Все разделы сайта DANILIDI.RU

Разблокировка компьютера

Как мошенники вымогают деньги с помощью троянов и вирусов

Продолжаем тему вредоносных программ, которые блокируют компьютер

Правда эпидемия этого семейства уже резко спала, даже по то ТВ показывали, что якобы поймали эту организованную группу престуников, которые создали такой прибыльный бизнес.

Но свято место пусто не бывает. Поэтому с большой уверенностью можно утверждать, что на место пойманных преступников обязательно придут другие, которые тоже не прочь заработать денег на этом поприще.

Как вы знаете, в интернете сейчас наблюдается небывалая активность вирусов. Так, появился троян, который полностью блокирует работу компьютера и требует отправить платное СМС сообщение - якобы для разблокировки вашего компьютера.

Вот что говорят по этому поводу представители компании Dr.Web: «Компания «Доктор Веб» предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты.

"В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей".

В связи с этим Dr.Web запустило новый проект по борьбе с этой заразой, где объединила и будет объединять все известные ей методы борьбы с ней.

Данный проект располагается здесь:
http://www.drweb.com/unlocker/index/?lng=ru

Троян заблокировал Windows и требует отправить SMS? Не надо платить преступнику! Тем более, что отправка денег все равно не поможет :-)

Также, есть другой сервис деактивации вымогателей-блокеров:

" http://www.kaspersky.ru/ - Лаборатория Касперского" и портал http://virusinfo.info - VirusInfo представляют бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер.

Для получения кода разблокировки вам необходимо указать:

1. номер телефона, на который вам предлагают отправить СМС и

2. текст сообщения, которое требуют отправить на этот номер.

Заходите сюда - http://virusinfo.info/deblocker

Способы удаления троянов

Если эти способы не помогли, то рассмотрим следующий способ удаления троянов.

Рассмотрим метод котрый я бы назвал «техническим».

Сразу хотелось бы отметить, что этот способ приемлем только для продвинутых пользователей, поскольку при проведении «хирургической операции» используется такой инструмент как редактор реестра,например, Regedit, входящий в стандартную поставку Windows.

(запускается Пуск => выполнить => ввести Regedit.exe), и при неправильном обращении с ним можно запросто «убить» пациента.

Для начала необходимо снять блокировку (если она есть), поставленную лжеантивирусом на доступ к «диспетчеру задач» и к реестру Windows. Рекомендую воспользоваться двумя бесплатными программами.

1. SP-Task-Manager-Unlock - разблокировка диспетчера задач

2. SP-Regedit-Unlock - разблокировка запуска редактора реестра (REGEDIT)

Если нет времени искать данные программы в Интернете, то скачать вы из можете по этим ссылкам:

www.serebryanij-shit.ru/files/spru.zip

www.serebryanij-shit.ru/files/sptmu.zip

После удачной разблокировки необходимо с помощью диспетчера задач посмотреть список запущенных процессов.

Я для этой цели использую, на мой взгляд, более удобную, функциональную и бесплатную программу: a-squared HiJackFree.

Скачать ее можно с официального сайта:

http://www.emsisoft.com/en/software/downloadwww.emsisoft.com

Или здесь:

www.serebryanij-shit.ru/files/a2HiJackFree.rar

Все подозрительные процессы, запущенные от имени пользователя необходимо прибить.

После этого запускаем Regedit и смотрим следующие ветки реестра:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\ CodeIdentifiers\0\Paths (удаляем всё кроме значения default).

2. HKLM\SOFTWARE\TrendMicro\HijackThis\Ignore1 со значением
«O2 - AppInit_DLLs: C:\windows\system32\wdl.tmp:XVgf» (Удаляем целиком).

3.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows (удаляем значения в ключе AppInit_DLLs)

После всего этого перезагружаем компьютер.

Если указанный выше проект от Dr.Web, а также способы избавления от этой заразы по каким то причинам вам не подошли, то можно попробовать использовать, как я их называю, «советы из инета» или «с миру по нитке» т.е. советы людей в Интернете, которые успешно справились с данной заразой.

Вот самые популярные из них:

1. Если у кого стоит в качестве браузера Mozilla Firefox то попробовать избавиться от напасти можно так: Заходите в панель инструменты => дополнения => расширения. Находите там «информер» и удаляете…

2. С эксплоэра плагин отключать так: Сервис – Надстройки – Включение и отключение надстроек… там находите свой плагин (типа LexlibVideoPluginClass именованный файлом pllib.dll ну или какой-то из .dll) и отключаете его! Теперь перезапускаете инет и .... вуаля! Всё в порядке )))

3. Для тех у кого пишет что он «будто» установил программу CMEDIA и должен ждать пока все 978 запусков пройдут или заплатить через смс план действий таков: заходим C:\Documents and Settings\user\Application Data\CMedia\ находим файл CMedia.dat и переименновыаем его, например в CMedia.gad и удаляйте всё.

