P.s. А то из-за этого баннера ребенку родители все уши оборвали.
Прикрепленные файлы:
-
150820121159.jpg 358,77К
13 Скачано раз
-
Тема закрыта
34 ответов в этой теме
#1
Votrya
-
- Posters
- 5 Сообщений:
Newbie
Отправлено 15 Август 2012 - 22:14
Здравствуйте. Помогите в подборе кода разблокировки баннера Trojan Winlock (появляется уже после начального логотипа загрузки Windows ), баннер с номером кошелька +79060825362. Фото прикрепил. Спасибо вам за ваш труд.
P.s. А то из-за этого баннера ребенку родители все уши оборвали.
P.s. А то из-за этого баннера ребенку родители все уши оборвали.
#2
Dr.Robot
-
- Helpers
- 3 362 Сообщений:
Poster
Отправлено 15 Август 2012 - 22:14
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;
#3
k.nikolenko
-
- Virus Analysts
-
- 290 Сообщений:
Member
Отправлено 16 Август 2012 - 07:30
Попробуйте для разблокировки сделать 7 кликов по строке с текстом "корпорации Microsoft", затем клик по тексту "Ваш КОД".
#4
Nodevil4u
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 16 Август 2012 - 14:51
IMG_0669.JPG
Здравствуйте, помогите, пожалуйста подобрать код разболокировки. Баннер заблокировал так же работу в безопасном режиме. После использования drwebliveusb удалось запустит безоп. режим. Но CureIt не запускается. Изображение данного баннера так же не было найдено. Код для данного номера телефона не известен ни одной базе антивирусов.
Тел: +79833015057
Здравствуйте, помогите, пожалуйста подобрать код разболокировки. Баннер заблокировал так же работу в безопасном режиме. После использования drwebliveusb удалось запустит безоп. режим. Но CureIt не запускается. Изображение данного баннера так же не было найдено. Код для данного номера телефона не известен ни одной базе антивирусов.
Тел: +79833015057
#5
Андрей76
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 16 Август 2012 - 14:56
У меня то же самое, проделывал эту процедуру - банер закрывается, разблокируется мышка, можно войти в диспетчер задач, но, после перезагрузки снова блокируется..Попробуйте для разблокировки сделать 7 кликов по строке с текстом "корпорации Microsoft", затем клик по тексту "Ваш КОД".
#7
k.nikolenko
-
- Virus Analysts
-
- 290 Сообщений:
Member
Отправлено 16 Август 2012 - 14:59
пробуйте ctrl+alt+del либо ctrl+shift+esc и в таскменеджере меню файл-выполнить explorer либо userinit.можно войти в диспетчер задач, но, после перезагрузки снова блокируется..
после разблокировки нужно так же удалить в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключ с случайным цифровым именем, ну и путь его будет указывать на винлок.
Сам винлок на анализ отправьте
Сообщение было изменено k.nikolenko: 16 Август 2012 - 15:00
#8
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 16 Август 2012 - 14:59
У меня то же самое, проделывал эту процедуру - банер закрывается, разблокируется мышка, можно войти в диспетчер задач, но, после перезагрузки снова блокируется..Попробуйте для разблокировки сделать 7 кликов по строке с текстом "корпорации Microsoft", затем клик по тексту "Ваш КОД".
ну дык запустите редактор реестра и исправьте ветки
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#9
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 16 Август 2012 - 15:04
для 2000 другие ветки попадаются
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
c:\documents and settings\first\Рабочий стол\ms.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explorer=c:\documents and settings\first\Рабочий стол\ms.exe
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
c:\documents and settings\first\Рабочий стол\ms.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
explorer=c:\documents and settings\first\Рабочий стол\ms.exe
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#10
k.nikolenko
-
- Virus Analysts
-
- 290 Сообщений:
Member
Отправлено 16 Август 2012 - 15:34
для винлока на 2000 немного сложнее - нужно попасть кликом мышки в область обозначенную розовой линией на скриншоте.Так выглядит баннер
2000.PNG 21,57К
64 Скачано разА дальше как в сообщении #7
Сообщение было изменено k.nikolenko: 16 Август 2012 - 15:36
#11
Андрей76
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 16 Август 2012 - 15:41
пробуйте ctrl+alt+del либо ctrl+shift+esc и в таскменеджере меню файл-выполнить explorer либо userinit.
