Удаляем WinLocker или как сэкономить на вымогательстве / Блог им. Tiranozavr / Великие Луки / myvl.ru

Блог им. Tiranozavr → Удаляем WinLocker или как сэкономить на вымогательстве

Сегодня на комп коллеги прилетело такое счастье

Вроде и просили всего ничего — 500 рублей, но жадность победила и твердо решили не платить.

1. Попытки поиска ключа-кода для указанного номера успехом не увенчались.
2. Запуск Диспетчера задач сочетанием клавиш Ctrl-Alt-Del оказался заблокирован.
3. Запуск диалога Выполнить комбинацией клавиш Win+R был не доступен.
4. Переключение между окнами Alt-Tab не работало.

Ладно… Перезагрузка, F8 и

5. Безопасный режим — комп перезагружается.
6. Безопасный режим с поддержкой командной строки — комп в перезагруз.
7. И т.д. и т.п.

Как починили. На сайте Касперского был скачан iso-образ Kaspersky Rescue Disk. С помощью абсолютно бесплатной программы CDBurnerXP образ записали на CD диск. И далее по инструкции (все понятно расписано) с сайта Касперского.

Сама работа программы по удалению вредоносного кода заняла ровно 1 (одну) минуту, но все остальное: найти, скачать, найти чистый сд-болван, записать, запустить и т.д., в том числе и последующая проверка на вирусы Rescue Disk'ом заняла около 2-х часов. Так что не надо инсинуаций по поводу 2-х минут.

P.S. Система Windows XP SP3, установлена пару недель назад.
P.S.S. Комп дочки коллеги, антивирусом, вообще НИКАКИМ, она не озаботилась, но как всегда бывает по закону подлости, весь семейный фотоархив хранится именно на этом компе.

хозяйке на заметку

+12
Tiranozavr
10 октября 2012, 23:27

evgeniy-pigach
10 октября 2012, 23:31
#
↓
0

не, зверь нужен всегда
свернуть ветку

Deric
10 октября 2012, 23:34
#
↓
+4

Вроде и просили всего ничего — 500 рублей, но жадность победила и твердо решили не платить.
За такие мысли нужно бить бляхой по жопе… Тут не то что РЕШИЛИ, тут даже речь быть не может об оплате!!!
свернуть ветку

Tiranozavr
10 октября 2012, 23:38
#
↑
↓
0

«Это больно» ©

P.S. Да ладно, понятно ведь, что шутил — никто платить не собирался и дело не в сумме.
свернуть ветку

DeFlea
10 октября 2012, 23:34
#
↓
0

неужто жалко 2 рубля в день на антивирь, который прихлопнет любую подобную штуку как муху…
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:35
#
↑
↓
0

какие два рубля, 3 года нортон стоит уже, бес-плат-но!)))
свернуть ветку

DeFlea
10 октября 2012, 23:38
#
↑
↓
0

не бесплатно, а сворованно, украденно, ну или как угодно называйте.
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:40
#
↑
↓
0

))) я пират
свернуть ветку

boonker
11 октября 2012, 00:38
#
↑
↓
0

я лицензией доктора_веба пользуюсь. что со мной не так?
свернуть ветку

Deric
11 октября 2012, 00:53
#
↑
↓
+3

Ты слишком богат… а в африке дети голодают =(
свернуть ветку

wekchin
11 октября 2012, 08:33
#
↑
↓
0

свернуть ветку

evgeniy-pigach
11 октября 2012, 00:59
#
↑
↓
0

? не понял
свернуть ветку

kinnik
11 октября 2012, 09:12
#
↑
↓
0

Впроне легально можно скачать бесплатный антивирус. У меня уже несколько лет AVAST free и ни один микроб не пролез ни разу.
свернуть ветку

Tiranozavr
10 октября 2012, 23:41
#
↑
↓
+2

Это же время надо: скачать, установить… Как же фконтакт без неё эти минуты будет? А дяди пускай потом фигней страдают.
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:42
#
↑
↓
0

