Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели)

@akok · Регистрация: 01.09.2009

Author24 — интернет-сервис помощи студентам

Разблокировка троянов семейства WinLock (sms - вымогатели)

On-line формы разблокировки:
1. "Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер:
  - http://support.kaspersky.ru/viruses/deblocker
2. Для продвинутых пользователей "Лаборатория Касперского" предлагает несколько способов борьбы с программами-вымогателями:
  - http://support.kaspersky.ru/vi... =208637133
  - Как удалить баннер блокера-вымогателя с Рабочего стола?
    
    Удаление вымогателя вида
    
    ""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим ""
3. "Dr.Web" представляет бесплатный сервис для разблокировки заблокированного компьютера:
  - http://www.drweb.com/unlocker/index/?lng=ru
  - http://www.drweb.com/unlocker/mobile/ (PDA версия)
4. Компания ESET предлагает пользователям бесплатный он-лайн сервис, который позволяет вернуть работоспособность компьютера, если он был заблокирован вредоносной программой.
  - OnLine - форма для разблокировки
Утилиты для разблокировки:
1. Можно воспользоваться утилитой Symantec Trojan.Ransomlock Key Generator Tool:
  
  --- Скачайте и запустите утилиту (если утилиту невозможно запустить попробуйте переименовать ее во что-то нейтральное, например: game.pif)
  
  --- Введите код, который необходимо отправить при помощи SMS на короткий номер, учитывая следующий алгоритм:
  - Если код имеет следующий формат "41NN1234567" (где N.N. два случайных числа) например, "41671234567", введите код без изменений.
  - Если код начинается с комбинации "411", например "4111234567", введите код без изменений.
  - Если код начинается с "K2", это значение необходимо заменить на "4110" и оставить третий, четвертый, шестой, седьмой, девятый и десятый разряды кода. Например, если код "k2670620000", вы должны ввести "4110676200".
  --- Полученный код разблокировки введите в окно с запросом и разблокируйте систему.
2. eKavGenerator - генератор кодов для разблокировки eKAV Antivirus, который как вы понимаете из названия, никаким антивирусом и не пахнет. eKAV Antivirus представляет из себя очередной клон модного нынче вымогателя денег:
  
  Вымогатель блокирует открытие окон, диспетчер задач и запись в реестр. Как и вся их братия, излечим, что и помогает выполнить данный генератор. Автором eKavGenerator генератора являетсяДенис Кравченко, за что ему большое спасибо.
  - Скачать
Службы поддержки коротких номеров:

Если ни один из вышеперечисленных методов не помог, то необходимо обратиться к поставщику, обслуживающему короткий номер, требуя выдать код деактивации.

Как обращаться в поддержку Поставщика:
- Наиболее подробно опишите проблему (укажите текст смс и номер)
1. А1 агрегатор ("А1: Первый альтернативный контент-провайдер")
  
  Обслуживает номера: 3381, 3649, 4460, 5121, 7373, 8353 (все номера).
  Контактные данные:
  - Телефоны: 8-800-555-01-02 и 8-800-100-7337 - бесплатно, 38-044-581-57-14 (Звонок из Украины бесплатный).
  - e-mail: info@alt1.ru
  - Форум
  - Не забываем писать жалобы
2. ИнкорМедиа
  
  Обслуживаемые номера: 1350, 2474, 3354, 9800 (все номера).
  Контактные данные:
  - 8 800 5555 638 - бесплатно
  - helpdesk@incoremedia.ru

Разблокирование компьютера при помощи LiveCD

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр:

Код

AppInit_DLLs

Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь

Ветка:

Код

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели)

Правильное значения для Userinit это:

Код

C:\WINDOWS\system32\userinit.exe,

!!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом.

Далее необходимо выполнить лечение и полное удаление этого вредоносного ПО.
Выложив логи в соответствии с этими инструкциями в разделе Лечение вирусов/malware.

