в общем стала часто появляться такая вещичка. многие знакомые решают этот вопрос переустановкой винды.
во избежание сего на заметку Цитата
Семейство Trojan-Ransom.Win32.Blocker является классическим примером вредоносных программ, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера. загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован 1 в безопасном режиме в командной строке пишем regedit ищем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ параметр userinit должен содержать что то вроде C:\WINDOWS\System32\userinit.exe и ничего более! если видим после запятой еще что то ! смело удаляем. данные манипуляции проводятся в безопасном режиме если безопасный режим не работает(так же появляется окно отправки Цитата смс)
есть очень простой алгоритм лечения : Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ или AVPTool, и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п. Собственно, действия после запуска IE элементарны: можно пролечить ПК 2 удаляем csrcs в командной строке(или создаем бат файл) cd %systemroot%\system32 attrib -s -h csrcs.exe del csrcs.exe в редакторе реестра в разделе HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run удаляем параметр "csrcs"; в разделе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon находим параметр "Shell", изменяем его значение на "explorer.exe"; PS.: прошу не удалять тему, ибо надоело рассказывать как и что. пусть сами читают _________________ накапливаю джедайскую силу http://booking.com/ http://bookingb2b.com/ http://www.aicgroup.biz http://www.gta-travel.com/en/home |
Slider
ООооо Спасибо большое)) я голову ломал как это исправить)) Респект и Уважуха тебе!!! |
решал эту проблему по другому, доктор веб давненько уже выпустил кряк для вируса
http://news.drweb.com/show/?i=304&c=5 и как вариант проверяться с ливсд от каспера или того же доктора веба |
да ну, когда сам ручками вот это интересней) _________________ накапливаю джедайскую силу http://booking.com/ http://bookingb2b.com/ http://www.aicgroup.biz http://www.gta-travel.com/en/home |
У знакомого похожа фигня вылезла.
Система запускается потом по центру экрана появляется окошко и предлагается отправить СМС на короткий номер. Пытался запустить нод 32 не запускается, клавиши контр+альт + дел не работают(пишет заблокировано администратором), перегрузка системы (пуск -> выключить компьютер) тоже не срабатывает, выход в интернет заблокирован. Программы запускаются, но это окошко висит по центру и мешает работать neil писал(а): решал эту проблему по другому, доктор веб давненько уже выпустил кряк для вируса
http://news.drweb.com/show/?i=304&c=5 и как вариант проверяться с ливсд от каспера или того же доктора веба Это поможет? |
а есть выбор? _________________ http://catalog.shadrinsk.info/ - адреса телефоны организаций Шадринска |
есть еще такая возможность: в поисковике задаете "отправить смс для разблокировки винды" там можно найти код который типо присылают по смс, я один раз так разблокировал _________________ фотограф +79226792928, icq 269687184 |
Вот еще раз пригодилась))) спс |
намедни у товарища племянница полазила по вконтактам и соответственно при загрузке стало появляется фейковое окно BSOD с сообщением что какой то зловредный драйвер удален но для восстановления надо отправить смс на номер 6005.
загрузка последней удачной конфигурации и безопасный режим не помогли. Так как лень было качать доктора лайв cd решил попробовать вылечить вирус с помощью социальной инженерии. Прядок моих действий: 1) звоню в справку МТС (у меня МТС потому туда и звоню) и спрашиваю контактную информацию провайдера, который обслуживает номер 6005. Оказывается это фирма goldfon имеющая сайт http://goldfon.ru/ 2) на сайте нахожу номер их саппорта +7 (495) 640 3210 беру скайп и звоню им. 3) обьясняю ситуацию с вирусом, они подтверждают, что на данный номер поступило довольно много абуз. Прошу их выдать код ответа системы. после пары минут мне диктуют вожделенный номер. 4) ввожу номер в окно этого фейкового bsod и он исчезает. После этого конечно проверки avz и другим антивирусным софтом на предмет оставленных хвостов и лоадеров. Вот вопщем и все. без танцев с бубном помог товарищу. _________________ spice must flow הבה נגילה ונשמחה |
в новом декабрьском выпуске (бесплатной) газетки от "Курьер плюс" про этого монстера писали. В магазине видел лежали на раздаче. Так вот в ней прочел разные инструкции как с этим зверем бороться. _________________ http://catalog.shadrinsk.info/ - адреса телефоны организаций Шадринска |
чесно гря видел газету к+ и даже взял, но руки дошли только до аникдотаф и картинок, больше не осилил.
хорошо, что публикуют даную инфу, да и хорошо что опсосы навстречу идут. раньше добится контактных данных повайдера обслуживающих короткие номера было почти нереально. _________________ spice must flow הבה נגילה ונשמחה |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы можете скачивать файлы |