эх да(
свернуть ветку

DeFlea
10 октября 2012, 23:44
#
↑
↓
0

да на такое не жаловались. 10 минут — и год без забот, никаких проблем не было пока с такими баннерами у тех кому ставил нормальный купленный.
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:48
#
↑
↓
0

все, понял))) купленный зверь тем и отличается от дикого-приглашать установщика надо))
свернуть ветку

Deric
10 октября 2012, 23:48
#
↑
↓
+3

я тебе открою секрет — правильному вирусу глубоко похеру купленный у тебя антивирус или нет, главное что бы за компьютером невнимательный человек сидел — остальное лирика…
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:51
#
↑
↓
0

вторая картинка в гугле «правильный вирус»)))

свернуть ветку

DeFlea
10 октября 2012, 23:53
#
↑
↓
0

правильный вирус что угодно сломает. но ему не нужен комп обычного юзера. для других целей «правильные» вирусы
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:58
#
↑
↓
0

кто еще пират;)
свернуть ветку

loking
11 октября 2012, 01:07
#
↑
↓
0

правильно говоришь. антивирусы это для тех, у кого опыта нет.

а надежнее — как ни странно — без него. без ложного эффекта о защищенности.

тогда начинаешь думать своей головой, что делаешь.
свернуть ветку

svsrus
11 октября 2012, 08:45
#
↑
↓
0

Да-да, только блокнот и никаких интернетов )
свернуть ветку

loking
11 октября 2012, 12:41
#
↑
↓
0

просто браузер отличный от IE, и не ставить всякие соблазнительные «ускорители загрузки»)))
свернуть ветку

alabai
12 октября 2012, 13:19
#
↑
↓
0

насчёт ускорителей не согласен, а браузер гугл
свернуть ветку

loking
12 октября 2012, 16:13
#
↑
↓
0

а причем тут он? разберись в терминах.
свернуть ветку

Kost
11 октября 2012, 15:48
#
↑
↓
0

да
свернуть ветку

evgeniy-pigach
10 октября 2012, 23:38
#
↓
0

и вот еще))) вариантик профилактики

www.freedrweb.com/cureit/?lng=ru
свернуть ветку

aspirin48
11 октября 2012, 00:01
#
↓
0

Для оперативного вмешательства ношу с собой рабочую флешку с livecdusb. Импорт реестра и смотрю ключи. В данном случае где-то тут:
HKLM-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
HKLM-SOFTWARE-Microsoft-Windows-CurrentVersion-RunOnce
HKLM-SOFTWARE-Microsoft-Windows-CurrentVersion-RunOnceEx
HKLM-SOFTWARE-Microsoft-Windows-CurrentVersion-RunServices
HKLM-SOFTWARE-Microsoft-Windows-CurrentVersion-RunServicesOnce
HKLM-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
HKLM-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Winlogon
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-RunOnce

Правда если экземпляр в MBR прописывается, там за две минуты не умею.
Если не срочно и «чаем угостят» можно и касперского аварийный диск (опять же на флешке можно), что бы само.

Тут главное из автозагрузки убрать, а дальше легче, там уже кто что любит кьюриты, авэзет и т.п.
свернуть ветку

Tiranozavr
11 октября 2012, 00:58
#
↑
↓
+1

Знаешь, у меня много чего есть с собой для оперативного вмешательства: топор, пила, молоток, гвозди, сапоги резиновые, ведро, комплект стопок и т.д. Но вот флешкой с LiveUSB, как-то не обзавелся, да и шариться встроенным редактором по веткам, то еще удовольствие. Мы лучше програмно…

Хотя если бы запустился через сейф-моде так и делал бы.
свернуть ветку

svsrus
11 октября 2012, 08:47
#
↑
↓
0

А если подменен системный файл explorer там или еще какой? Как тебе поможет твоя лайвусб?
свернуть ветку

aspirin48
11 октября 2012, 09:08
#
↑
↓
0

Ну в большинстве случаев винлокер только модифицирует ключи запуска не подменяя оригинальные файлы. С восстановлением оригинала системного файла сомневаюсь что и лечащие утилиты справятся, не было у меня такого опыта, точно утверждать не могу.
На такой случай в отдельной папке на флешке собраны оригинальные файлы explorer'а, ntldr'а, userinit'а и др. основные.
Можно C:\WINDOWS\system32\dllcache посмотреть, там вирус их может забыть.
свернуть ветку

