Winlocker-ы и методы устранения.

[Alexandra]

Простите,но....,и это "но" уже всех.
...
Предлагаю здесь делится инфой по безболезненному,относительно,удалению заразы,если унлокеры от дяди Жени и Игоря Данилова не работают.

[Keper]

Pavlucha
а ответ на второй вопрос? И как же я интересно его придумал, если форум не смотрел.
И ещё к сведению - здесь скорее обсуждается проблема, а не помогают людям. Соответственно и людям здесь особо ваша помощь не нужна, как и реклама.

[Ariny]

Pavlucha, полегче, пожалуйста, с навязчивым сервисом.
Я оставила ссылки на Ваш ресурс из соображений "а вдруг кому-то пригодиться", да. Но в данной теме сервис "обратитесь к нам, крутым специалистам" просто неуместен. Кстати, забыла Вам выдать замечание за дублирование тем/сообщений, виновата, исправлюсь.

[Pavlucha]

Тема называется Winlocker-ы и методы устранения.Я предложил способ.Ну да ладно.Вот моя история.это было год назад.
Как-то раз,я хотел посмотреть порно видео.Скачал плагин для флэш плеера,в результате вылез банер.В пользовательском соглашении вообще-то написано,что если не удалить плагин через час система заблокируется.Обошёл я его следующим способом:отвёл время назад на то,когда был установлен этот плагин.Благо часики были видны,правда только минуты.Перезагрузился,банер исчез.Затем удалил плагин,почистил реестр и всякие ненужные и временные файлы ещё раз перезагрузка и всё ОК.

[Keper]

Таким же образом можно порекомендовать приходящего мастера с тел. ххх-ххх-ххх. Он тоже придёт и всё сделает. А сам человек так ничему и не научится.

[Smirnoff]

Цитата (Pavlucha) »

отвёл время назад на то,когда был установлен этот плагин

Это тебе попался примитив под девизом "детская неожиданность"...

[Pavlucha]

Цитата (Smirnoff) »

Это тебе попался примитив под девизом "детская неожиданность"

согласен,есть такие которые и в безопасном режиме систему не дают запустить.

[Smirnoff]

Цитата (Pavlucha) »

и в безопасном режиме систему не дают запустить

Буквально вчера знакомый рассказал о новом прикольчике: порнобаннер заскринил Рабочий стол со своей картинкой поверх (выяснить это удалось по остановившимся часикам - часы на самой мамке продолжали нормально тикать)...
В Safe Mode тоже оно грузилось, Ctrl+Esc не блокировало, просто сразу гасило окно диспетчера задач.
Получилось загрузиться в режим командной строки и уже оттуда запустить explorer.exe; ну а дальше уже стандартно - regedit и антивирус...

[Voplexx]

Цитата (Smirnoff) »

заскринил Рабочий стол со своей картинкой поверх

вчера видел такое, - баннер с номером 8353 и постоянно меняющимися кодами. ass1st.com - распространитель. Live CD - ..:\Program Files\Common Files\Microsoft Shared\mssoft.exe - удаляем, и всё

[Freeuse]

Приятно, когда все нормально срабатывает. Только что позвонил старый друг. Отправьте СМС на № 5581 с текстом 35101116. Сайт Касперского выдал код 9972311.
После перезагрузки исчез. Пущай теперь гоняет комп на вирии.

[kalim90]

Цитата (C@es@R) »

http://www.esetnod32.ru/.support/winlock/
анлокер от НОДа
http://support.kaspersky.ru/viruses/deblocker
анлокер от Каспера
Работают просто замечательно. Не один клиентский или комп знакомых был ими разблочен.

Добавлено через 1 минуту

локеры они все знают. Их обновляют кажный день. росто иногда надо комбинировать с цифрами или вводить их не до конца. Перебор помогат в крайняк.