@akok 2824 / 842 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
		1
	Разблокировка компьютера от троянов семейства WinLock (sms - вымогатели) 14.09.2009, 13:43. Показов 182107. Ответов 0 Метки нет (Все метки) Разблокировка троянов семейства WinLock (sms - вымогатели) On-line формы разблокировки: "Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер: http://support.kaspersky.ru/viruses/deblocker Для продвинутых пользователей "Лаборатория Касперского" предлагает несколько способов борьбы с программами-вымогателями: http://support.kaspersky.ru/vi... =208637133 Как удалить баннер блокера-вымогателя с Рабочего стола? Удаление вымогателя вида ""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим "" "Dr.Web" представляет бесплатный сервис для разблокировки заблокированного компьютера: http://www.drweb.com/unlocker/index/?lng=ru http://www.drweb.com/unlocker/mobile/ (PDA версия) Компания ESET предлагает пользователям бесплатный он-лайн сервис, который позволяет вернуть работоспособность компьютера, если он был заблокирован вредоносной программой. OnLine - форма для разблокировки Утилиты для разблокировки: Можно воспользоваться утилитой Symantec Trojan.Ransomlock Key Generator Tool: --- Скачайте и запустите утилиту (если утилиту невозможно запустить попробуйте переименовать ее во что-то нейтральное, например: game.pif) --- Введите код, который необходимо отправить при помощи SMS на короткий номер, учитывая следующий алгоритм: Если код имеет следующий формат "41NN1234567" (где N.N. два случайных числа) например, "41671234567", введите код без изменений. Если код начинается с комбинации "411", например "4111234567", введите код без изменений. Если код начинается с "K2", это значение необходимо заменить на "4110" и оставить третий, четвертый, шестой, седьмой, девятый и десятый разряды кода. Например, если код "k2670620000", вы должны ввести "4110676200". --- Полученный код разблокировки введите в окно с запросом и разблокируйте систему. eKavGenerator - генератор кодов для разблокировки eKAV Antivirus, который как вы понимаете из названия, никаким антивирусом и не пахнет. eKAV Antivirus представляет из себя очередной клон модного нынче вымогателя денег: Вымогатель блокирует открытие окон, диспетчер задач и запись в реестр. Как и вся их братия, излечим, что и помогает выполнить данный генератор. Автором eKavGenerator генератора являетсяДенис Кравченко, за что ему большое спасибо. Скачать Службы поддержки коротких номеров: Если ни один из вышеперечисленных методов не помог, то необходимо обратиться к поставщику, обслуживающему короткий номер, требуя выдать код деактивации. Как обращаться в поддержку Поставщика: Наиболее подробно опишите проблему (укажите текст смс и номер) А1 агрегатор ("А1: Первый альтернативный контент-провайдер") Обслуживает номера: 3381, 3649, 4460, 5121, 7373, 8353 (все номера). Контактные данные: Телефоны: 8-800-555-01-02 и 8-800-100-7337 - бесплатно, 38-044-581-57-14 (Звонок из Украины бесплатный). e-mail: info@alt1.ru Форум Не забываем писать жалобы ИнкорМедиа Обслуживаемые номера: 1350, 2474, 3354, 9800 (все номера). Контактные данные: 8 800 5555 638 - бесплатно helpdesk@incoremedia.ru Разблокирование компьютера при помощи LiveCD Вам нужен любой LiveCD с возможностью правки реестра 1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска 2. Пуск => Выполнить => erdregedit 3. Найдите в реестре и проверьте: Ветка: Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Параметр: Код AppInit_DLLs Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь Ветка: Код HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное. Правильное значения для Userinit это: Код C:\WINDOWS\system32\userinit.exe, !!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом. Далее необходимо выполнить лечение и полное удаление этого вредоносного ПО. Выложив логи в соответствии с этими инструкциями в разделе Лечение вирусов/malware. 1

	14.09.2009, 13:43

Опции темы