svsrus
11 октября 2012, 09:10
#
↑
↓
0

Лечащие утилиты, ту что я ниже привел как раз сравнивают системные файлы с оригинальными и при несовпадении заменяют их на оригинальные. Я просто уже ни один раз сталкивался с подменой эксплорера.
свернуть ветку

aspirin48
11 октября 2012, 09:22
#
↑
↓
0

Спасибо за информацию, добавлю в мультизагрузку, думаю будет полезна.
свернуть ветку

udma88
11 октября 2012, 00:04
#
↓
0

давно стоит — Acronis True Image Home и нет проблем
свернуть ветку

valec1
11 октября 2012, 00:13
#
↓
0

У меня брат подцепил и там было 2000 рубликов.Благо у меня жесткий разделен и ни чего не пострадало. Только винду снес.
свернуть ветку

trombox
11 октября 2012, 00:36
#
↓
+1

Было такое, лечил как написано. Потом купил Касперского ) Нафиг времени жалко искать чистый комп
свернуть ветку

loking
11 октября 2012, 01:11
#
↓
0

cd неудобно.
мне нравится докторвеблайв усб.
ее всегда можно скачать свеженькую с вшитыми базами. и тут же флешку сделать.
а у касперыча предусмотрено тормозное онлайн обновление уже после загрузки с самого диска.
ну и сам диск медленее и создается и работает.
свернуть ветку

Deric
11 октября 2012, 01:14
#
↑
↓
0

юсбеже тоже онлайном обновляется…
свернуть ветку

loking
11 октября 2012, 01:23
#
↑
↓
0

только она доступна на сайте доктора веба всегда свеженькая.

в отличии от диска у касперского.
свернуть ветку

Chocolate
11 октября 2012, 03:01
#
↓
0

Как вас интересно читать, мальчики.
свернуть ветку

svet
11 октября 2012, 08:37
#
↓
0

не слыхала, чтоб тем, кто заплатил, помогло )
свернуть ветку

svsrus
11 октября 2012, 08:51
#
↓
0

Сделайте себе загрузочный цд/усб АнтиВинЛокер и забудьте о блокираторах. Еще не встречал блокиратора, который нельзя было вылечить этой приблудой. На оф.сайте более новые версии, но мне не очень понравились.

Все делается в 3 клика мышкой. Даже нубам доступно ) Удачи!
nnm-club.ru/forum/viewtopic.php?t=395689

Да прибудет с вами сила!
свернуть ветку

Kost
11 октября 2012, 15:50
#
↑
↓
0

дай прямую ссылку на торрент пожалуйста, не помню логина там своего
свернуть ветку

svsrus
11 октября 2012, 15:57
#
↑
↓
0

Ну ты как маленький )
www.google.ru/search?q=antiwinlocker&aq=0&oq=AntiWinLoc&sugexp=chrome,mod=0&sourceid=chrome&ie=UTF-8#hl=ru&newwindow=1&sclient=psy-ab&q=antiwinlocker+live+cd&oq=antiwinlocker+live+cd&gs_l=serp.3..0j0i10l2.6722.7694.1.8748.7.7.0.0.0.0.185.578.6j1.7.0...0.0...1c.1.4iEiUMjCZmk&pbx=1&bav=on.2,or.r_gc.r_pw.r_cp.r_qf.&fp=6ef175a5aeb71d40&bpcl=35243188&biw=1920&bih=961
свернуть ветку

Kost
11 октября 2012, 16:03
#
↑
↓
0

м(
так и я могу)
ладно, придётся прост\нуться и самому всё сделать)
свернуть ветку

Kost
11 октября 2012, 16:04
#
↑
↓
0

www.rutor.org/torrent/223876/antiwinlocker-livecd-4.0.6-2012-pc
свернуть ветку

svsrus
11 октября 2012, 18:18
#
↑
↓
0

видишь как все просто. Но ЛавСД 3.3 лучше. Мне новые не нравятся совсем.
свернуть ветку