после разблокировки нужно так же удалить в ветке HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключ с случайным цифровым именем, ну и путь его будет указывать на винлок.
Сам винлок на анализ отправьте
попробывал, после команды explorer запускается рабочий стол, но снова появляется баннер, проделываю опять семь кликов + один - банер остается, но меняется номер телефона, мышка разблокируется (можно менять страницы за банером, диспетчер задач снова не открыть.. То есть, при начальной загрузке банер удаляется, входишь в диспетчер задач, пишешь explorer, открывается рабочий стол с банером, а далее все..
#12
k.nikolenko
-
- Virus Analysts
-
- 290 Сообщений:
Member
Отправлено 16 Август 2012 - 15:45
запустите тогда не explorer а regedit сразу после первой разблокировки
Сообщение было изменено k.nikolenko: 16 Август 2012 - 15:45
#13
Nodevil4u
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 16 Август 2012 - 15:58
для винлока на 2000 немного сложнее - нужно попасть кликом мышки в область обозначенную розовой линией на скриншоте.Так выглядит баннер
А дальше как в сообщении #7
Спасибо!!! Баннер удалось убрать. Сейчас полезу в реестр.
#14
Андрей76
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 16 Август 2012 - 16:01
ага, зашел в реестр, вижу в Run десятки файлов с одним и тем же именем 0.47138333659370935.exe - удалять?запустите тогда не explorer а regedit сразу после первой разблокировки
#15
mrbelyash
-
- Members
- 25 897 Сообщений:
Беляш
Отправлено 16 Август 2012 - 16:04
да..удалять.
но предварительно скопируйте путь к трояну...потом поиск в реестре запустите
но предварительно скопируйте путь к трояну...потом поиск в реестре запустите
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro
#16
Андрей76
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 16 Август 2012 - 16:09
упс.. не удаляются, может, всю папку Run удалить?да..удалять.
но предварительно скопируйте путь к трояну...потом поиск в реестре запустите
#17
AndreyKa
-
- Posters
- 1 155 Сообщений:
Poster
Отправлено 16 Август 2012 - 16:19
Проверьте разрешения на доступ к разделу Run.упс.. не удаляются, может, всю папку Run удалить?да..удалять.
но предварительно скопируйте путь к трояну...потом поиск в реестре запустите
#18
Андрей76
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 16 Август 2012 - 16:28
проверил, с разрешением все в порядке - полный доступ.Проверьте разрешения на доступ к разделу Run.
#19
aks
-
- Members
- 2 Сообщений:
Newbie
Отправлено 16 Август 2012 - 16:29
Здравствуйте! у нас таже проблема, банер удалось убрать, спасибо
в реестре нашел файл удаляю его , потом пепезагружаю компьютер и все снова повторяется.
что можно еще сделать?
в реестре нашел файл удаляю его , потом пепезагружаю компьютер и все снова повторяется.
что можно еще сделать?
#20
Nodevil4u
-
- Posters
- 4 Сообщений:
Newbie
Отправлено 16 Август 2012 - 16:35
CureIt обнаружил Trojan.Winlock.6602 в объекте ms.exe по пути c:\users\ (моя папка)
Also tagged with one or more of these keywords: Winlock
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Очередной WinLockАвтор: Nellux , 02 май 2013  Winlock, Pockard, Bell, Win7 и еще 2…
|
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
1000 рублей на номер МТС +79183545320Автор: denis_73 , 16 сен 2012 WinLock, 1000 руб, МТС и еще 1…
|
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Банер поставил пароль в биосе на все!?Автор: Tehotdelnoutbook , 13 авг 2012 password, winlock
|
|
|
||
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
Заблокирован winlock` омАвтор: XiASlim , 20 янв 2012 winlock, блокировка, баннер
|
|
|