+ полезные ссылочки почитать:

http://www.kaspersky.ru/support/kis2...?qid=208637578 - Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2010

http://support.kaspersky.ru/faq?qid=208637133 - Способы борьбы с программами-вымогателями класса Trojan-Ransom

[siBEERian]

Антивирус:
Avira Personal http://free-av.de/ обновлять через каждые 2 часа:
Открываете Управление -> Планировщик. Там у Вас две задачи по умолчанию - сканирование и обновление. Правой кнопкой мыши на заданиях -> Добавить новую задачу -> Название задачи: "Обновление 00" -> далее в типе задания выбрать вариант "Задача обновления" -> Ежедневно, 00:00 час., ставим галочку "Повторно запустить задачу..." -> Готово.
Потом повторяем ту же процедуру, только меняем Название задачи: "Обновление 02" и ставим время 02:00. И так хоть до бесконечности. Мне хватает через два часа.
проверять ВСЕ, проверять раз в сутки, возможность остановки сканера "отключить"

или Avira Security Suite ключик на 3 месяца тут https://license.avira.com/ru/promoti...erSalutationId

хотябы раз в неделю качать и проверять курицей http://www.freedrweb.com/download+cureit/

Антишпион:
Spybot - Search & Destroy http://www.safer-networking.org/ru/spybotsd/index.html или Malwarebytes' Anti-Malware http://www.malwarebytes.org/ есессно с лекарством, качать на рутрекере
но пока еще не понял кто круче приносят и с тем и с другим

Файрвол (если Avira Security Suite, то стороннего файрвола не надо):
Comodo http://www.comodo.com/home/internet-...y/firewall.php
или старенький Agnitum http://www.agnitum.ru/support/kb/art...0290&lang=ru#1

Против автозагрузок с флешек и дисков: http://ali-k777.narod.ru/autoruncleaner.html

ну и самое главное AnVir Task Manager http://www.anvir.net/
следит за рестром в особенности за автозагрузкой!

Удачи вам и безвирусной работы!

[Smirnoff]

Вот только-что типа "выловил" очередной winlock-ер.
В кавычках - ибо жил он лишь до нажатия Reset (корректно выключить - не пускал мышу и не отрабатывал с клавиатуры, пытался просто "заснуть"; кнопку Power тоже не отрабатывал), при этом истерически трясся своим экранчиком, циклически меняя номера билайновых телефонов для "пополнения счёта" (Ага, прям щаз разбежался! ).
А всё почему так просто и ненапряжно получилось: у меня Dr.Web-у велено "запрещать модификацию важных объектов Windows" - ну он и запрещает...

P.S. "Охвостья" локера в виде файликов 0.xxxxxxxxx.exe из папки %TEMP% отправил в лабораторию Данилова на препарирование.

[Ariny]

Цитата (Smirnoff) »

Вот только-что типа "выловил" очередной winlock-ер.

На своём компьютере? Это где ж ты шастал, интересно...

А если без юмора, то примерно такое тоже было после того, как племянник на моём системнике посидел немножко. Только номера телефонов не менялись, экранчик с единственным номером как бы пульсировал.

Добавлено через 2 минуты

PS Ах, да, у меня тоже Dr.Web, и "запрещать модификацию" тоже включено.

[Smirnoff]

Цитата (Ariny) »

где ж ты шастал

А вот сюда полез: http://dune-hd.com/
Прочитал на русских сайтах обзор Dune HD Max, и стало интересно - что там за слоты для каких-таких карт расширения?..
BTW: Залез туда тольк-что ещё раз - уже всё стало слегка иначе, теперь в Автозагрузку пытается прописаться igfxtray.exe (угу; при том, что у меня на всех моих компах видеокарты от ATI/AMD )...

Добавлено через 2 минуты

Цитата (Ariny) »

номера телефонов не менялись, экранчик с единственным номером как бы пульсировал

Да у меня тоже всего-лишь пара номеров менялась на таком-же "пульсирующем" экране с воплями про "гей-порно"...

Добавлено через 31 минуту

Ну вот, теперь Dr.Web уже знает этот локер и обозвал его Trojan.Winlock.2741...

Добавлено через 32 минуты

P.S. А с http://dune-hd.com/ это безобразие тоже уже убрали...

[siBEERian]

а я юзаю Avira Security Suite + Anvir Task manager (сам в автозагрузке и висит в памяти всегда), если что-то залазит и/или меняет в автозагрузке - он сразу все показывает

полезно, когда полезные программки пытаются впихнуть в автозагрузку свои Update-теры, BHO-шки и т.п.

