Главная » 2010»Сентябрь»26 » Мошенники блокируют WINDOWS и просят отослать смс? Не спешите! Прочтите!
18:13
Мошенники блокируют WINDOWS и просят отослать смс? Не спешите! Прочтите!
Windows заблокирован
Если загрузка компьютера блокирована и на экране появилось окно с надписью "WINDOWS ЗАБЛОКИРОВАН" - вы стали жертвой семейства вредоносных программ Trojan.Winlock. он же Win32.Blocker, предназначенных для шантажа и вымогательства. При установке на компьютер эти зловреды прописываются в автозагрузку, в ключ реестра [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], параметр "Userinit", в результате чего блокируют запуск ОС. Получив управление на запуске ОС, зловреды отображают окно с требованием отправить SMS с определенным текстом на указанный короткий номер. В ответ пользователю обещают выслать код разблокировки, который отключит вредоносную программу и разблокирует загрузку компьютера. Как справиться с этой заразой, мы и попытаемся выяснить...
Самое главное: Не поддаваться на уловки вирусописателей, отправляя им запрашиваемые SMS, блокировка всё равно не снимется, а денег снимут прилично !
Сам по себе Trojan.Winlock. он же Win32.Blocker несложно удалить при помощи AVZ, AVPTool, Dr.Web CureIt! или вручную из редактора реестра, но есть одна проблема — загрузка ПК блокирована, и пользователь не может получить доступ к рабочему столу и запустить какие-либо программы или утилиты. Защищённый режим Windows также заблокирован.
Что делать, как быть ?
Во первых, если под рукой есть другой компьютер с интернетом, то для вас компания Dr.Web сделала генератор кодов разблокировки. Здесь вы можете найти данный генератор. Просто введите ваш текст СМС, и сгенерируйте код активации. После этого вы сможете попасть на рабочий стол и бороться дальше. Второе, чем можно воспользоваться: это диск с Live CD и одна из антивирусных утилит, я предпочитаю Dr.Web CureIt!. Скачать последнюю версию всегда можно здесь. Вставляем диск с LiveCD в дисковод, заходим в БИОС, выставляем загрузку с CD-ROM, и загружаемся. Потом запускаем Dr.Web CureIt! с флешки или с диска, и проверяем системный раздел.
И третье: есть ещё один метод входа в систему без использования LiveCD 1. Нажать комбинацию WIN-U на клавиатуре — появится окно активации специальных возможностей. Оно, как оказалось, имеет очень высокий приоритет, и троянец ему не помеха.
2. Запускаем из этого окна экранную лупу. Запустившись, она выводит свое окошко, в котором есть гиперссылка «Веб-узел Майкрософт». Если нажать её, то запускается IE.
3. После запуска IE можно загружать из него любые целебные утилиты, типа AVZ, AVPTool, или Dr.Web CureIt! и запускать программы с диска ПК (в строке адреса можно указать любую программу), online-сканер и т.п.
Можно попытаться уничтожить эту заразу вручную:
Открываем regedit и идём HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Userinit Там должна быть только запись вида «C:\Windows\system32\userinit.exe,» В нашем случае вирус дописал в конце данной строчки свой запуск. Ищем файл, прописанный в данной строчке и прибиваем его
Искать вирус надо примерно в таких папках: с:\windows\temp c:\windows\system32\название вируса*.exe C:\Documents and Settings\User\Local Settings\Temp C:\Documents and Settings\User\Local Settings\Temorary innternet files Названия всегда разные
Когда он только появился, то он самоуничтожался через два часа, теперь этого не происходит. Судя по комментариям и сообщениям в интернете эта зараза постоянно модифицируется. Меняется номер и код для sms-сообщений, меняются имена файлов. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
