока порнуху в интернете смотрел.

Вот тут (http://safezone.cc/forum/showthread.php?p=78371) описана разновидность вымогателя поражающая MBR

С учетом сказанного стОит немедленно включить в БИОСе защиту MBR.

С учетом сказанного стОит немедленно включить в БИОСе защиту MBR.

Согласен, если бы ещё все БИОСы позволяли это делать, особенно ноутбучные...

особенно ноутбучные...
О!:(

где там утилиты? Там только коды предлагают. Я все ввела - и тишина. Более того, я даже курейт исхитрилась запустить - он нашел трояна и якобы даже вылечил его, но комп при перезагрузке продолжал быть заблокированным.
А курейту обновлялись базы? Вирус-то свежий!

А курейту обновлялись базы? Вирус-то свежий!

Курейт был скачан с сайта в тот же день.