Добавлено через 1 минуту

Цитата (Smirnoff) »

P.S. А с http://dune-hd.com/ это безобразие тоже уже убрали...

дайте какую-нить ссылку, где обитают эти винлокеры

[Smirnoff]

Цитата (siBEERian) »

дайте какую-нить ссылку, где обитают эти винлокеры

Да где-ж я тебе её возьму? Сам вчера нашёл чисто случайно...
BTW: А Avast эту фубяку пока не знает - только-что привезли комплектный комп: именно этот локер с Avast в придачу...

[Glucker]

Я очень часто борюсь с ВинЛокерами. Вот вкратце моя методика:
Имея в руках свой ноутбук, подключенный к Интернет, на сайтах Касперского и ДрВеба выясняю код и пытаюсь снять лок. Если лок удается снять, то отключаю комп от сети, захожу в Безопасный режим, лечу систему CureIt, любым файловым менеджером убиваю все в папках:
\Windows\TEMP; Папках TEMP и TEMPORARY internet Files всех Юзеров, файлы временные и временные интернета в папке SystemProfile (в папке Windows в одной из подпапок лежит, не помню точно в какой). Смотрю, не сидит ли гадость в \Windows\, \Windows\System32\,\Windows\System32\Drivers\, \Program files\, \Program files\common files\, \Documents and settings\, Documents and settings\All Users\ - убиваю там все "свежие" файлы. Запускаю редактор реестра и смотрю разделы: HKLM\Software\Microsoft\WindowsNT\Current version\Winlogon\, HKLM\Software\Microsoft\Windows\Current version\RUN, HKCU\Software\Microsoft\Windows\Current version\RUN на предмет подозрительных файлов. Убиваю все подозрительное, каждый раз обновляя F5 реестр, выписывая имена этих файлов. Сканирую реестр и делаю поиск этих файлов, уничтожаю оригиналы и ссылки на них. Если что-то не удаляется в реестре или после удаления и нажатия F5 тут же появляется снова, неизменно прибегаю к помощи LiveCD (а точнее Hiren's boot CD т.к. он мне больше нравится). Затем, уже из обычного режима проверяю настройки Брандмауэра и восстанавливаю их, если они повреждены. Любым файловым менеджером делаю поиск файлов со свежими датами в системных папках и в вышеуказанных папках, в том числе, для временных файлов. Только после этого возвращаю на комп Интернет, полностью переустанавливаю антивирусную программу (после удаления старой, физически стирая папки а лучше - другую!). Вообще, часто все вышеуказанные действия, которые возможно сделать с загрузочного CD, делаю именно с него (так быстрее и точнее). С него же и действую, если код разблокировки отсутствует или не подходит. Пара слов о том, КАК возникают у пользователей WinLockи. На мой взгляд, тут с одной стороны - ослабленная защита систем пользователей, а с другой - зараженные сайты (их админы поленились или не сумели правильно защитить свои "тылы"). Ведь заметьте: обычно пользователи получают ВинЛок, путешествуя по результатам поиска нужной им информации, открывая все подряд! 90% юзеров ничего не скачивают, не устанавливают, а получают ВинЛок, стартующий из временных файлов Интернета

[Smirnoff]

Цитата (Glucker) »

Вот вкратце моя методика

Дитё.
Но упо-орный...

[Glucker]

Цитата (Smirnoff) »

Дитё.
Но упо-орный...

Вообще-то, для меня разблокировка винлокеров - неплохая подработка. Искреннее СПАСИБО тем, кто их делает!! Но Вы кажется не согласны с написанным мной выше)) Или есть "волшебная палочка", о которой я не знаю? Я лишь описал общий подход. Были случаи, когда приходилось копать глубже. Но мне всегда удавалось избавить юзеров от Винлокеров. Может быть, кто-то прочитает и это ему поможет... Практика показала, что удаление винлокеров "руками" почти всегда эффективно. А советы типа "Формат Ц и не парься!!!" - вряд ли нужны.
Мне интересно Ваше мнение о том, ОТКУДА они появляются на компьютерах пользователей.
Спасибо!

[garniv]

Glucker
Сколько обычно говоришь за такую очистку?