Разблокировка троянов семейства WinLock (sms - вымогатели)

[iskander-k]

Разблокировка троянов семейства WinLock (sms - вымогатели)​

• On-line формы разблокировки:
  1. "Лаборатория Касперского"представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер:
     • Удаление блокеров и расшифровка файлов
     • Удаление блокеров и расшифровка файлов мобильная версия сервиса
     
     
  2. Для продвинутых пользователей "Лаборатория Касперского"предлагает несколько способов борьбы с программами-вымогателями:
     • Способы борьбы с Trojan-Ransom
     • Как удалить баннер блокера-вымогателя с Рабочего стола?
     • На экране появилось сообщение от имени Kaspersky Lab Antivirus Online. Что делать?
       
       Удаление вымогателя
       
       
       ​
       
       ""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим ""
     
     
  3. "Dr.Web"представляет бесплатный сервис для разблокировки заблокированного компьютера:
     • Сервис разблокировки компьютеров Dr.Web
     
     
  4. Компания ESETпредлагает пользователям бесплатный он-лайн сервис, который позволяет вернуть работоспособность компьютера, если он был заблокирован вредоносной программой.
     • OnLine - форма для разблокировки

Разблокирование компьютера при помощи LiveCD

Вам нужен любой LiveCD с возможностью правки реестра
1. Скачайте образ, например: ERD Commander, запишите образ на болванку и загрузитесь с созданного диска
2. Пуск => Выполнить => erdregedit
3. Найдите в реестре и проверьте:

Ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Параметр:

AppInit_DLLs

Содержимое параметра необходимо опубликовать в теме где вам оказывают помощь

Ветка:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Значение ключа Shell должно быть таким Explorer.exe, если значение отличается - исправить на правильное.

Правильное значения для Userinit это:

C:\WINDOWS\system32\userinit.exe,

!!! Внесение неверных данных в реестр не дадут нужно результата, а только навредят. Если не уверены в своих действиях, то лучше проконсультироваться с специалистом.

• Для тех, кто не умеет редактировать удаленный реестр Лаборатория Касперского подготовила утилиту
  Kaspersky WindowsUnlocker
• Тема посвященная зловредам вида mbrlock находиться здесь
  
  .
  
  !!!_______________________________________________________________________
  
  
  
  После разблокировки необходимо полностью удалить вредоносное ПО.

 

[Drongo]

Вчера прислал друг с справку по смс-блокерах, кто её писал остаётся догадываться, но тем не менее, автору респект и огромное спасибо. Мне очень понравилось, особенно классификация.

Формат был .doc, я переделал в удобочитаемый .chm весь текст и формулировки остались авторскими. Архив прикрепляю. :victory:

 

[akok]

Обсуждение методик по борьбе с WinLock проводится в этой теме

 

[akok]

Обновил первый пост.