4. Еще один совет для пользователей IE: независимо от версии Win всё делается проще: средствами обозревателя. Например в IE-8. Нажимаем на панели «Сервис», в подменю нажимаем «средства разработчика (F12)» В открывшемся окне на панели нажимаем «удалить», в открывшемся подменю ставим галочку «сценарий».

5. В Opera сам скрипт, запускающий информер, находиться в С:\Documents and Settings\USER\Application Data\Opera\Opera\scripts\ (где USER это профиль того пользователя, под которым запускался браузер перед заражением). В этой папочке находится скриптик, запускающий гадость. В моём случае он назывался также feeder.js.

Его удаляешь и работать эта «фича» перестаёт. Но не надо забывать, что есть ещё и DLL под это дело. Она у меня сидела в С:\SysFiles\ и называлась aoX_0UtNAHR0Z55aDeEL1.dll. Её тож надо смело удалить. Все идеи по поводу DLL в widows32 вчерашний день походу. Восстановление системы тож в данном случае не поможет.

6. При загрузке компьютера зайдите в Bios (нажав кнопку DEL) и переведите время на несколько часов (или дней) вперед или назад до появления лжеантивируса.

7. Часто файл вредитель располагается здесь: C:\Program Files\ и называется plugin.exe. Сразу удалить не получится, так как процесс задействован и банально удалится не захочет! Переименуйте его и перезагрузите комп. Баннер больше не появится.

А вот теперь смело удаляйте его к чертям собачим и все дела.
Он также прописывается в этой ветке реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\plugin Удалите его там и, как говорится, будет вам счастье!

Вот такие основные рекомендации по борьбе были выложены в рунете.

Однако, не стоит забывать, что после разблокирования компьютера, вредоносные программы продолжают оставаться в системе. Поэтому после отключения банера необходимо скачать последнюю версию антивируса + обновить антивирусные базы + полная проверка системы.

Бесплатные антивирусы

Что можно порекомендовать из бесплатных антивирусов:

1. Avast! 4 Home Edition (без бесплатной регистрации работает 59 дней). Скачать его можно на официальном сайте заполнив форму):

http://www.avsoft.ru/avast/Free_Avast_home_edition_download.htm

А бесплатно зарегистрировать здесь:

http://www.avast.com/rus/home-registration.php (регистрационный ключ придет вам на указанный e-mail).

2. Бесплатная утилита (при условии домашнего использования) от компании «Доктор Веб» - Dr Web Curelt. Скачать можно здесь:
http://www.freedrweb.com/cureit/

Хотелось бы отметить, что в отличие от Аваста утилита от Доктора Веба не имеет резидентного сканера (т.е. не проверяет постоянно компьютер на наличие вредоносных программ) и не обновляется, так что для желающих иметь свежие антивирусные базы необходимо еженедельное скачивание с вышеуказанного адреса.

При всём при этом у Dr Web Curelt есть преимущество перед Авастом – более обширная антивирусная база.

Так что каждый волен выбирать сам.

После проверки антивирусом необходимо проверить файл «hosts» на наличие изменений. Он по умолчанию располагается в С:\Windows\system32\drivers\etc\

Этот файл необходимо открыть в любом текстовом редакторе. Его содержание должно быть: «127.0.0.1 localhost», и ничего больше!

В некоторых строках могут быть вставлены комментарии, которые начинаются символом «#». Их можно оставить, а можно и удалить. На работоспособность файла они не влияют.

Как удалить троян

И напоследок, еще одни способ удаления трояна

Если предыдущие способы удаления троянов не помогли, то можно попробовать еще один метод как удалить троян с компьютера.

Поcледовательность действий в этом случае такова:

1. На «злокартинке-заставке», которая не убирается с рабочего стола, выбираем свою страну и своего оператора для отправки СМС. Получаем короткий четырехзначный номер.

2. Звоним в службу поддержки своего оператора, описываем ситуацию и просим дать контактную информацию о хозяине номера.

3. Звоним по полученному телефону и если на другом конце возьмут трубку (а это вполне может быть), также объясняем ситуацию, как бы между делом намекая на ответственность по УК за подобные «шалости». После этого, клятвенно заверив вас, что к этой гадости они не имеют никакого отношения, вам выдадут код разблокировки.

Не факт, конечно, что данная схема сработает. Но шанс есть.

Однако и после этого провериться на вирусы все же не помешает!

В статье были использованы материалы с сайта www.serebryanij-shit.ru

Консультации по безопасности компьютера | антивирусная защита

Напишите свое мнение ниже в комментариях. Обсудим.

Поделитесь с друзьями или поставьте закладку на эту страницу,
если планируете зайти на нее позже (Cнять блокировку | Как мошенники
вымогают деньги блокируя компьютер | Блокировка компьютера )