Login
11 октября 2012, 09:13
#
↓
+2

Самое интересное для девочек. Такое счастье на компьютер само не прилетает. И антивирусы часто не препятствуют заражению (может сейчас уже не так). Проверено на себе. Рассказываю. Итак в прошлом году началась подобная бяка, все вокруг ее хватают, а я Д'Артаньян. Ну конечно, у меня же NOD32, не паленый. Но ведь и у других не голые машинки. Кто с Касперским, кто с Австом и DRWeb-ом. Стало мне обидно — у всех есть, а у меня нету. И вот оно счастье — (не помню где) предлагают мне бесплатно посмотреть как опозорился известный артист. Время было, решил посмотреть, открылось окошко а-ля Флешплейер, но там надпись — ваш кодек устарел надо установить новый и ДА / НЕТ.
Про то что разводят, понял сразу, но баннер хочется, жму ДА, и все… Есть!!!, Заработало, висит на весь экран. Ну а дальше, просто ради интереса, снял диск, установил на другой компьютер и просканировал первой тройкой антоивирусов (скачал свежие пробники с оф.сайта). Результат проверки оказался как и ожидал, нулевым (не зря же специальную утилиту предлагали, вместо штатного антивируса). Повторяю — свежий «CureIT» ничего тогда сделать не смог. Вылечил заменой файлов в System32 и правкой реестра. Итак вернусь к началу — данную бяку устанавливаем мы сами и если сейчас вроде антивирус помогает, то вскоре думаю опять обойдут (через психологию пользователей). Ведь никакой антизанос не спасет, если машину самому в столб направить.
свернуть ветку

Velikolu4anka
11 октября 2012, 09:40
#
↑
↓
0

Экспериментатор, однако =)))
свернуть ветку

svsrus
11 октября 2012, 09:52
#
↑
↓
0

Естественно не определяет. Фактически, блокираторы не являются вирусами.
свернуть ветку

Login
11 октября 2012, 10:15
#
↑
↓
0

Я тоже теперь знаю, что не определяют. И autorun на флешке не определяют и еще кучу тупых приколов (типа изменения атрибута файлов на «скрытый» не определяют) и серьезные вирусы не определяют. А что тогда они определяют? Давно сделал вывод — определяют они то, что под них специально написали их производители, или типа конкуренты.
свернуть ветку

dimsf
11 октября 2012, 10:34
#
↓
0

Login
11 октября 2012, 10:53
#
↑
↓
0

Я думаю, что на самом деле так и должно быть (и надеюсь скоро будет). Представьте — купили холодильник, но чтоб его в розетку вставить нужно у производителя еще переходник взять и при этом, кто-то, похожий на производителя может Вам всучить переходник, который сожжет холодильник. И добрый друг электриков предлагает купить защиту от такой возможности. Абсурд? А с компьютерной техникой пока примерно так.
свернуть ветку

Deric
11 октября 2012, 11:05
#
↑
↓
0

Что-то я не фига не понял… если ты о закрытой инфраструктуре то пример Эпла как бэ в помощь — или свобода или тотальный контроль и безопасность…
свернуть ветку

Login
11 октября 2012, 11:21
#
↑
↓
0

Я о том, что компьютерная техника становится все больше массово — бытовой и работа с ней должна быть организована на уровне работы с любым сложнобытовым прибором. А какая там будет инфраструктура мне все равно.
свернуть ветку

PawelA
11 октября 2012, 11:12
#
↓
+5

Немного юмора:
Внимание, обнаружен новый вирус-бомж! Он роется в корзине ПК, не трогая операционную систему и др. файлы.
:)
свернуть ветку

KirSa
12 октября 2012, 16:36
#
↓
0

Приноровился уже своими руками отключать баннер за 3 минуты)
свернуть ветку

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Великие Луки

Блог им. Tiranozavr → Удаляем WinLocker или как сэкономить на вымогательстве

Комментарии (57)

Вставка изображения

Последние обновления

Лучшие посты

Блоги

Кто на сайте?